Sağlık hizmeti şirketleri her zamankinden daha fazla elektronik kayıtları kullanıyor ve dijital hizmetlerden yararlanıyor. Uzmanlara göre bu, halihazırda milyonlarca hastanın özel tıbbi bilgilerini ifşa etmiş olan siber suçlular için daha fazla fırsat yaratıyor ve sektörün güvenliği 1 numaralı öncelik haline getirme gerekçesini destekliyor.
Federal kayıtlar, sağlık hizmeti ihlallerinin 2010’dan 2022’ye kadar 385 milyon hasta kaydını açığa çıkardığını gösteriyor, ancak bireysel hasta kayıtları birden çok kez sayılabilir.
Siber suçlular hassas tıbbi verilere yeniden erişim sağlama karşılığında fidye talep ettikçe, sağlık kuruluşlarında bir tür ihlal olan bilgisayar korsanlığı olayları son beş yılda hızla arttı.
Bilgisayar korsanlığı veya BT olayı en yaygın ihlal türüdür
Diğer türler, yetkisiz erişim/ifşa, hırsızlık, kayıp, uygunsuz ifşa, diğer ve bilinmeyenleri içerir.
Uzmanlar Healthcare Dive’a verdiği demeçte, sağlık şirketleri ihlaller ve siber saldırılardaki artış nedeniyle siber güvenliklerini iyileştirmek zorundayken, düzenleyicilerin siber güvenlik standartlarındaki çıtayı yükseltmeleri gerektiğini söyledi.
Federal Soruşturma Bürosu’nun Siber Bölümü eski müdür yardımcısı ve şu anda küresel bir profesyonel hizmetler firması olan Aon Cyber Solutions’ın kıdemli başkan yardımcısı olan Jim Trainor, “Bütün bu kuruluşlar daha iyi bir iş çıkarabilir mi? Kesinlikle,” dedi.
Sağlık sektörü de dahil olmak üzere ülkenin 16 kritik altyapı sektöründen herhangi birinin kesintiye uğraması ulusal güvenlik tehdidi oluşturuyor. Siber Güvenlik ve Altyapı Güvenliği Dairesi’ne veya ülkenin siber savunma dairesi CISA’ya göre, bu sektörler milyonlarca Amerikalı için günlük yaşam için hayati önem taşıyor ve onları devre dışı bırakmanın toplum üzerinde zayıflatıcı bir etkisi olacaktır.
Hastane operasyonlarını aksatan siber saldırılar, hastaların hayatını riske atıyor. FBI, diğer kritik altyapılara kıyasla 2021’de fidye yazılımı saldırılarından en çok sağlık sektörünün etkilendiğini söyledi. Ve tehditler, hastaneler COVID-19 salgınının şiddetlendirdiği personel sıkıntısı ve mali baskılarla mücadele ederken ortaya çıkıyor.
Geçen yıl ülkenin en büyük hastane operatörlerinden birine yapılan bir fidye yazılımı saldırısının ardından Healthcare Dive, ABD’de gizlilik ve güvenlik yasalarını uygulamakla görevli HHS Sivil Haklar Ofisi’ne son 13 yılda bildirilen 5.000’den fazla ihlali analiz etti. sağlık sektörü.
İhlal, hastaları tanımlayabilen korunan sağlık bilgilerinin uygunsuz bir şekilde ifşa edilmesi veya kullanılması durumunda kullanılan geniş bir terimdir. HHS’ye göre bilgisayar korsanlığı veya BT olayı, teknik izinsiz girişi içeren bir ihlal türüdür ve kurum tarafından izlenen yalnızca bir tür ihlaldir.
İhlallerin boyutları, her bir olayda etkilenen insan sayısı açısından önemli ölçüde değişebilir.
Sağlık sigortacıları, sağlayıcılar, takas odaları ve iş ortakları, ihlaller meydana geldiğinde HHS OCR’yi bilgilendirmek zorundadır. Bir ihlalin 500’den fazla kişinin özel sağlık bilgilerini etkilemesi durumunda, kapsanan kuruluşların düzenleyicileri bilgilendirmek için 60 günü vardır.
İhlallerdeki artış, sağlık şirketlerinin son on yılda sağlık bilgi teknolojisine daha fazla ağırlık vererek dijital hizmetleri giderek daha fazla benimsemesiyle ortaya çıkıyor.
Özellikle hastaneler tarafından elektronik sağlık kayıtlarının kullanımı, sağlayıcıların EHR’leri kullanmayı seçenlere milyarlarca dolar sağlayan federal teşvik programlarından yararlanmaya başladığı 2010’dan bu yana hızla arttı.
EHR benimseme oranı dört yıl içinde neredeyse %100’e yükseldi
Yine de, bu bağlantının siber güvenlik açıklarına yol açabileceğini ve korunan verilere erişim yolları oluşturabileceğini söylediler.
Aon Cyber Solutions’dan Trainor, yalnızca bir bakım bölümü sırasında doktorlar, hastaneler, röntgen tesisleri ve sigorta şirketleri dahil olmak üzere birden fazla kuruluşun hastanın bilgilerine erişebileceğini söyledi.
Trainor, “Olayları kolaylaştırmak için ağın karmaşıklığı inanılmaz,” dedi.
Uzaktan çalışmaya geçiş, saldırganlar için daha fazla giriş noktası sağladı
Amerikan Hastaneler Birliği’ne siber güvenlik ve risk konusunda danışmanlık yapan John Riggi, ağ ve internet bağlantılı cihazların kullanımını önemli ölçüde hızlandıran pandemi sırasında hastane sektörünün daha da savunmasız hale geldiğini söyledi. Klinik dışı çalışanlar evden çalışmaya dönerken, hastaneler üçüncü taraf ve bulut hizmetlerine olan bağımlılıklarını artırdı.
Daha önce FBI bölüm şefi olarak siber sorunları denetleyen Riggi, bunun “genişletilmiş bir dijital saldırı yüzeyine” yol açtığını söyledi.
Riggi, hastanelerin üçüncü taraf teknolojisine bağımlı olmasının onları daha savunmasız hale getirdiğini çünkü üçüncü taraf araçların güvenliği üzerinde tam kontrole sahip olmadıklarını da sözlerine ekledi. Sonuç olarak, hastaneler satıcıların bağlı tıbbi cihazlar için yama göndermesini beklemek zorunda kalıyor ve sorunları kendilerinin yamalaması yasak.
“
Zincir ancak en zayıf halkası kadar güçlüdür ve pek çok zayıf halkası vardır.
Cybereason bilgi güvenliği sorumlusu Israel Barak
”
Riggi, “Önemli olan, yabancı hasımlar tarafından saldırıya uğruyoruz. Ele geçirilen kayıtların büyük çoğunluğu düşmanca eylemlere ait, yani FBI’ın bile ele geçiremeyeceği yabancı merkezli hasımlar,” dedi Riggi.
Riggi, “Bir salgın sırasında artan ateş altında bu genişletilmiş saldırı yüzeyini güvence altına almak çok ama çok zor hale geliyor” diye ekledi.
Boston merkezli bir siber güvenlik firması olan Cybereason’un bilgi güvenliği sorumlusu Israel Barak, birçok sağlık şirketinin sağlam siber güvenlik programlarından yoksun olduğunu ekledi.
Barak, “Zincir ancak en zayıf halkası kadar güçlüdür ve pek çok zayıf halkası vardır,” dedi.
Bu, sağlık hizmetlerini siber saldırganlar için kolay ve karlı bir hedef haline getiriyor” dedi.
Bunun gibi sağlık haberlerini günlük olarak gelen kutunuza alın. Healthcare Dive’a abone olun.
Firmanın Özel Sermaye Programı için Siber Güvenlik Danışmanlığını yöneten West Monroe’nun ortağı Christina Powers, ihlaller meydana geldiğinde, “bilgi paylaşımı nedeniyle patlama yarıçapı daha büyük oluyor” dedi.
Powers, bu durumun son yıllarda ortalama ihlal boyutunun neden arttığını açıklayabileceğini de sözlerine ekledi.
Elbette, tüm ihlaller siber saldırganların sonucu değildir.
Federal hükümet, bir avuç ihlal türünü takip eder: siber saldırıları içerebilen bilgisayar korsanlığı/BT olayı; uygunsuz imha; kayıp; Çalınması; ve yetkisiz erişim/ifşa.
Healthcare Dive’ın analizine göre, son yıllarda en sık görülen ikinci ihlal türü, bir çalışanın iş görevleri dışında kayıtlara erişmesi durumunda ortaya çıkabilen yetkisiz erişim veya ifşanın sonucudur. Hasta bilgilerinin yanlış yönlendirilmiş iletişimler yoluyla ifşa edilmesi de buna dahildir.
Diğer türler, dizüstü bilgisayarların veya flash sürücülerin halka açık yerlerde bırakılması veya çalınması gibi kayıp veya hırsızlıkları içerir.
Zengin veri, kârlı hedefler
Güvenlik uzmanlarına göre sağlık kuruluşları karlı hedefler olduğundan, fidye yazılımı saldırıları sektörün karşı karşıya olduğu en önemli tehditlerden biri.
Bir fidye yazılımı saldırısında, bilgisayar korsanları sağlık kurumlarını kritik dosya ve bilgilere karşı kilitler ve dosyaların kilidini açmak için şifre çözme anahtarı karşılığında bir ödeme talep ederken bunları rehin tutar.
Siber suçlular, sağlık kuruluşlarının hayat kurtaran sistemlere ve teknolojiye erişimi hızla yeniden sağlamak için baskı hissedeceğini biliyor.
Aon Cyber Solutions Trainor’a göre, acil servisler kapatıldığında veya tesislerin hastaları yeniden yönlendirmeye zorlanması gibi kesinti hasta bakımını tehdit ettiğinde, sağlayıcıların fidye ödeme olasılığı daha yüksektir.
FBI, bu saldırıların bakıma ve hayati bilgilere erişimi geciktirerek hastaları riske atabileceği konusunda uyardı.
The Wall Street Journal’a göre, yeni doğmuş bir bebeğin Alabama’daki bir hastanenin her katındaki bilgisayarları devre dışı bırakan ve kaynakları zorlayan bir fidye yazılımı saldırısı sonucu öldüğü iddia edildi. Raporda, Teiranni Kidd’in kızının, göbek kordonu boynuna dolanmış olarak doğduktan aylar sonra öldüğü belirtildi.
Sağlayıcı kuruluşlardaki yaklaşık 600 BT ve sağlık yöneticisiyle yapılan 2021 anketi, fidye yazılımı saldırılarının hasta bakımı üzerinde önemli bir etkisi olduğunu gösterdi. Bir fidye yazılımı saldırısına maruz kalanların çoğu, daha uzun süre kaldıklarını bildirdi; prosedürlerde ve testlerde gecikmeler; ve sapmalar. Yanıt verenlerin üçte birinden fazlası artan komplikasyonları ve neredeyse dörtte biri artan ölüm oranlarını işaret etti.
Fidye yazılımı suçluları için ‘her şey yatırım getirisiyle ilgili’
Sağlık kuruluşlarına yönelik fidye yazılımı saldırılarının sıklığı ve şiddeti 2016’dan bu yana arttı, araştırmacılar THREAT veya Tracking Healthcare Ransomware Events and Traits veritabanını bulup takip ettiler.
Trainor, bu suçlular için “Her şey ROI ile ilgili” dedi.
Buna ek olarak, güvenlik uzmanlarına göre, diğer ülkelerden saldırılar düzenleyebilen ve genellikle ABD yasa uygulamalarının erişimi dışında olan kötü niyetli kişileri caydırmak zor olabilir.
Eylül ayında, üç İranlı, ülkenin en büyük pediatrik tıp merkezlerinden biri olan Boston Çocuk Hastanesine siber saldırı başlatmaya çalışmakla suçlandı.
FBI Direktörü Christopher Wray daha sonra engellenen olayı “şimdiye kadar gördüğüm en aşağılık siber saldırılardan biri” olarak nitelendirdi.
FBI, saldırı yapılmadan önce müdahale edebilmiş olsa da, olay, ABD’deki sağlık operatörlerine ulus-devlet saldırıları konusunda endişeleri artırdı.
Merkezi McLean, Virginia’da bulunan bir siber güvenlik firması olan IronNet’in tehdit istihbarat analisti Morgan Demboski, “Ulus devletlerin sağlık hizmetlerine yönelik yıkıcı veya yıkıcı saldırıları olasılığına karşı da hazırlıklı olmamız gerektiğini düşünüyorum” dedi.
Demboski, saldırıların siber casusluk tarafından da motive edilebileceğini ekledi.
Demboski, bazı ulus devletlerin kendi ticari sektörlerini geliştirmek için aşıyla ilgili bilgileri ve koronavirüsle bağlantılı diğer tıbbi araştırmaları çalmayı hedeflediğini söyledi.
Güvenlik uzmanları, bu tehdit ortamının ortasında, sağlık hizmeti firmalarının siber hazırlıklarını yükseltmeleri gerektiğini ve federal düzenleyicilerin desteğine ihtiyaç duyabileceklerini söyledi.
“
… sektördeki güvenlik düzeyi, hastaların sağlık hizmetleri bilgilerini korumak için olması gereken yerde değil.
Aon Cyber Solutions’ın kıdemli başkan yardımcısı Jim Trainor
”
1 Mart’ta Başkan Joe Biden, ülkenin siber savunmasını iyileştirmeyi amaçlayan kapsamlı bir ulusal siber güvenlik stratejisini açıkladı. Politika hedefi, sağlık sektörü de dahil olmak üzere kritik altyapı genelinde minimum siber güvenlik standartlarının oluşturulmasını gerektiriyor.
Politika planı, bir yürütme emri olmasa da, federal kurumlara ve milletvekillerine siber gereklilikleri yürürlüğe koymaları için bir rehber görevi görecek.
Güvenlik uzmanları, siber güvenlik standartlarındaki çıtayı yükseltmenin sağlık şirketleri için kritik öneme sahip olduğunu söylüyor.
Cybereason’dan Barak, “Sağlık kuruluşları için daha yüksek bir düzenleyici standart belirlememiz gerektiğini düşünüyorum” dedi.
Trainor, çıtayı yükseltmenin muhtemelen hastaneler için mali sonuçlar doğuracağını ve sağlık hizmetleri fiyatlarını artırabileceğini söyledi.
Yine de Trainor, “sektördeki güvenlik düzeyi, hastaların sağlık hizmetleri bilgilerini korumak için olması gereken yerde değil” diye ekledi.
Haber grafikleri geliştiricisi Julia Himmel ve görsel editörü Shaun Lucas da bu parçaya katkıda bulundu.