Siber suçluların sağlık sektörüne yönelik karmaşık saldırılar başlatmasıyla son yıllarda sağlık sektörüne yönelik fidye yazılımı saldırıları arttı. Hastaneler — operasyonlar ve hasta güvenliği için ciddi bir tehdit oluşturuyor.
Kullanıcıların fidye ödenene kadar verilerine erişimini engelleyen bir kötü amaçlı yazılım türü olan fidye yazılımı, sağlık sistemleri için korkunç sonuçlara yol açabilir, bakım hizmetinin aksamasına, elektronik sağlık kayıtlarının kapatılmasına, planlanan randevuların veya prosedürlerin iptal edilmesine ve ambulansların diğer tesislere gitmeye zorlanmasına neden olabilir. Bazı araştırmalar, fidye yazılımı saldırılarının ve diğer siber saldırıların hasta ölüm oranlarını artırabileceğini göstermiştir.
İnternet Güvenliği Merkezi’nde güvenlik uygulamaları içerik geliştirme başkan yardımcısı Phyllis Lee, bu yüksek risklerin sektörü siber suçlular için daha çekici bir hedef haline getirdiğini söyledi.
FBI fidye taleplerinin karşılanması konusunda uyarıda bulunsa da, hasta bakımı aksadığında sağlayıcılar ödeme yapmaya motive olabilir.
Lee, “Müşterilerine, yani hastalara yardım etmek için ne gerekiyorsa yapmaya istekli bir kurbanınız var,” dedi. “Bu yüzden bir anlamda kolay kurban olduklarını düşünüyorum.”
Sektör bu yıl zaten büyük fidye yazılımı saldırıları gördü. UnitedHealth’in talep işleme birimi Change Healthcare’e yapılan bir saldırı, sektör genelinde normal operasyonları haftalarca aksattı, büyük kar amacı gütmeyen sağlık sistemi Ascension ise EHR’sini tamamen eski haline getirmek için bir aydan fazla zamana ihtiyaç duydu.
HHS, son beş yılda Sivil Haklar Ofisi’ne bildirilen fidye yazılımlarıyla ilgili büyük veri ihlallerinde %264’lük bir artış olduğunu tespit etti.
Uzmanlar, Healthcare Dive’a siber güvenlik uzmanlarının yetersizliği, giderek daha fazla bağlantılı hale gelen sağlık ortamı ve daha fazla fidye yazılımı saldırısına olanak tanıyan iş modellerinin sektörü daha savunmasız hale getirdiğini söyledi.
Ancak temel siber koruma önlemlerini uygulayan, teknoloji ortamlarını bilen ve saldırılara karşı önceden planlama yapan hastaneler, siber suçluları engellemede daha iyi bir konumda olabilir.
Daha fazla bağlı cihaz, yeterli kaynak yok
Uzmanlar, hastanelerin giderek daha fazla internete bağlı bir ortamda faaliyet gösterdiğini ve bunun da saldırılar için daha fazla fırsat yarattığını söylüyor.
Tesisler, son birkaç yıldır yalnızca tipik BT veya tıbbi cihazlarla sınırlı kalmayıp, bağlantılı teknolojilerin benimsenmesini hızlandırdı. John Riggi, Amerikan Hastane Birliği’nde siber güvenlik ve risk konusunda ulusal danışman. Isıtma ve soğutma sistemleri veya asansörler gibi diğer önemli operasyonlar da internete bağlanabilir.
Bağlantılı teknoloji, iş ve klinik açıdan çok sayıda verimlilik yaratıyor, ancak hastanelerin, bilgisayar korsanlarının bu güvenlik açıklarından faydalanmasını önlemek için tüm bu cihazları güncellemesi ve yamalaması gerekiyor, diye ekledi.
Ancak cihazları güncellemek hastaneler için her zaman kolay değildir ve bu da onları çevrimdışı hale getirmeyi gerektirebilir. HHS’nin Sağlık için Gelişmiş Araştırma Projeleri Ajansı’na göre, satıcılar tüketici ürünlerini günler veya haftalar içinde güncelleyebilirken, sağlık sektöründe bir yamayı büyük ölçekte dağıtmak bir yıla kadar sürebilir.
Siber güvenlik firması Fortified Health Security’de tehdit değerlendirme operasyonları kıdemli direktörü olan TJ Ramsey, “Sadece fişini çekip yeni prize takamazsınız,” dedi. “Bu büyük bir koordinasyon. Büyük bir projeye dönüşüyor.”
Siber güvenlik önlemlerini koordine etmek, hastanelerde kıt olabilecek kaynaklar (fonlar, teknoloji kesintileri ve personel) gerektirir. Ramsey, özellikle küçük olanlar olmak üzere birçok tesisin dar marjlarla çalıştığını ve bu durumun onları siber güvenlik ile hasta bakımını daha doğrudan etkileyebilecek satın alımlar da dahil olmak üzere diğer yatırımlar arasında seçim yapmaya ittiğini söyledi.
Siber güvenlik personelinin hastaneler tarafından bulunmasının da zor olabileceğini söyleyen Sağlık Bilgi Paylaşımı ve Analiz Merkezi’nin (Health-ISAC) baş güvenlik görevlisi Errol Weiss, şunları söyledi: Siber güvenlik profesyonelleri dünya çapında yetersiz ve sağlık sistemleri, çalışanlara daha fazla ödeme yapabilecek olanlar da dahil olmak üzere yetenek için diğer sektörlerle rekabet ediyor.
Weiss, “Yeterince insanı eğitmiyoruz, siber güvenlik alanında üniversite dersleriyle yeterince insanı mezun etmiyoruz,” dedi. “Ve onlara ihtiyaç duyduğumuz işlerin sayısı giderek artıyor.”
Hizmet olarak fidye yazılımı ve devlet aktörleri
Siber suçlular, önemli teknik becerilere sahip olmadan saldırılar düzenlemelerine olanak tanıyan hoşgörülü ulus devletlerden ve iş modellerinden faydalanabilirler.
Fidye yazılımı hizmeti, geliştiricilerin fidye yazılımı araçları geliştirip bunları diğer siber suçlulara kiraladığı bir iş modelidir.
Lee, modelin daha fazla kişinin kendi fidye yazılımı kitlerini oluşturma bilgisine sahip olmasalar bile nispeten düşük bir maliyetle saldırılar gerçekleştirmesine olanak tanıdığını söyledi. Siber güvenlik firması CrowdStrike’a göre bazıları teknik destek, forumlar ve kullanıcı incelemeleri bile içerebilir.
“Artık bir fidye yazılımı saldırısı gerçekleştirmek için siber güvenlik uzmanı olmanıza gerek yok,” dedi. “Siber suçlu olmanın giriş engelini düşürdü.”
Bazı fidye yazılımı grupları ulus devletlerin desteğiyle gelişiyor. Riggi, birçok grubun Rusya veya müttefik ülkelerden faaliyet gösterdiğini söyledi.
Küresel politika saldırılar için bir motivasyon kaynağı olabilir ve bazıları Rus hükümeti tarafından desteklenebilir. Ancak desteklenmeseler bile Rusya, fidye yazılımı gruplarını kapatmak için ABD kolluk kuvvetleriyle işbirliği yapmayacak, dedi. Federal hükümete göre Kuzey Kore ve Çin’deki siber suç grupları sağlık ve kamu sağlığı sektörünü de hedef alıyor.
“Onlar için müsamahakâr bir çalışma ortamı yaratıyorlar,” dedi Riggi. “Batı’ya saldırdıkları ve Rusya’ya saldırmadıkları sürece bu gruplara güvenli liman sağlıyorlar, o zaman onlara güvenli liman sağlanmış oluyor.”
Hastaneler kendilerini nasıl koruyabilir?
Lee’ye göre, çok faktörlü kimlik doğrulama ve çalışanlar için kimlik avı önleme eğitimi gibi siber korumalar hastaneleri korumak için kritik öneme sahiptir. Çok faktörlü kimlik doğrulama Bir kullanıcının kimliğini doğrulamak için ikinci bir yöntem kullanır ve kimlik avı koruması, siber suçluların hassas bilgilere erişmek için güvenilir bir kişi gibi davranmasını gerektiren taktiklere karşı koruma sağlar.
Sağlık sistemlerinin ayrıca teknoloji ortamlarını da bilmeleri gerektiğini ekledi. Hangi teknoloji varlıklarına sahipler ve bunlara kimler erişebiliyor? Bu cihazlarda hangi yazılımlar çalışıyor? Bu yazılımlar yamalı ve güncel mi?
Özellikle çalışanlar dizüstü bilgisayarlarını veya tabletlerini eve götürdüklerinde veya seyahat hemşireleri gibi geçici çalışanlardan oluşan bir ağları olduğunda, bunun kuruluşlar için en büyük zorluklardan biri olabileceğini söyledi.
Uzaktan oturum açan veya e-postalarına hastane dışından erişen kişiler gibi harici çalışanlar, çok faktörlü kimlik doğrulamayı uygulamak gibi yeni bir siber güvenlik projesine başlarken ilk sırada yer almalıdır. Ramsey, “Hemşirelerin ve doktorların sağlık sistemi tesislerinde rozetlerini okutmaları ikincil bir öncelik olabilir” dedi.
Ancak saldırganlar bir hastanenin savunmalarını aşabilirse, kapsamlı yedeklemelere sahip olmak ve bunları kullanma stratejisi hızlı bir kurtarma için anahtardır. Sağlık sistemleri önceden plan yapmalı ve verileri ne kadar hızlı ve hangi zaman noktasına kadar kurtarabileceklerini ve ne kadar bilgi kaybetmeye razı olacaklarını düşünmelidir.
Hastanelerin ayrıca hangi iş istasyonlarının kritik olduğunu da belirlemeleri gerektiğini, çünkü bazı veritabanlarının hasta kayıtları gibi önemli sistemleri barındırması durumunda daha sık yedeklemeye ihtiyaç duyabileceğini söyledi.
Ramsey, “Buna hazırlıklı olmanın en iyi yolu, bunun hakkında aktif olarak konuşmaktır,” dedi. “Fidye yazılımından nasıl etkileneceğiniz konusunda gerçekten endişeliyseniz, bunun hakkında aktif olarak konuşmalı, ekibinizi masaüstü tatbikatları yapmaya teşvik etmeli, rahatsız edici konuşmalar yapmaya istekli olmalısınız.”