Sağlık sektörü, dijital teknolojilerin benimsenmesiyle hızlı dönüşümünü sürdürürken, aynı zamanda sürekli genişleyen bir dizi siber güvenlik tehdidiyle karşı karşıya kalmaktadır.
Memorial Sloan Kettering Kanser Merkezi Baş Teknik Program Müdürü Dr. Omar Sangurima, bu Help Net Security röportajında siber saldırıların hasta güvenliği ve bakım sunumu üzerindeki etkisini tartışıyor ve kritik sağlık hizmetlerindeki kesintilerin hastalara nasıl zarar verebileceğini ve hatta yaşamlarına neden olabileceğini vurguluyor. -tehdit edici durumlar.
Bugün sağlık kuruluşlarının karşı karşıya kaldığı siber güvenlik sorunlarının boyutunu tartışabilir misiniz?
Günümüzde sağlık hizmeti kuruluşları, ölçekleri ve karmaşıklıkları açısından eşi benzeri görülmemiş çok sayıda siber güvenlik sorunuyla karşı karşıyadır. Sağlık sektörü, elektronik sağlık kaydı (EHR) sistemlerinde depolanan çok sayıda hassas hasta verisi nedeniyle uzun süredir siber suçlular için birincil hedef olmuştur. Sektör dijitalleşmeye ve modern teknolojileri benimsemeye devam ettikçe, bu verilerin hacmi ve karmaşıklığı artmaya devam edecek ve sağlık kuruluşlarını siber saldırılar için daha da çekici bir hedef haline getirecektir.
Sağlık kuruluşlarının koruması gereken çok miktarda veriye ek olarak, BT sistemlerinin çeşitliliği ve karmaşıklığıyla ilgili önemli zorluklarla da karşılaşıyorlar. Sağlık kuruluşları genellikle birden fazla EHR sisteminin yanı sıra güvenliğinin sağlanması gereken çeşitli başka uygulamalara ve ağlara sahiptir.
Ayrıca SolarWinds vurduğunda gerçekten büyük bir değişim gördük – esasen tüm dünya üçüncü taraf riskinden olumsuz etkilendi. Satıcılar her şeyi doğru yaptı ama yine de bir açıklık vardı, saldırı yüzeyi düşündüklerinden daha büyüktü. Bu, üçüncü taraf risk yönetimine yönelik kapsamlı bir yaklaşıma olan ihtiyacı gerçekten gündeme getirdi. Bu karmaşıklık, her sistemin düzgün bir şekilde güvenceye alınmasını ve güvenlik açıklarının zamanında tanımlanıp ele alınmasını sağlamayı zorlaştırır.
Bir sağlık kuruluşuna yönelik başarılı bir siber saldırının sonuçları, hasta verilerinin ele geçirilmesi ve hastalara olası zararlar da dahil olmak üzere ciddi olabilir. Bazı durumlarda siber saldırılar, kritik sağlık hizmetlerinin aksamasına yol açarak hastaların hayatlarını riske atıyor. İlgili yüksek riskler göz önüne alındığında, sağlık kuruluşlarının siber güvenliği ciddiye almaları ve kendilerini ve hastalarını korumak için sağlam güvenlik önlemleri uygulamaları kritik öneme sahiptir.
Kısacası, bugün sağlık kuruluşlarının karşı karşıya olduğu siber güvenlik sorunlarının boyutu abartılamaz. Dijital teknolojilerin sürekli büyümesi ve siber saldırıların karmaşıklığının artmasıyla birlikte, sağlık kuruluşlarının siber güvenliğe öncelik vermesi ve sistemlerini ve verilerini korumak için proaktif adımlar atması her zamankinden daha önemli.
Siber saldırıların hasta güvenliğini ve bakım sunumunu nasıl doğrudan etkileyebileceğine biraz ışık tutabilir misiniz?
Siber saldırıların hasta güvenliği ve bakım sunumu üzerinde çeşitli şekillerde doğrudan etkisi olabilir. Örneğin, bir sağlık kuruluşu bir siber saldırıya uğradığında, saldırganlar kişisel bilgiler, tıbbi geçmişler ve hatta finansal bilgiler dahil olmak üzere hassas hasta verilerine erişim sağlayabilir. Bu veriler daha sonra kimlik hırsızlığı, sigorta dolandırıcılığı ve diğer kötü niyetli faaliyetler için kullanılabilir ve hastaları mali zarar riskine sokar.
Siber saldırılar, elektronik sağlık kayıt sistemleri gibi kritik sağlık hizmetlerini kesintiye uğratabilir. Elektronik sağlık kayıtları, hasta bakımını, ilaçları, randevuları ve daha fazlasını takip etmek için çok önemlidir. Sistemdeki aksaklıklar tedavide gecikmelere neden olabilmekte ve hastalara zarar verebilmektedir. Bir sağlık hizmeti sağlayıcısı, örneğin bir siber saldırı nedeniyle hastanın tıbbi geçmişine erişemezse, önceden var olan bir durumun veya alerjilerin farkında olmayabilir ve bu da ciddi sonuçlara yol açabilir.
Bazı aşırı durumlarda, siber saldırılar tüm sağlık tesislerinin kapatılmasına yol açarak hastaların hayatlarını riske attı. Örneğin, geçen yıl Düsseldorf’ta kesintileri nedeniyle hastanın tamamen ölümüne yol açan fidye yazılımı saldırısı oldu.
Çok sayıda nokta çözümden oluşan bağlantısız bir güvenlik mimarisine güvenmek, bir sağlık kuruluşunun genel siber güvenlik duruşunu nasıl etkiler?
Tek kelimeyle, görünürlük veya görünürlük eksikliği, kuruluşun güvenlik ortamı üzerinde kontrol eksikliğine yol açarak tehditleri zamanında belirlemeyi ve bunlara yanıt vermeyi zorlaştırır.
Ayrıca, çoklu güvenlik çözümlerini yönetmenin karmaşıklığı, verimsizliklere ve kapsam boşluklarına yol açarak kuruluşu saldırılara karşı savunmasız bırakabilir. Mevcut güvenlik yaklaşımındaki çeviklik ve esnekliğin olmaması, kuruluşun sürekli gelişen tehdit ortamına ayak uydurma becerisini de engelleyebilir.
Bu nedenle, sağlık sektöründeki zorlukların üstesinden gelmek için daha bütünsel ve entegre bir güvenlik yaklaşımına ihtiyaç vardır. Böyle bir yaklaşım, sağlık kuruluşlarının siber güvenlik duruşlarını iyileştirmelerine ve kuruluşun güvenlik ortamında daha fazla görünürlük, kontrol ve çeviklik sağlayarak hassas hasta verilerini korumalarına yardımcı olabilir.
Bu, kuruluş tarafından kullanılan sayısız üçüncü taraf satıcı ve hizmet sağlayıcıyı kapsar ve Health3PT gibi endüstri girişimlerinin bu kadar önemli olmasının nedeni budur. Siber güvenliğe daha proaktif ve stratejik bir yaklaşım benimseyen sağlık kuruluşları, veri ihlali riskini azaltabilir ve hasta mahremiyetini korurken yasal gerekliliklere uyumu sağlayabilir.
Elektronik sağlık kayıtlarına ve diğer sistemlere yönelik siber saldırı riski, hasta mahremiyeti sorunlarına nasıl dönüşür?
Sağlık kuruluşları, sistemleri tehlikeye girerse ciddi gizlilik sorunlarıyla karşılaşabilir. Hasta verilerinin mahremiyeti, sağlık hizmetlerinin çok önemli bir yönüdür ve hassas bilgilerin gizliliğinin ihlal edilmesi, hastaların sağlık sistemine olan güvenini aşındırarak mahremiyet ihlallerine yol açabilir. Hastalar, sağlık hizmeti sağlayıcılarının hassas verilerini korumak için her türlü önlemi almasını bekler ve bu güvenin ihlali ciddi sonuçlar doğurabilir. Siber saldırılar, gizli verilerin birden çok noktada ifşa edilmesi konusunda her zaman var olan bir riske işaret eder. Tedarik zinciri saldırılarının ortaya çıkışı, genel tehdit ortamına yeni bir kırışıklık getirdi. Yine de, tanıdık bir sonuçla, hastalar artık yalnızca verilerinin bir sağlık hizmeti sağlayıcısından kamuya ifşa edilmesi konusunda endişelenmekle kalmamalı, aynı zamanda söz konusu sağlayıcının eski güvenilir ortaklarının bile söz konusu ifşaya yardımcı olma veya kolaylaştırma olasılığı vardır.
Başarılı bir siber saldırının ardından, bir sağlık kuruluşunun itibarı nasıl etkilenebilir ve uzun vadeli sonuçları nelerdir?
Bu değişen derecelerde bir sorudur. Daha iyi bir ifade olmadığı için tamamen kötü şansın sonucu olan saldırılar var. Bir kuruluş doğru şeyleri yapıyordu, sürekli olarak duruşunu geliştirmeye çalışıyordu, gerektiğinde değişiklikler yapıyordu ve çok az veya hiç kendi hatası olmadan tehlikeye atılıyordu. Bununla birlikte, bunlar ne yazık ki son derece nadirdir ve çoğu durumda, bir kuruluşun bir ihlali hafifletmek veya en azından meydana geldiğinde etkisini azaltmak için kesinlikle yapabileceği bir şeyin olduğu örneklerle karşı karşıyayız.
Bu tür durumlarda bile itibar zedelenmesi, kurumsal olarak yanlış davranış algısının değişken olabileceği (ve genellikle bir ihlalin nüanslarının ne kadar kolay açıklanabileceğinin bir fonksiyonudur, bu da sürekli gazetecilik ihtiyatını ve ortaklığı çok önemli kılar) bir süreklilik içinde mevcuttur. Bununla birlikte, bir kuruluşun yalnızca siber bakım görevlerini yerine getirirken ihmalkar davranmakla kalmayıp, aynı zamanda olayı meydana geldikten sonra ele alırken aktif olarak aptalca davrandığının gözlemlendiği daha kötü durumlar da vardır – ve bu noktalarda en kötüsü vardır. (haklı olarak) itibar zedelenmesi meydana gelir. Söz konusu kuruluş, söz konusu verileri kutsal tutma konusunda anlamsız bir duruş sergiliyor gibi göründüğünde, bir kuruluşa en mahrem (ve çoğunlukla değişmez) verileriyle kim güvenmek ister?
Özellikle Tıbbi Nesnelerin İnterneti (IoMT) bağlamında siber güvenliği iyileştirmek isteyen sağlık kuruluşları için en iyi uygulamalar olarak ne önerirsiniz?
Kısaca, teknoloji kullanımınızda amaçlı olun. Birçok IoT cihazının kullanım durumlarının hevesli bir hayranıyım – uzun süredir devam eden tıbbi muammalara yeni ve yenilikçi çözümler getirme olasılığı beni heyecanlandırmasaydı, o zaman yanlış alanda olurdum. Yine de, beni en çok (özellikle teknoloji manzarasının bu diliminde) arabaları atlarının önüne koyma konusunda rahatsız ediyorum. Teknoloji ne için kullanılıyor? Aranan sonuç nedir? Çevremizde benzer kapsamda olan ve hangi güvenlik önlemlerinin uygun olduğuna dair bazı temel kurallar sağlayabileceğini umduğumuz herhangi bir şey var mı?
“CIA”daki “A”, bir ortam veya teknoloji yığınına bütünsel bir bakış açısıyla bakıldığında (haklı olarak) çoğu zaman öncelik alabilir… ancak “C” ve “I”nin biraz dikkat çektiği bir zaman olmalıdır. Aksi takdirde, büyük yeniliklerin kimlik hırsızlığı ve diğer dolandırıcılık planlarına giderek daha fazla zarar veren nöbetler için sadece vektör haline geldiği bir dünyaya alelacele koşma riskini alıyoruz. Bana teknoloji ile yapmak istediği şey için sabit bir vizyona ve sağlam bir yol haritasına sahip bir kuruluş gösterebilirseniz, bunu güvenli bir şekilde yapmaya hazır (ve yetenekli) bir kuruluşu tanımlamanız daha olasıdır.