Sağlık sistemlerimiz, potansiyel olarak hizmetleri kesintiye uğratan, hassas verileri tehlikeye atan ve hatta hasta sonuçlarını tehlikeye atan tehdit aktörleri tarafından sızma riski altındadır. Bu zorlukları ele alan kişiler arasında, yalnızca bu riskleri anlamakla kalmayan, aynı zamanda bunlara yönelik stratejik tepkilere rehberlik eden TRIMEDX’te Siber Güvenlikten Sorumlu Başkan Yardımcısı Dennis Fridrich de var.
Bu Help Net Security röportajında Fridrich, sağlık sistemlerine yönelik siber saldırıların gizli maliyetlerini, sigorta şirketlerinin siber güvenlik hazırlıklarını geliştirmedeki rolünü ve kuruluşların siber risklerini nasıl daha iyi yönetebileceklerini araştırıyor.
Tüm siber ihlaller bildirilmediğinden, sigortacılar siber saldırıların toplam maliyeti ve etkisi hakkında nasıl daha kapsamlı bir anlayış elde edebilir?
Fidye ödemeleri, davalar, para cezaları veya fidye müzakerecileri gibi üçüncü taraf hizmet sağlayıcılar için ücretler olsun, siber saldırıların doğrudan mali etkileri kesinlikle siber sigortayı şekillendirmede önemli bir faktördür. Yine de her zaman tam resmi vermezler. Bir ihlalin bir kuruluş içindeki günlük operasyonları nasıl etkilediğini ölçmenin ek yollarını bulmak, pek çok gizli maliyeti ortaya çıkarabilir ve sigorta şirketlerinin değişen bir güvenlik ortamında neye hazırlanmaları gerektiğini anlamalarına yardımcı olabilir.
Sağlık sistemleri için ideal ölçüm, hasta sonuçları üzerindeki etki olacaktır. Bununla birlikte, bir siber saldırı gerçekleşmemiş olsaydı hasta sağlığının nasıl farklı olacağını doğru bir şekilde değerlendirmek son derece zordur. Tıpkı sağlık sistemlerinin kendileri gibi sigortacılar da gerçek etkiyi görmek için klinik operasyonların tam bağlamına ihtiyaç duyar.
Siber saldırı vakalarında tarihsel veri eksikliğini nasıl giderebiliriz? Sigortacıların bu poliçeleri taahhüt etmek için yararlanabilecekleri alternatif veri kaynakları var mı?
Siber saldırıların kapsamlı etkisini ölçmek genellikle zor olsa da, daha fazla bağlam sağlayabilecek birkaç ölçüm vardır. Sigortacılar ve sağlık sistemleri, BT kaynaklarının ve ekipmanının kapalı kalma sürelerine, saldırılara yanıt vermenin ne kadar sürdüğüne ve ihlali çözmenin ne kadar sürdüğüne bakabilir. Bu veri noktaları, gelir kesintilerini ve mali zararları belirlemede yardımcı olur. Ayrıca, sigorta şirketlerinin sağlık sistemlerinin teknoloji portföylerindeki ihlalleri önlemek için nasıl çaba sarf ettiğini anlamaları da önemlidir.
Bu, ihlallere meydana geldikten sonra bakmak yerine genel riski anlamanın daha güvenilir bir yoludur. Sağlık sistemleri ve sigortacılar öncelikle çeşitli teknolojilerdeki olası güvenlik açıklarının sayısını bilmelidir. Sigortacılar ayrıca sağlık sistemlerinin bir güvenlik açıkları veritabanına erişimi olup olmadığını da sormalıdır. Sağlık sisteminin güvenlik açıklarını BT ve tıbbi cihaz envanteriyle doğru bir şekilde eşleştirmek için yürürlükte olan bir süreci olup olmadığı sorulmalıdır.
Ardından, sağlık sistemlerinin, bir ihlal durumunda, hasta güvenliği açısından teknolojileriyle ilişkili risk düzeylerini belirlemesi hayati önem taşır. Örneğin, bir infüzyon pompası bir siber saldırı nedeniyle arızalanırsa, hasta için potansiyel olarak tehlikeli, hatta ölümcül doğrudan bir sonuç ortaya çıkar. Öte yandan, kalp monitörleri bir hastanın sağlığının izlenmesi için çok önemli olsa da, tek başına yaşamı sürdüremezler. Tehlikeli bir kalp monitörünün hastaya doğrudan zarar vermesi muhtemel değildir, ancak yine de ciddi ve yaşamı tehdit eden sonuçlar olabilir.
Alabama’daki bir hastane, bilgisayar sistemlerinin bir bebeğin ölümüyle sonuçlanan bir siber saldırı sonucu zarar gördüğünü düzgün bir şekilde açıklamadığı iddiasıyla davayla karşı karşıya kaldı. Dava, elektronik cihazların arızalanması nedeniyle bir doktorun doğum sırasında bebeği düzgün şekilde izleyemediğini iddia etti. Bu trajedi, bağlı her bir ekipman parçasıyla ilişkili risk düzeyini anlamanın neden bu kadar önemli olduğunu gösteriyor.
Siber saldırıların artan sıklığı ve karmaşıklığı göz önüne alındığında, sigortacılar siber sigorta alanında risk iştahlarını nasıl koruyabilir?
Sigortacılar, daha eğitimli ve dolayısıyla daha sigorta edilebilir bir pazar yaratmada aktif rol almalıdır. Güçlü siber güvenlik yönetişimine sahip daha iyi bilgilendirilmiş sağlık sistemleri, sigortacılar için daha düşük risk oluşturacak ve daha sürdürülebilir bir sigorta piyasası için daha fazla fırsat yaratacaktır.
Siber hazırlık ve mevcut sigorta kapsamı seçenekleri hakkında kuruluşlar içindeki farkındalık boşluğunu kapatma stratejilerini tartışabilir misiniz?
Sigortacılar, sigortalanabilirliği artıracak en iyi uygulamalar konusunda sağlık sistemlerini eğitmeli ve sigortalama sürecinde kaynakları temel gereksinimlere göre ayarlamalıdır. Bu, sigortacı ve sağlık sistemi için karşılıklı olarak faydalıdır. Sağlık sistemleri siber güvenlik açıkları ve riskleri konusunda artan bir farkındalığa sahip olursa, kendilerini siber saldırılardan korurken aynı zamanda kendilerini daha sigorta edilebilir hale getirerek daha iyi önleyici stratejiler uygulayabilirler. Sigortacılar, sağlık teknolojisi yönetimi (HTM) ve BT ekipleri arasındaki siloları yıkma ihtiyacı konusunda farkındalık yaratabilir.
Klinik teknoloji giderek daha fazla dijitalleşiyor ve ağa bağlı hale geliyor, bu nedenle bu teknolojiyi yöneten tüm ekipler ve ortaklar, kuruluşlarının siber güvenlik risk duruşu hakkında güçlü bir anlayışa sahip olmalıdır. Siber güvenliği ele almak için yalnızca BT ekiplerine güvenmek sağlık sistemleri için artık sürdürülebilir değil. Sigortacılar, yalnızca teknoloji ve yönetici ekipleri değil, tüm sağlık sistemi ortaklarını siber güvenlik risklerine karşı daha dikkatli olmaları için donatan kaynaklar sağlayabilir.
Sizce dünyanın herhangi bir yerinden gerçekleştirilebilecek siber saldırılar bağlamında coğrafi kapsam nasıl tanımlanmalıdır?
ABD’de internete bağlanma ve interneti kullanma şeklimiz son derece merkeziyetçi değil, bu da ağ teknolojisi sağlık hizmetleri de dahil olmak üzere hayatımızın her alanında daha yaygın hale geldikçe coğrafyayı daha az alakalı hale getiriyor. Siber saldırılar dünyanın her yerinden kaynaklanır ve uluslararası sınırları aşar. Siber suçlular coğrafi sınırları görmezden geldikleri için yanıtımızın da onların ötesine geçmesi gerekiyor. Siber sigorta kapsamının etkili olabilmesi için faaliyet gösterdiğimiz uluslararası çevrimiçi alanı yansıtmalıdır.
Önleyici tedbirlere yatırım yapmak ile siber sigorta satın almak arasındaki en uygun denge nedir? Bu stratejiler bir arada var olabilir mi, yoksa kuruluşlar birini diğerine tercih etmeli mi?
Sürdürülebilir sigorta önleyici tedbirler olmadan var olamaz. Ortalama olarak, Amerika Birleşik Devletleri’ndeki sağlık sistemleri haftada 1.410 ihlal girişimiyle karşı karşıya kalıyor. Siber saldırı girişimleri o kadar sık meydana geliyor ki, siber güvenlik önlemleri alınmadan bunalmayacak ve onarılamaz şekilde zarar görmeyecek bir kuruluş yok. Özellikle güvenilir operasyonların bir ölüm kalım meselesi olabildiği sağlık sistemleri söz konusu olduğunda, siber saldırıların zararı mali kayıpların çok ötesine geçiyor. Siber sigorta, bir kuruluşun siber güvenlik stratejisini desteklemede önemli bir bileşendir, ancak aynı zamanda son savunma hattı olmalıdır.
Sağlık sistemleri, ilk etapta ihlallerin meydana gelmesini önlemek için çalışanlarını, süreçlerini ve teknolojilerini donatmalıdır. Buna sosyal mühendislik gibi saldırı yöntemleri konusunda çalışanların eğitimi, ağlara ve cihazlara güvenli erişim için iki faktörlü kimlik doğrulama gibi önlemlerin standartlaştırılması ve potansiyel tehditlerin daha hızlı tanınmasına yardımcı olabilecek teknolojilerin uygulanması dahildir. Bu taktiklere ek olarak, kapsama alanını korumak, bir ihlal meydana gelirse hasarı azaltmak için önemli bir bileşen olmaya devam ediyor.