Net güvenlik görüşmesinin bu yardımında, Main Line Health’deki CISO Aaron Weismann, sağlık hizmetlerinde artan fidye yazılımı tehdidini ve sektörün neden ana hedef olarak kaldığını tartışıyor. Hasta bilgilerini koruma, eski sistemlerin güvence altına alma ve siber güvenliğin bakımı yapmadan korunmasının zorluklarını açıklıyor.
Weisman, olay tepkisini iyileştirmek ve savunmaları sınırlı kaynaklarla güçlendirmek için pratik adımlar da paylaşıyor.
Fidye yazılımı taktikleri sağlık sektöründe nasıl gelişti ve sağlık hizmetlerini böyle bir temel hedef yapan nedir?
Bence çoklu fidye ve şantaj denemelerinin çeşitli iterasyonları var. Bunlardan biri doğrudan sağlık hizmeti kuruluşlarına (HDO’lar) bir saldırı noktası olarak odaklanmaktır. Bir diğeri, tedarik zincirindeki merkezi servis sağlayıcılara odaklanmaktır, bu da etkilenen kuruluşlar ve endüstriler için daha geniş bir ağ oluşturma avantajına sahiptir. Bunun ne kadar sakat olabileceğini görmek için sadece Şubat 2024’ün sağlık hizmeti olayı değişmesine gerek var. Son olarak, hasta haysiyeti, tedavi fotoğrafları, notları vb.
Bence sağlık hizmetleri böyle bir temel hedeftir, çünkü uzlaşması büyük ölçüde kolaydır ve pesfiltratlanmış verilerin serbest bırakılmasına izin vermek için önemli finansal caydırıcılara sahiptir. Önceki noktada, HDO’lar uzun süre hasta bakım alanında çalışmak üzere tasarlanmış eski uygulamalar ve altyapı ile çalkalanır. Biyomedikal cihazlar gibi bu altyapının bir kısmı, bir yama mevcutsa yamalanabilir ve bunu yapmak için hızlandırılmış onay mekanizmaları vardır, ancak satıcıların avantaj elde ettiği belirsizdir. Bunun da ötesinde, HDO ağları sürtünmesiz hasta bakımı ve cihaz iletişimini karşılayacak şekilde düz olacak şekilde tasarlanmıştır. Bu sorunların toplamı, uzlaşması ve geçmesi kolay olan savunmasız bir ortamla sonuçlanır.
İkinci nokta için, hasta bilgilerini ifşa etmek için düzenleyici para cezaları ve cezalar ve HDO ihlalleriyle ilişkili bazı büyük yerleşimler vardır. Bunlar iyileşme maliyetlerini ciddi bir ihlalden cüce edecek ve önemli ölçüde daha küçük bir fidye ödeyerek önlenebilir. Para cezalarından ve cezalardan kaçınmak da itibar zararının bazı yönlerini hafifletir. Son haftalarda görüldüğü gibi, bu itibar zararı sadece azalan hasta hacimleri değil, aynı zamanda tahvil derecelendirmelerini düşürme gibi finansal etkiler anlamına geliyor. Kenarların inceldiği yerlerde, bu etkileri hafifletmeye çalışmak için bir fidye ödemek çok çekici görünebilir.
Sağlık kuruluşları, özellikle hibrit ve bulut ortamları ışığında hassas hasta verilerini bölümlere ayırmayı ve korumayı nasıl düşünmelidir?
Benim tavsiyem: Bu alanda çok fazla şey yapamazsınız. Hassas hasta verileri, güvenli ve etkili hasta bakımına çekirdektir. Aklımda, onu korumak, güvenli ve etkili hasta bakımının bir öncelik olmadığının örtük kabulüdür.
Nasıl bölümlere ayrılacağı ve korunacağı konusunda, verilerin nereye gitmesi gerektiğinin ve verileri barındırması gereken mağazaların sınırlarını belirlemenin ve daha sonra başka bir yerden hariç tutmaya çalışmanın en kolay olduğunu düşünüyorum. Bu sınırlar nispeten geniş ve jenerik olabilir: EMR, OneDrive, PACS, vb. Bu gerçekleştirildikten sonra, olması gerektiği yerde korumak ve erişilebilir tutmak için bunun üzerine bir güvenlik altyapısı uygulamak, ekibiniz ve ortamınız için en iyi çalışan ürünleri seçme meselesidir. Bu kuşkusuz, saçma bir şekilde indirgemeci bir veri güvenliği görüşüdür, ancak veri güvenliğini engellemenin ve üstesinden gelmenin temel unsurları olduğunu düşündüğümü vurgulamaktadır.
Elektronik sağlık kayıtlarının (EHR’ler) ve hala sağlık hizmetlerinde yaygın olarak kullanılan diğer eski sistemlerin güvence altına alınmasındaki benzersiz zorluklar nelerdir?
Klinik sürtünme, güvenlik programım için önemli bir zorluk ve motivasyondur. Veri erişim yoluna ne kadar çok engel oluşturursa, klinisyenler için sürtünme o kadar büyük olur ve şu anda tıbbi alanda ciddi bir sorun olan klinik tükenmişliğe katkı o kadar büyük olur. İyi veri önlemlerini klinik erişim ihtiyaçları ile dengeleyebilmek çok önemlidir. Bu, klinik operasyonlarla kapsamlı konuşmalar, iş akışlarının derinlemesine anlaşılması ve güvenlik önlemlerinin bu dengeyi nasıl etkileyeceğini test etmeyi gerektirir.
Aksi takdirde, satıcılar altyapılarını güncelleme ve yamalama şansına atlamıyor gibi görünüyor. Bunun sağlık hizmetlerine özgü olduğunu düşünmüyorum, ancak bilgi güvenliğine genel olarak düz ağ ve tarihsel yetersiz yatırımlarla birleştiğinde, HDO’lar için akut bir sorun.
Sağlık kuruluşları siber güvenlik ve klinik kullanılabilirlik arasında nasıl bir denge kurabilir ve güvenliğin bakım sunumunu bozmamasını sağlar?
İşi anlayın ve klinik akranlarınızı eğitin. Bilgi güvenliği, veri kullanımını doğal olarak kısıtlayan ve hasta verilerine çok açık erişim isteyen bakım dağıtımını dikkatli bir denge vardır. Bir siber güvenlik ekibi iş iş akışlarını anlamıyorsa, veri önlemleri örgütsel iş akışlarıyla ilgili olarak gelişigüzel uygulanabilir ve bakım sunumunda gereksiz yere önemli sürtünme ve engeller getirebilir. Sonuçta, HDO’lar bakım sunumu sağlamak için mevcuttur, bu nedenle kritik önlemlerin gevşemesine neden olabilir.
Bununla birlikte, bakım dağıtım modelini anlamak ve bunu uygulamaktan sorumlu klinisyenlerle sohbet etmek, klinik ortaklardan anlaşılan uzlaşmalarla çok daha akıllıca uygulanan bir çözümle sonuçlanacaktır. Ayrıca, personel en üretken fidye yazılımı saldırısı tohumlarından bazıları için son savunma hattı olduğundan, kuruluş genelinde güvenliği artırmak için kritik ortaklıklar kurar.
Sağlık kuruluşları, özellikle sınırlı güvenlik personeli veya bütçesi olanlar, olay tepkisi hazırlıklarını nasıl geliştirebilir?
Güvenlik personeline güvenmeyin. Zaten var olan klinik süreçlere güvenin. Bilgi güvenliğinin geleceğini ve çığır açan olay yanıtı ve iş sürekliliği çözümleri sunacağını düşünmek saftır. Sürebilecekleri kurtarma hedefleri var mı? Elbette. Teknoloji esnekliği oluşturabilirler mi? Kesinlikle.
Tüm HDO’ların teknolojinin yokluğunda hasta bakımının nasıl devam edeceği dosyasında olmalıdır. Bu planın varlığı ortak komisyon gereklilikleri tarafından yönlendirilir. HDO’ların düşebileceği yer bu planı kullanıyor.