Proofpoint ve Ponemon Institute tarafından yürütülen bir araştırmaya göre kuruluşların %88’i son 12 ayda ortalama 40 saldırı yaşadı.
Tedarik zinciri saldırıları: Hasta bakımı riskinde lider
Sağlık kuruluşlarının yaşadığı bir siber saldırının ortalama toplam maliyeti, bir önceki yıla göre %13 artışla 4,99 milyon dolar oldu.
En yaygın dört saldırı türüne (bulut güvenliğinin ihlali, fidye yazılımı, tedarik zinciri ve BEC) maruz kalan kuruluşların ortalama %66’sı hasta bakımında kesinti olduğunu bildirdi. Spesifik olarak, %57’si prosedürler ve testlerdeki gecikmeler nedeniyle hasta sonuçlarının kötü olduğunu bildirdi, %50’si tıbbi prosedür komplikasyonlarında artış gördü ve %23’ü hasta ölüm oranlarında artış yaşadı.
Bu rakamlar geçen yılın bulgularını yansıtıyor ve sağlık kuruluşlarının hasta güvenliği ve sağlığına yönelik siber saldırı risklerini azaltma konusunda çok az ilerleme kaydettiğini gösteriyor.
Raporda, tedarik zinciri saldırılarının hasta bakımını etkileme olasılığı en yüksek tehdit türü olduğu ortaya çıktı. Ankete katılan kuruluşların %64’ü son iki yılda bir tedarik zinciri saldırısına maruz kaldı. Bunların arasında %77’si sonuç olarak hasta bakımında aksamalar yaşadı (2022’de bu oran %70’ti).
BEC, açık ara gecikmiş prosedürler nedeniyle kötü sonuçlara yol açma olasılığı en yüksek olan saldırı türü (%71) ve onu fidye yazılımı (%59) izliyor. BEC’in ayrıca tıbbi prosedür komplikasyonlarının artmasına (%56) ve daha uzun kalış sürelerine (%55) yol açması da muhtemeldir.
Ponemon Enstitüsü’nün başkanı ve kurucusu Larry Ponemon, “Arka arkaya ikinci yılda, analiz edilen dört tür saldırının hasta güvenliği ve refahı üzerinde doğrudan olumsuz etki gösterdiğini bulduk” dedi. “Bulgularımız aynı zamanda 2022’ye kıyasla daha fazla BT ve güvenlik uzmanının kuruluşlarını her türlü saldırıya karşı savunmasız gördüğünü gösteriyor. Bu saldırılar aynı zamanda kaynaklar üzerinde geçen yıla göre çok daha büyük bir yük oluşturuyor; genel olarak ortalama %13 daha fazla maliyete ve %58’e kadar daha fazla maliyete neden oluyor. Hasta bakımı üzerindeki etkinin düzeltilmesini sağlamak için gereken sürede % daha fazla.”
Fidye yazılımı sağlık kuruluşları için her zaman mevcut bir tehdit olmaya devam ediyor
Ankete katılanların %54’ü, kuruluşlarının bir fidye yazılımı saldırısına maruz kaldığını söylüyor; bu oran 2022’de %41’di. Ancak fidye yazılımı tehdit endişeleri arasında en alt sıralarda yer aldı. Katılımcıların yalnızca %48’i, geçen yılki %60’a kıyasla bu tehdidin kendilerini en çok ilgilendirdiğini söyledi. . Fidye ödemesi yapan ankete katılan kuruluşların sayısı da 2022’deki %51’den bu yıl %40’a düştü.
Ancak en yüksek fidye ödemesinin ortalama toplam maliyeti %29 artışla 995.450 dolara yükseldi. Ayrıca %68’i fidye yazılımı saldırısının hasta bakımında kesintiye yol açtığını söyledi; çoğu (%59) prosedürlerde ve testlerde kötü sonuçlara yol açan gecikmelerden bahsetti.
Katılımcıların %43’ü bir veri kaybı veya sızma olayının hasta bakımını etkilediğini söylüyor; Bunlardan %46’sında ölüm oranlarında artış görüldü ve %38’inde tıbbi prosedürlerden kaynaklanan komplikasyonlarda artış görüldü. Kuruluşlar bu türden ortalama 19 olay yaşadı ve en muhtemel neden kötü niyetli kişilerdi (yanıt verenlerin %32’si tarafından belirlendi).
Yanıt verenlerin yalnızca %63’ü, kuruluşlarının tedarik zinciri saldırılarına karşı savunmasızlığı konusunda endişelerini dile getirdi; bu oran geçen yıl %71’di. Aynı zamanda, ankete katılanların %64’ü kuruluşlarının tedarik zincirlerinin ortalama dört kez saldırıya uğradığını ve tedarik zinciri saldırısına maruz kalanların %77’si hasta bakımında aksama yaşadığını söylüyor; bu oran geçen yıla göre %70’ti.
Anket katılımcılarının %74’ü, geçen yılki %75 ile aynı seviyede, kuruluşlarını bulut güvenliğinin ihlaline karşı en savunmasız ülke olarak görüyor. Ancak bulutun oluşturduğu tehditler konusunda daha fazla sayıda kişi endişe duyuyor: 2022’de %63’e karşılık %57. Aslında bulut uzlaşması, geçen yıl beşinci sıradan bu yıl en endişe verici tehdit olarak zirveye yükseldi.
BEC/sahtekarlık endişeleri önemli ölçüde arttı
BEC/sahtekarlık konusunda endişe duyan yanıt verenlerin sayısı geçen yılki %46’dan %62’ye yükseldi. Kuruluşların %54’ü bu tür olayların ortalama beşini yaşadı. Artan endişe, BEC/sahtekarlık saldırılarının gecikmiş prosedürler (%71), prosedürlerden kaynaklanan komplikasyonların artması (%56) ve daha uzun kalışlar (%55) nedeniyle kötü sonuçlara yol açma olasılığının diğerlerine göre daha yüksek olduğu bulgusunu yansıtıyor olabilir.
BEC/sahtekarlık kimlik avı konusunda endişe duyan kuruluşların sayısı artmasına rağmen yalnızca %45’i bu tür saldırıları önlemek ve bunlara yanıt vermek için adımlar atıyor. Benzer şekilde, tedarik zinciri saldırıları nedeniyle hasta bakımında yaşanan kesintilerin yaygınlığına rağmen kuruluşların yalnızca %45’i bunlara yanıt verecek adımları belgeledi.
Katılımcılar, kuruluşlarının siber güvenlik duruşunun tam anlamıyla etkili olmasını sağlamanın önündeki en büyük iki zorluk olarak şirket içi uzmanlık eksikliğini ve personel yetersizliğini belirttiler ve bu yıl daha fazla kuruluş bu zorluğu hissediyor: %58’i uzmanlık eksikliğini bir sorun olarak belirtti, %53’ü ise 2017’de 2022 ve %50’si yetersiz personel tespit ederken bu oran geçen yıl %46’ydı.
“Sağlık sektörü siber saldırılara karşı oldukça savunmasız kalırken, sektör yöneticilerinin bir siber olayın hasta bakımını nasıl olumsuz yönde etkileyebileceğini anlamaları beni teşvik ediyor. Ayrıca hastaları bu tür saldırıların neden olabileceği fiziksel zararlardan korumak için önemli ilerlemeler kaydedilebileceği konusunda da daha iyimserim” dedi Proofpoint Sağlık Hizmetleri Müşteri Danışma Kurulu Başkanı Ryan Witt. “Anketimiz, sağlık kuruluşlarının karşılaştıkları siber risklerin zaten farkında olduğunu gösteriyor. Artık sektördeki meslektaşlarıyla birlikte çalışmalı ve daha güçlü bir siber güvenlik duruşu oluşturmak ve sonuç olarak mümkün olan en iyi hasta bakımını sunmak için devlet desteğini benimsemelidirler.”