Dijital dönüşüm çalışma alanının yaygın olarak benimsenmesi ve web uygulamalarına geçiş, siber suçlarda küresel bir artışa yol açtı ve 2022’de IoT kötü amaçlı yazılım saldırılarında yıldan yıla %87’lik bir artış görüldü.
Hassas verilerin geniş depoları, yeni benimsenen Tıbbi Nesnelerin İnterneti teknolojisi ve genellikle modası geçmiş siber güvenlik sistemleriyle sağlık sektörü, kâr elde etmek için sektördeki güvenlik açıklarından yararlanmaya çalışan çalışkan siber suçlular için birincil hedef haline geldi. Bu sektörlerde siber saldırılar artıyor ve çevrimiçi uygulamaları hedef alan siber saldırı girişimleri geçen yıl %137 gibi kayda değer bir artış gösterdi.
Bu yazıda, sağlık kuruluşlarının siber saldırılar için neden daha fazla risk altında olduğuna bir göz atacağız. Tıbbi Nesnelerin İnterneti’nin ne olduğunu keşfedeceğiz ve sağlık kuruluşlarının ağlarının güvenliğini en iyi nasıl değerlendirmesi gerektiğini araştıracağız.
Ardından, HIPAA’nın hassas tıbbi verilerin güvenliğini sağlamada neden ve nasıl bir rol oynadığını ve saldırı yüzeyi yönetiminin sağlık kuruluşları için IoT’yi nasıl güvence altına alabileceğini açıklayacağız.
Sağlık kuruluşları neden siber saldırı riski altındadır?
Güncelliğini yitirmiş teknik sistemler ve geniş kapsamlı giriş noktaları nedeniyle, sağlık sektöründeki güvenlik açıklarından yararlanmaya çalışan bilgili tehdit aktörleri için büyük bir giriş potansiyeli vardır.
Sağlık sektörü kuruluşları sıklıkla uygulamaları yetersiz koruma ve yetersiz güvenlik önlemleriyle çalıştırdığından, sağlık sektörü uygulama tabanlı ve API tabanlı saldırılar için özel bir hedeftir.
Sağlık hizmeti kuruluşlarının, uygulamaları güvenli hale getirmek ve en son siber saldırı düzenlerinden kaynaklanan güvenlik açıklarının üstesinden gelmek için web uygulaması güvenlik testlerini benimsemesi gerekecek.
Bilgisayar korsanları, bozuk nesne düzeyinde yetkilendirme (veya BOLA) yöntemlerini kullanarak, belirli bir nesnenin kimliğini bir API komutu bağlamında ayarlayabilir.
Bu erişim, bilgisayar korsanlarının isteğin kimliğini manipüle etmesine izin vererek, kullanıcıların kapı koruma önlemlerini tamamen atlaması ve kısıtlı verileri okuması için kolay bir erişim noktası sağlar. Yetkisiz kullanıcılar, bir kullanıcının özel verilerini bile silebilir.
Bu tür saldırılar, veritabanlarında hastaların tıbbi geçmişleri, güncel sağlık kayıtları, ev adresleri ve finansal ayrıntılar hakkında çok sayıda hassas bilgi içeren sağlık kuruluşlarını manipüle etmek ve gasp etmek için geniş bir potansiyel sunar.
Tıbbi nesnelerin interneti nedir?
Tıbbi Nesnelerin İnterneti (IoMT), Akıllı Sağlık uygulamaları için kullanılabilecek bir bulut bilişim yapısı üzerinden verileri gerçek zamanlı olarak ileten birbirine bağlı iletişim teknolojileri ağını ifade eder.
Tıbbi Nesnelerin İnterneti (IoMT), yaygın olarak kullanılan Nesnelerin İnterneti’nin (IoT) bir yan ürünüdür. IoT, cep telefonları, giyilebilir cihazlar, endüstriyel sensörler ve bulut depolama veritabanları aracılığıyla bilgi ileten çalıştırma portları dahil olmak üzere çok çeşitli cihazlar arasında gelişmiş yapay zeka özellikli iletişim sağlar.
IoT, diğer kullanımların yanı sıra akıllı evleri birbirine bağlamak, akıllı arabalara güç sağlamak, akıllı şehirleri senkronize etmek, akıllı enerji şebekeleri kurmak ve akıllı perakendeyi geliştirmek için kullanılır.
Bu arada Tıbbi Nesnelerin İnterneti, mobil bilgisayarlar, tıbbi sensörler ve bulut hesaplama yazılımı arasında veri iletişimi sağlar. Bu cihazların senkronizasyonu, tıp uzmanlarının bir hastanın hayati belirtilerini ve sağlık ilerlemesini izlemesine ve analiz etmesine olanak tanır.
Tıp uzmanları, hasta koşullarını değerlendirmek, teşhis etmek, tedavi etmek ve izlemek için IoT tarafından sağlanan gelişmiş yeteneklerden yararlanabilir.
Akıllı sağlık cihazları aracılığıyla iletilen hassas verilerin miktarı göz önüne alındığında, sağlık kuruluşlarının Tıbbi Nesnelerin İnternetini güvenli hale getirmesi hayati önem taşımaktadır. IoT’yi oluşturmak için bir araya gelen cihazlar aracılığıyla iletilen veriler, tıp uzmanlarının buluttan veri çeken web tabanlı uygulamalar aracılığıyla erişebildiği katmanlı bulut bilgi işlem platformları aracılığıyla iletilir.
Bu bulut veri depolama platformları, veritabanı depolama, çeşitli müşteriler ve profesyoneller için erişim portalları ve Elektronik Tıbbi Kayıtların veya EMR’lerin değiş tokuşunu içerebilir. Bazı birbirine bağlı IoT cihazları, hastaların tıbbi kayıtlarına ve durumlarıyla ilgili güncel bilgilere gerçek zamanlı olarak erişebilmeleri için hasta portalları da sunabilir.
Sağlık kuruluşunuzun güvenliğini nasıl değerlendirebilirsiniz?
Etkili bir risk değerlendirme süreci yürütmek, BT uzmanlarının ve güvenlik yöneticilerinin sağlık kuruluşunuzun genel siber güvenlik düzeyini değerlendirmesine olanak tanır.
Genel bir güvenli parola politikası gibi temel bireysel güvenlik önlemlerinden, yürürlüğe girmesi gereken belirli güvenlik yamalarına kadar, bir güvenlik riski değerlendirmesi, sağlık kuruluşunuzun güvenlik yaklaşımının tamamını kapsamalıdır.
Bir güvenlik riski değerlendirmesi, belirli çalışan eğitimi ve farkındalığı dahil olmak üzere sağlık kuruluşunun dijital altyapısındaki olası tüm zayıf noktaları ve savunmasız varlıkları belirleyecektir.
Bu risk değerlendirmesi, başarılı bir siber saldırı durumunda nelerin risk altında olduğunu anlamak için kuruluşunuzun tüm varlıklarının bir envanterinin çıkarılmasını içermelidir.
Elinizdeki bu envanter sayesinde, başarılı bir siber saldırı durumunda sağlık kuruluşunuza verebileceği zararları hesaplayabileceksiniz.
Örneğin, kötü bir kişi kuruluşunuzun EHR’sine (elektronik sağlık kayıtları) erişebiliyorsa, kuruluşunuz kayıtlar geri alınıp güvenlik altına alınana kadar tüm hasta tedavilerini ve prosedürlerini durdurmayı gerekli görebilir. Veya kuruluşunuz ülke çapındaki düzenleyici önlemlere uymadığı için para cezasına çarptırılabilir.
Risk değerlendirme süreciniz, olası her tehdide, savunmasız duruma ve açığa çıkan verilere ilişkin kapsamlı bir analiz içermelidir. Sel veya elektrik kesintisi gibi doğal afetler, savunmasız veritabanlarının açığa çıkmasına neden olabilirken, kişiler arası sinsi saldırılar, kimlik avı e-postaları veya DDoS, sağlık kuruluşu sunucularına dağıtılmış hizmet reddi saldırıları şeklinde gelebilir.
Kısıtlanmış sunuculara ve veritabanlarına erişimi olan hayata küsmüş eski çalışanlar, hassas verileri kötü niyetli olarak kurcalayarak memnuniyetsizliklerini dile getirebilirler. Kuruluşun genel güvenlik durumunu doğru bir şekilde değerlendirmek için herhangi bir risk durumu dikkate alınmalıdır ve bu, doğru kişilerin kalıcı zararları önlemesine ve azaltmasına olanak tanır.
HIPAA nasıl/neden rol oynar?
1996 Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası olan HIPAA, her sağlık kuruluşunun en son temel güvenlik önlemlerine uymasını sağlayan ülke çapında düzenlemeler sağlar. HIPAA, sağlık kuruluşlarına yangın veya sel gibi beklenmedik durumlarda zararları hafifletmeye yardımcı olan etkili acil durum planlarının nasıl oluşturulacağı konusunda talimat verebilecek yönergeler sağlar.
Örneğin, sağlık kuruluşlarının HIPAA düzenlemelerine uymak için tüm veritabanlarının en az üç kopyasını tutması gerekir. Bu üç kopya en az iki farklı ortam türünde saklanmalı ve bu üç veri kopyasından biri tesis dışında saklanmalıdır. Bir kuruluş HIPAA tarafından zorunlu kılınan temel gereklilikleri karşılayamazsa, sonuç olarak bol miktarda para cezasına çarptırılabilir.
Amerika Birleşik Devletleri Sağlık ve İnsan Hizmetleri Departmanı veya HHS, sağlık kuruluşlarının HIPAA standartlarına uymaya devam edeceğini garanti etmek için HIPAA Gizlilik Kuralını yayınladı.
HIPAA Gizlilik Kuralı, bir hastanın sağlık bilgilerini içeren hassas verileri, söz konusu hastanın açık rızası ve bilgisi olmadan ifşa edilmeye veya paylaşılmaya karşı korur. Bu kural, hem hasta kayıtlarının tıp uzmanları arasında paylaşılmasını hem de hasta kayıtlarının kötü niyetli kişilere ve siber saldırılara karşı korunmasını kapsar.
Saldırı yüzeyi yönetimi IoT’nizi nasıl güvence altına alabilir?
Saldırı yüzeyi yönetimi, risk tabanlı bir güvenlik açığı yönetimi programı benimseyerek sağlık kuruluşları için IoT’yi güvence altına almak için kullanılabilir. Kötü aktörler için güvenlik açıklarının olduğu alanların azaltılması, başlangıçtan itibaren başarılı siber saldırılar gerçekleştirme olasılığını azaltır.
Başarılı saldırıların çoğu, saldırı için bir yüzey sağlayan savunmasız cihazların girilmesiyle gerçekleştirilir.
Bulut tabanlı veritabanları, ağ hizmetleri, bellenim, belirli bireysel cihazlar, depolama sistemleri, sunucular ve web tabanlı uygulamaların her biri, genel bir sistemin sağlam güvenlik programının güvenliğine veya güvenlik açığına katkıda bulunabilir.
Bir kuruluşun İnternet’e yönelik saldırı yüzeyini proaktif olarak yönetmek, ölçmek ve azaltmak, ağ ihlali riskini önemli ölçüde azaltabilir.
Uzman şirket içi uzmanlığımızın yanı sıra tescilli otomasyon platformumuz ve saldırı yüzeyi analiz araçlarımızın bir kombinasyonunu kullanarak, siz çalışırken tek bir noktadaki risk analizinden uzun vadeli planlamaya, yürütmeye ve ölçüm toplamaya kadar her şeyi sağlayabiliriz. İnternet tabanlı saldırılara maruz kalma oranınızı azaltın.
Saldırı yüzeyi yönetimi, kısıtlı bir alana erişim talep eden her kullanıcının söz konusu verilere erişimi kabul edilmeden önce fazlasıyla doğrulanmasını sağlamak için güçlü kimlik doğrulama önlemleri gerektirir.
Otomatik istismar araçlarının kısıtlı bir sisteme ilk erişim sağlaması engellenecek ve daha etkili bir güvenlik temeli oluşturmak için zayıf kimlik doğrulama alanları yamalanacaktır.
Saldırı yüzeyi yönetimi, bir kuruluşun internet tabanlı siber saldırılara karşı potansiyel savunmasızlığını azaltır; bu, tüm hassas tıbbi veriler internet üzerinden depolanıp iletişim kurduğundan, birbirine bağlı IoT cihazlarının ve sistemlerinin genel güvenliğini doğrudan etkileyecektir.
Son düşünceler
Sağlık sektörü, giderek daha fazla kuruluşun IoT’yi çalıştıran birbirine bağlı Akıllı Sağlık cihazlarına güvenmeye başlamasıyla bir geçiş halindedir.
Tıbbi Nesnelerin İnterneti, tıbbi uygulamaları güncellemek ve gelişmiş hasta durumu analizi ve tedavi prosedürleri sağlamak için yenilikçi bir yol sağlar. Ancak yeterli güvenlik önlemleri olmadan, sağlık kuruluşları artan güvenlik açıklarına açık olacaktır.
Olası tüm tehditlerin ve güvenlik açıklarının belirlenmesi, sağlık kuruluşunun dijital ağının ve kurum içi yazılım sistemlerinin tüm yönleriyle kapsamlı koruma sağlayacak yeterli güvenlik önlemlerinin alınmasında kilit öneme sahiptir.
HIPAA yönergeleri ve standartlarına uygunluğun sürdürülmesi, sağlık kuruluşlarının yeterli güvenlik önlemlerine sahip olmasını sağlayabilir.
Saldırı yüzey yönetimini etkinleştirmek, Tıbbi Nesnelerin İnterneti cihazlarının çalıştığı internetin güvenliğini sağlamaya yardımcı olabilir. Hasta verilerinin ve Elektronik Tıbbi Kayıtların korunması, IoT teknolojisi gelişmeye devam ederken güvenli bir tıbbi sistem sağlamanın anahtarıdır.
Outpost24 tarafından desteklenmiş ve yazılmıştır.