Bu Help Net Security röportajında, Siemens Healthineers Amerika Siber Güvenlik Sorumlusu Brett Harris, siber saldırıların sağlık kurumları üzerindeki uzun vadeli etkilerini ve sağlık hizmeti sağlayıcılarının hastaların kişisel verilerini ve tıbbi cihazlarını korumak için neler yapabileceğini tartışıyor.
Çeşitli hastane bilgi sistemlerinin (EHR, e-reçete sistemleri, muayenehane yönetimi destek sistemleri vb.) siber saldırılara karşı nasıl savunmasız olabileceğini açıklayabilir misiniz?
Bir ağa bağlı her şey siber saldırılara karşı potansiyel olarak savunmasızdır, ancak risk cihazdan cihaza değişir. Dikkate alınması gereken üç ana risk türü vardır. Birincisi ve en önemlisi, infüzyon pompaları veya röntgen makineleri gibi bir hastayla doğrudan etkileşime giren cihazlardır. Bunlar, bir taviz varsa doğrudan hasta güvenliği riski oluşturur.
Bir sonraki ana kategori, Elektronik Sağlık Kaydı (EHR) sistemleri ve Resim Arşivleme ve İletişim Sistemleri (PACS) gibi büyük miktarda veri içeren sistemler olacaktır. Bunlar, doğrudan hasta güvenliğinden çok gizlilik açısından daha fazla risk oluşturur, ancak büyük miktarda veri çok sayıda insan için risk oluşturduğundan, potansiyel olarak ağır para cezalarıyla ilişkilendirilirler.
Son olarak, diğer her şey bir hastaneye yapılacak daha fazla saldırı için bir geçit olabilir. Tek bir giriş noktası, ağ denetimlerini düzgün şekilde uygulamayan bir kurumda büyük bir fidye yazılımı saldırısının başlangıcı olabilir.
Önemli siber saldırıların sağlık kurumları üzerindeki uzun vadeli etkilerini biraz açar mısınız?
Sağlık hizmetlerine yönelik siber saldırılar son birkaç yıldır artıyor ve yavaşlayacaklarına dair herhangi bir işaret görmüyoruz. Sağlık kurumlarının, uygun tıbbi cihaz güvenlik programlarını hayata geçirmek için en azından kısa vadede siber güvenliğe daha büyük bütçeler ayırmaya başlaması gerekiyor. Hemen hemen her kurumda risk için yönetilmesi gereken çok büyük bir sistem birikimi vardır. Uzun vadede, FDA ve HHS’den ve dahili veya dışarıdan temin edilen özel bir tıbbi cihaz güvenlik programı yürüten her kurumdan muhtemelen daha katı gereksinimler göreceğiz.
Hastalar, sağlık hizmeti sağlayıcılarıyla sanal olarak etkileşim kurarken kişisel bilgilerinin güvende olduğundan nasıl emin olabilir?
Şu anda, hastaların konu üzerinde çok fazla kontrolü yok. Hangi sağlık kurumlarının hastalarının verilerini koruma konusunda iyi bir iş çıkardığına dair net bir görüş yok ve çoğu bölgede, o bölgedeki tesislere tek bir kurum hakim. Bireysel hastaların şu anda yapabileceği en iyi şey, bilgi iletmek için her zaman kurumlarının güvenli portallarını kullanmak ve asla e-posta kullanmamaktır.
Sağlık kuruluşları, tıbbi cihazların kullanıma alınmadan önce yeterince güvenli olduğundan ve risk değerlendirmesi yapıldığından emin olmak için hangi kritik adımları atabilir?
Sağlık kuruluşları, satın aldıkları ürünlerin, satın almadan önce istedikleri güvenliğe sahip olup olmadığını kontrol etmelidir. Optimal olarak, piyasada klinik ihtiyaçlarını karşılayan ve güvenliği iyi olan bir ürün vardır. Her klinik uygulama için çok güvenli bir ürün satın almak her zaman mümkün değildir, bu nedenle bu süreç, söz konusu tıbbi cihaz içindeki güvenlik kontrolleri göz önüne alındığında hangi dengeleyici kontrollerin devreye alınması gerektiğini belirlemeye yönelik olmalıdır.
Her soru, “Bu ürünü satın almalı mıyım?” veya “Üretici belirli bir alanda güvenlikten yoksunsa, hangi somut eylemi gerçekleştirmem gerekir?”. Ürünün Tıbbi Cihaz Güvenliği için Üretici İfşa Beyanı’nı (MDS2) incelemek bile bu soruların çoğuna cevap verecektir. Bu, güvenli olmayan yeni cihazların girişini durdurmak için harika bir yoldur, ancak kuruluşların aynı zamanda mevcut tüm cihazlarından kaynaklanan risklerle de ilgilenmeleri gerekir.
Sağlık kuruluşları, geride hiçbir hassas verinin kalmadığından emin olmak için tıbbi cihazların hizmet dışı bırakılması ve atılması işlemlerini nasıl gerçekleştirmelidir?
Bu kolay olmalı! Hasta bilgilerini – geçici olarak bile – depolama potansiyeline sahip her şeyin güvenli bir şekilde silinmesi gerekir. Bu, güvenli silme için NIST standartlarını karşılayan bir araç kullanmak veya içeren medyanın fiziksel olarak imha edilmesi anlamına gelir. Kuruluş, cihazı kullanımdan kaldırmak için üçüncü bir taraf kullanıyorsa, bu kişi, güvenli silme raporu veya bu gerçeğin tasdikini talep etmelidir.