Senatör Ron Wyden (D-Ore.), Amerikalıların neredeyse üçte birinin korunan sağlık bilgilerini açığa çıkaran yıkıcı Change Healthcare fidye yazılımı saldırısının ardından, ABD hükümetine sağlık sektöründeki siber güvenlik iyileştirmelerini hızlandırması için baskı yapıyor.
ABD Sağlık ve İnsani Hizmetler Bakanlığı sekreteri Xavier Becerra’ya yazdığı bir mektupta Wyden, HHS’yi büyük sağlık kuruluşlarının “gevşek siber güvenlik uygulamalarını” iyileştirmek için acil ve uygulanabilir adımlar atmaya çağırdı.
“HHS’nin sağlık hizmetleri siber güvenliğine yönelik mevcut yaklaşımının (kendi kendini düzenleme ve gönüllü en iyi uygulamalar) ne yazık ki yetersiz olduğu ve sağlık sistemini suçlulara ve yabancı hükümet korsanlarına karşı savunmasız bıraktığı açıktır.” – Wyden.
Ortalamanın altındaki siber güvenlik standartlarının, bilgisayar korsanlarının hasta bilgilerini çalmasına ve sağlık hizmetlerini aksatmasına izin verdiğini, bunun da “hasta sağlığına gerçek zarar” verdiğini belirtti.
Dışişleri Bakanlığı, Sağlık Hizmetlerindeki Değişim Saldırısını Durdurabilirdi
Wyden’dan gelen çağrı, UnitedHealth Group’un bir yan kuruluşu olan Change Healthcare’e yapılan fidye yazılımı saldırısının ardından geldi. Bu saldırı, CEO’su Andrew Witty’ye göre temel siber güvenlik önlemi olan Çok Faktörlü Kimlik Doğrulama (MFA) ile önlenebilirdi. .
Witty, 1 Mayıs’taki duruşmada Senato Maliye Komitesi’ne yaptığı açıklamada, Change Healthcare’in kullandığı Citrix uzaktan erişim portalı hesabında MFA’nın bulunmamasının, saldırganların ele geçirilen kimlik bilgilerini kullanarak ilk erişim elde etmesine olanak tanıyan önemli bir güvenlik açığı olduğunu kanıtladığını söyledi.
“HHS’nin, UHG gibi büyük sağlık hizmeti sağlayıcılarının siber güvenlik uygulamalarını düzenlemedeki başarısızlığı, Amerikan Hastaneler Birliği’nin ABD tarihinde sağlık sektörüne yönelik en kötü siber saldırı olarak tanımladığı olayla sonuçlandı.” – Wyden
Wyden, MFA kullanımının HHS’nin tüm sağlık kuruluşları için zorunlu kılması gereken temel bir siber güvenlik uygulaması olduğunu savundu. Özellikle ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı tarafından “sistemik olarak önemli varlıklar” (SIE) olarak belirlenen kritik altyapı varlıkları için daha geniş minimum ve zorunlu teknik siber güvenlik standartlarının uygulanması çağrısında bulundu.
“Bu teknik standartlar, kuruluşların elektronik bilgileri nasıl koruyacağını ele almalı ve tıbbi kayıtlara erişim ve tıbbi bakımın sağlanması da dahil olmak üzere kritik işlevleri sürdürerek sağlık sisteminin dayanıklılığını sağlamalıdır.” Wyden bunu fark etti.
HHS’nin, Medicare programı katılımcılarının uymasını zorunlu kılarak bu standartları uygulamasını önerdi.
Wyden’ın HHS için Önerilen Siber Güvenlik Önlemleri
Wyden, HHS’nin saldırı sonucunda bir dizi siber güvenlik önlemi alması gerektiğini söyledi.
Wyden, “HHS, sağlık sektörünü daha fazla, yıkıcı ve kolayca önlenebilir siber saldırılardan korumak için gereken en iyi siber güvenlik uygulamalarını zorunlu kılmak konusunda diğer federal düzenleyicilerin liderliğini takip etmelidir” dedi.
Demokrat senatör, sağlık sektöründe siber güvenliği artırmak için aşağıdakiler de dahil olmak üzere çeşitli önlemler önerdi:
- Zorunlu Asgari Standartlar: Kritik sağlık hizmetleri altyapısı için MFA da dahil olmak üzere zorunlu siber güvenlik standartlarını oluşturun.
- Hızlı Kurtarma Yetenekleri: Kuruluşların bir saldırının ardından 48 ila 72 saat içinde BT altyapılarını yeniden inşa edebilmelerini sağlayın.
- Düzenli Denetimler: Siber güvenlik uygulamalarını değerlendirmek ve geliştirmek için sağlık kuruluşlarının düzenli denetimlerini gerçekleştirin.
- Teknik destek: Sağlık hizmeti sağlayıcılarına teknik güvenlik desteği sağlayın.
Wyden, HHS’yi, hastalara ve ulusal güvenliğe zarar veren devam eden siber saldırılara katkıda bulunduğuna inandığı mevcut düzenleyici gözetiminin yetersiz olması nedeniyle eleştirdi.
Wyden, “Sağlık sektörüne yönelik mevcut başarılı siber saldırı salgını, HHS’nin bu sektörü uygun şekilde düzenleme ve denetleme konusundaki başarısızlığının doğrudan bir sonucudur; hastalara, hizmet sağlayıcılara ve ulusal güvenliğimize zarar vermektedir” dedi. HHS’yi ABD sağlık hizmeti sağlayıcılarını ve hastalarını artan siber güvenlik risklerinden korumak için tüm yetkilerini kullanmaya çağırdı.
Sağlık Hizmetlerinde Fidye Yazılımlarının Durumu
FBI’ın İnternet Suçları Raporu 2023’e göre sağlık sektörü, tüm kritik altyapı sektörleri arasında en yaygın fidye yazılımı hedefi oldu.
Saldırıların ve etkilenen kişilerin sayısı son üç yılda katlanarak arttı.
“2023 yılında, toplam 141 hastanenin 46 hastane sistemi fidye yazılımından etkilendi ve 46 hastanenin en az 32’sinde, korunan sağlık bilgileri de dahil olmak üzere bilgiler çalındı.” – Emsisoft
Minnesota Üniversitesi Halk Sağlığı Okulu’ndan McGlave, Neprash ve Nikpay tarafından yapılan bir araştırma, 2016’dan başlayarak beş yıllık bir dönemde fidye yazılımı saldırılarının muhtemelen 42 ila 67 Medicare hastasını öldürdüğünü ortaya çıkardı. Çalışmaları ayrıca, yalnızca geliri etkilemekle kalmayıp aynı zamanda saldırı sırasında zaten kabul edilmiş olan hastalar arasında hastane içi ölüm oranlarını da artıran bir fidye yazılımı saldırısının ardından hafta boyunca hastane hacminde ve hizmetlerinde %17-25 oranında bir azalma gözlemledi.
HHS Siber Güvenlik Yanıtı
HHS Aralık ayında sağlık sektörüne yönelik siber güvenlik düzenlemelerini 21 yıl sonra ilk kez güncellemeyi planladığını duyurdu. Bu güncellemeler, gönüllü siber güvenlik performans hedeflerini ve hesap verebilirliği ve koordinasyonu iyileştirme çabalarını içerecektir.
Sağlık ve Kamu Sağlığı Sektörü Koordinasyon Konseyi ayrıca Nisan ayında, 2029 yılına kadar uygulanması gereken 10 siber güvenlik hedefinin önerildiği beş yıllık Sağlık Sektörü Siber Güvenlik Stratejik Planını açıkladı.
Wyden, HHS ve HSCC’nin en son reform girişimlerini kabul etti ve bunlara itibar etti, ancak sağlık sektörü söz konusu olduğunda aciliyet gerektirdiğini söylediği uzun uygulama takvimi konusunda endişelerini sürdürüyor.
Son mektup, Wyden’ın geçen hafta SEC ve FTC’ye UnitedHealth Group’un siber güvenlik uygulamalarında herhangi bir ihmalin araştırılması yönündeki talebinin ardından geldi. HHS şu anda yüz binlerce Amerikalının korunan sağlık bilgilerinin açığa çıkmasına neden olan potansiyel UHG ihlalini araştırıyor.