Sağlık hizmetleri veri analitiği ve gelir döngüsü yönetimi hizmetleri sunan Nashville merkezli bir şirket olan Change Healthcare, Şubat ayında bir siber saldırıya uğradı. İlk raporlar ağ kesintilerinin “en azından” o günün sonuna kadar sürebileceği tahmin ediliyor. Üzerinden bir aydan fazla zaman geçmesine rağmen siber saldırının mali ve insani bedeli, yalnızca Change’de değil, hastalar, hizmet sağlayıcı ortakları ve diğer paydaşlar arasında da hâlâ hissediliyor.
Değişim olayı yalnız değil. 2023’te birden fazla 540 kuruluş ve 112 milyon kişi 2022’de 590 kuruluş ve etkilenen 48,6 milyon kişiyle karşılaştırıldığında, Sivil Haklar Dairesi’ne (OCR) bildirilen sağlık hizmeti veri ihlallerinden etkilenenlerin sayısı arttı. Olaylar giderek daha karmaşık hale geldi ve söz konusu olan para daha da büyüyor.
İşgücünün küresel olarak çeşitlenmesi, siber saldırıların da daha geniş bir etki yaratması anlamına geliyor. Sistemlerine uluslararası erişimi kapatabilen işletmeler için altyapılarının zarar görmesini önlemek daha az karmaşıktır. Tek bir uluslararası ortağı olan firmalar bile (şu anda her zamankinden daha fazla sayıda var) daha karmaşık bir tabloyla karşı karşıya.
Dikkatli kalması gerekenler yalnızca büyük işletmeler değil. Küçük ve orta ölçekli şirketler de artan risk altındadır. Her büyüklükteki şirketin mevcut protokolleri ve kaynakları olmalıdır. Sağlık sektörü büyüyen siber saldırı dalgasından neler öğrenebilir ve bir sonraki dalgaya karşı korunmak için hangi kaynaklar mevcut?
Bazı en iyi uygulamalar asla değişmez. Güvenlik ihlallerine karşı tetikte kalabilmek için kuruluşların on yıl veya daha uzun süredir geçerli olan temel ilkelerin çoğunu takip etmesi gerekiyor. Çalışanların oturum açma parolalarını sık sık değiştirmelerini zorunlu kılın. Mümkün olduğunda iki faktörlü kimlik doğrulamayı kullanın. Gerekirse, özellikle halka açık ortamlarda, başkalarının kolayca erişebileceği tüm cihazlardan çıkış yapın. Bir çalışan ayrıldığında, şirket tarafından verilen donanımları teslim ettiğinden emin olun. Kuruluşlar ayrıca, çalışanlar tarafından bu donanım üzerinde kullanılan tüm teknolojilerin kapsamlı bir görünürlüğüne sahip olmalı, kullanım kapsamlarını anlamalı ve riski azaltmak için tüm donanım ve yazılımları en son güvenlik yamalarıyla güncel tutmalıdır.
Son yıllarda en çok değişen şey küresel tehditlerin kapsamı, sıklığı ve karmaşıklığıdır. Uluslararası e-ticaret fırsatlarının patlaması, dış kaynaklı işlerin büyüyen bir uluslararası yetenek tabanına yayılması ve işletmelerin yurt dışında ölçeklendirmeye izin veren araçlara yatırım yapma şeklindeki sürekli değişiklikler nedeniyle kuruluşlar odak noktalarını genişletmek zorunda kaldı. Güvenlik protokollerini diğer platformlarla birlikte ölçeklendirmeyen kuruluşlar ölümcül bir hatayla karşı karşıya kalabilir.
Sağlık sektörü tarihsel olarak basit bir nedenden dolayı ortaya çıkan tehditlere karşı savunmasız olmuştur: Tıbbi kayıtlar karaborsada çok büyük bir değere sahiptir. Yıllar boyunca birincil tehditler, ihlalle ilgili olan her şeydi; kötü aktörlerin özel hasta verilerine erişmeye çalışması. Son zamanlarda bu kötü aktörler, amaçları veri çalmaktan ziyade ABD sağlık sistemini felce uğratmaya odaklanan terör örgütlerine benziyor ve kokuyor.
11 Eylül 2001’deki terör saldırılarından sonra uygulanan önlemleri düşünün. Nükleer santraller, elektrik santralleri ve su arıtma tesisleri gibi genel olarak hassas kurumların güvenlik protokolleri artırıldı. Görünüşte farklı görünseler de sağlık güvenliği vakalarının çoğu aynı nihai hedefe sahiptir: Veri çalmaktan çok temel altyapıyı bozmaya yöneliktir.
Bir bilgisayar korsanı, bir elektronik ağı davetsiz trafikle doldurarak herhangi bir sağlık sisteminin aksamasına neden olabilir. Dağıtılmış Hizmet Reddi veya DDoS adı verilen bu tür saldırılar 2019’dan bu yana sağlık sektörü kuruluşları arasında yükselişe geçti. Sağlık Sektörü Siber Güvenlik Koordinasyon MerkeziABD Sağlık ve İnsani Hizmetler Bakanlığı’nın bir bölümü olan bu tehditleri izliyor ve ilgili konularla ilgili olarak sektör liderlerine periyodik olarak tavsiyelerde bulunuyor.
Change Healthcare olayı, sektöre yönelik şüpheli fidye yazılımı saldırısının son örneğiydi. Amerikan Hastaneler Birliği (AHA) buna şöyle seslendi: “Tarihte ABD sağlık sistemine karşı türünün en önemli ve en önemli olayı.” Sorunun yalnızca sağlık hizmetleriyle sınırlı olmadığı dikkat çekiyor. Siber saldırılar 2023’te izlenen neredeyse her ölçümde iki veya üç kat arttı. SonicWall’a göre.
Sağlık ve İnsani Hizmetler, Değişim olayının sonuçlarından etkilenen paydaşlara uyum sağlamak için çabalarken, uzun vadeli endişe gelecekte benzer olayların önlenmesiydi.
FBI Ve diğer devlet ajanslar Bilgi notları, güncel tehdit analizleri, sektöre özel yayınlar sunan siber güvenlik kaynaklarına sahip olun ve beyaz şapkalı hackerlar — kritik güvenlik açıklarını belirlemeye çalışan iyi aktörler. Kuruluşunuz çevrimiçi sistemlerinizin kaynak kodu düzeyinde siber güvenlik tehditlerine karşı koruma sağlamıyorsa, bunu yapabilecek bir üçüncü taraf hizmetle ortaklık kurmak zorunludur.
Nereden başlayacaklarını merak eden küçük kuruluşlar, federal gözlemciler tarafından belirlenen halka açık en iyi uygulamaları düzenli olarak izlemekten ve bunlara bağlı kalmaktan yararlanabilir. Ancak yolculuğun hızla gelişeceğine hazırlıklı olun. Müşterilerin ve müşterilerin, hassas bilgilerinin güvenliğini sağlamak için gereksinimleri genel en iyi uygulamaların üstüne ve ötesine koymalarını öngörün. Tipik olarak bu gereksinimler, standartlara uygunluğu belgeleyen bir üçüncü taraf denetimi biçiminde olur. Ulusal Standartlar ve Teknoloji Enstitüleri (NIST) tarafından özetlenenler gibi.
SOC-2 sertifikası, bulut tabanlı satıcılara sunulan, sektörden bağımsız bir başarıdır. Bu, yalnızca üçüncü taraf bir denetçinin, satıcının mevcut sistem ve süreçlere dayalı olarak beş güven ilkesinden bir veya daha fazlasına uyduğunu tasdik etmesiyle gerçekleştirilir. SOC-2 Tip II belgesi, bir şirketin SOC-2 kriterlerini kullanan güvenlik ve gizlilik kontrollerinin ayrıntılarını verir. Sağlık hizmetleri satıcılarına özel bir HITRUST değerlendirmesi, başka bir sertifikasyon katmanı sağlayabilir ve paydaşlara, müşterilere ve düzenleyicilere risk yönetimi ve uyumluluk programlarınıza güven verebilir. Amazon Web Services, Azure, Google ve Oracle gibi çeşitli bulut altyapısı sağlayıcılarının güvenlik protokolleri ayrıntılı olarak farklılık gösterecektir ancak hepsinde benzer dahili prosedürler mevcuttur.
Kapsamlı stratejiler ve kaynaklar mevcut olduğunda, her büyüklükteki şirket, güvenlik olaylarının ilk etapta kesintiye neden olmasını önlemek için iyi hazırlıklı olabilir. Siber güvenlik güncellemeleri ve haber başlıklarından haberdar olun, böylece gelişen koşullara karşı çevik olmaya devam edebilirsiniz. Şirketinize yönelik bir sonraki siber saldırının, olup olmayacağı değil, ne zaman olacağı sorusu olduğunu tahmin edin.
Zach Evans, Baş Teknoloji Sorumlusu XsolisMüşteri hedeflerini ve dahili iş operasyonlarını desteklemek için Xsolis’in tescilli gerçek zamanlı tahmine dayalı analitiklerini ve teknolojisini kullanmaktan sorumlu olduğu, insan merkezli bir yaklaşıma sahip, yapay zeka odaklı bir sağlık teknolojisi şirketidir.
Reklam