Son birkaç ayda hızla artan bu saldırıların sıklığı ve karmaşıklığı nedeniyle sağlık sektörü siber saldırıların ana hedefi haline geldi. Geçen yıl sağlık hizmeti hacklerinde 124 milyondan fazla kayıt ele geçirildi. Bu artış, hasta verilerinin tehlikeye girme potansiyeli, sağlık kuruluşları için ciddi mali kayıplar ve en önemlisi sağlık hizmetlerinin kesintiye uğraması gibi önemli riskleri beraberinde getiriyor. Bu yılın başlarında, UnitedHealth’e 872 milyon dolara mal olan Change Healthcare siber saldırısı, kötü aktörleri finansal kazanç elde etmek amacıyla sağlık sektörünü daha fazla hedef almaya teşvik etmiş olabilir. Siber güvenlik sektörü bu tür saldırılara yanıt olarak gelişiyor ve sağlık kuruluşları – ve genel olarak teknoloji sektörü – kendilerini korumak için yeni stratejiler ve teknolojiler benimsiyor.
Neden sağlık sektörü?
Amerikan hastane sistemlerine yönelik rapor edilen siber saldırıların sayısı 2022’den 2023’e neredeyse iki katına çıktı. Sağlık sektörü çeşitli nedenlerden dolayı siber saldırılara karşı özellikle savunmasızdır. Dünyadaki veri hacminin yaklaşık %30’unu üreten sağlık kuruluşları, kişisel sağlık bilgileri (PHI), tıbbi kayıtlar ve finansal bilgiler dahil olmak üzere çok büyük miktarda değerli veriyi elinde tutuyor. Bu veriler karaborsada yüksek talep görüyor çünkü kimlik hırsızlığı, sigorta dolandırıcılığı ve diğer kötü amaçlı faaliyetler için kullanılabiliyor. Son veriler, tıbbi kayıtların kredi kartı bilgilerinden 20 kat daha fazla satıldığını gösterdi.
Ayrıca, Sağlık hizmetlerinin kritik doğası, hastaneleri ve klinikleri fidye yazılımı saldırılarının birincil hedefi haline getiriyor; çünkü siber suçlular, sağlık hizmetleri operasyonlarını aksatmanın yaşamı tehdit eden sonuçlara yol açabileceğini biliyor. Bu, hedeflenen kuruluşun hizmetleri hızlı bir şekilde geri yüklemek için fidye ödemesi olasılığını artırır. Sağlık hizmeti verilerinin hassasiyeti ve önemi göz önüne alındığında, sağlık kuruluşlarının sistemleri ve verileri üzerindeki kontrolü hızlı bir şekilde yeniden ele geçirmek için fidye veya gasp talepleri ödeme olasılığı daha yüksektir. A anket Sağlık bilişimi uzmanlarının %61’i, tüm sektörler için ortalama %46 iken kuruluşlarının fidye ödediğini kabul etti. Konu bu noktaya geldiğinde, kolluk kuvvetleri ve siber güvenlik uzmanları aslında fidye ödememeye karşı tavsiyelerde bulunuyor çünkü bu, daha fazla suç faaliyetini teşvik edebilir. Ayrıca fidye yazılımı gruplarının fidyeyi aldıktan sonra sistemlere erişimi yeniden sağlayacağına veya ek ödeme talep etmeyeceklerine dair bir güvence bulunmuyor.
Halk, kişisel ve tıbbi bilgilerini koruma konusunda sağlık kuruluşlarına güveniyor; Başarılı bir siber saldırı, bu güvene ve kuruluşun itibarına ciddi şekilde zarar vererek uzun vadeli mali ve operasyonel sonuçlara yol açabilir. Saldırganlar, sağlık hizmeti sağlayıcılarının itibarlarını koruma ve tutarlı, kaliteli bakım sağlama konusunda baskı altında olduklarını bilerek bu güvenlik açığından yararlanır. Sağlık kuruluşlarının ayrıca Amerika Birleşik Devletleri’ndeki hasta verilerinin korunmasını zorunlu kılan Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) gibi katı düzenlemelere de uyması gerekir. Uyumsuzluk, ağır para cezalarına ve yasal sonuçlara yol açarak sağlık hizmeti sağlayıcılarını şantajlara karşı daha da savunmasız hale getirebilir.
Lojistik cephede, Sağlık hizmeti sağlayıcı kuruluşların %73’ü eski sistemler üzerinde faaliyet gösteriyor ve bu eski teknoloji, onların siber saldırılara karşı daha savunmasız olmasına neden olabiliyor. Bu eski sistemler genellikle modern güvenlik özelliklerinden yoksundur ve maliyet ve karmaşıklık nedeniyle güncellenmesi veya değiştirilmesi zor olabilir; bu da onları kötü niyetli aktörler için birincil hedef haline getirir.
Sağlık sektörü ne yapabilir?
Sağlık şirketleri, siber saldırıların oluşmasını önlemek için öncelikle sağlam savunmalara ve teknoloji yatırımlarına öncelik vermelidir. Siber suçlular hızla gelişse de yapay zeka (AI) ve sıfır güven mimarisi gibi siber güvenlik teknolojileri de sağlık hizmetleri gibi sektörlerin korunmasına yardımcı olmak için hızla gelişiyor. Bu ileri teknolojiler, gelişmiş şifreleme ve bulut güvenliği çözümleri sayesinde sağlık kuruluşları, gelişen tehditlere karşı koruma sağlama konusunda giderek artan fırsatlara sahip oluyor. Ancak bu çabalar tek başına siber suçların gidişatını değiştirmek için yeterli değildir. Sağlık sektörünün korunması, kolluk kuvvetleri ve mevzuatı içeren yaygın bir çaba olmalıdır.
Teknoloji sektörü de bu tehditlere karşı harekete geçti. Son zamanlarda Microsoft ve Google, Amerika Birleşik Devletleri’ndeki kırsal hastanelere hasta bakımını aksatacak ve hayatları tehdit edecek siber saldırılara karşı daha duyarlı hale getirmek için ücretsiz veya indirimli siber güvenlik hizmetleri sunacaklarını duyurdu. Bu sorun finansal açıdan ve bireylerin refahı açısından giderek daha maliyetli hale geldiğinden, sektörden de benzer tepkiler görmemiz muhtemel.
Siber tehditlerin karmaşıklığı artmaya devam ederken, sağlık hizmeti sağlayıcıları ile siber güvenlik uzmanları arasındaki ortaklık, hasta verilerinin korunması ve sağlık hizmetlerinin kesintisiz sunumunun sağlanması açısından hayati önem taşıyacak.
Yazar Hakkında
Ariel Novak, B2B teknoloji ve sağlık markalarına yönelik küresel, entegre, veri odaklı bir pazarlama ve halkla ilişkiler firması olan PAN’da Siber Güvenlikten Sorumlu Başkan Yardımcısıdır. Ariel, PAN’da Booz Allen Hamilton, HPE, Citrix, Thales ve Vercara gibi siber güvenliğe tutkuyla bağlı B2B teknoloji markalarıyla çalıştı.
Ariel, kariyerine New England Basın Birliği’nden ödül alarak muhabir olarak başladı. İlgi çekici hikaye anlatımına olan tutkusu, müşterilerinin güçlü anlatılar oluşturmasına yardımcı olan ödüllü kampanyalarında açıkça görülüyor. Ariel Maine’de yaşıyor ve Bates College’dan mezun oldu.