Bu Help Net Security röportajında Prime Therapeutics’in CISO’su Cameron Kracke, sağlık ekosisteminin nasıl tutarlı bir güvenlik görünürlüğü elde edebileceğini tartışıyor. Hastaneler, klinikler, tele sağlık ve bulut iş ortaklarının bir arada olması nedeniyle görünürlüğü sürdürmek karmaşık bir görev olmaya devam ediyor. Kracke, birlikte çalışabilirliğin, işbirliğinin ve stratejik yatırımın sağlık hizmetleri güvenliği ortamında dayanıklılığı nasıl güçlendirebileceğini paylaşıyor.
Hastaneler, klinikler, tele sağlık, tıbbi cihazlar ve bulut ortaklarından oluşan modern sağlık ekosistemine baktığınızda, bunların tamamında tutarlı bir güvenlik görünürlüğü elde etmenin önündeki en büyük engel nedir?
Birleşik güvenlik görünürlüğünün önündeki birincil engel ekosistemin parçalanmasıdır. Sağlık kuruluşları, eski şirket içi sistemleri rutin olarak modern bulut tabanlı uygulamalarla ve sayıları giderek artan bağlantılı tıbbi cihazlarla ve istemci veya klinik uygulamalarla entegre ediyor. Bu parçalanma şu nedenlerle daha da şiddetlenmektedir:
- Endüstri standartlarındaki farklılıklarBirlikte çalışabilirliği karmaşık hale getirebilecek ve platformlar arasında güvenlik olaylarının toplanmasını ve ilişkilendirilmesini zorlaştırabilecek farklı dosya formatları, iletişim protokolleri ve veri değişim mekanizmaları (örneğin, HL7, FHIR, DICOM) dahil.
- Heterojen ağ bağlantısı: Güvenli dahili ağlardan üçüncü taraf telesağlık bağlantılarına kadar farklı bağlantı modelleri, kör noktalar ve tutarsız görünürlük yaratabilir.
- Yazılım geliştirme yaşam döngüsü (SDLC) karmaşıklıkları: Çoklu geliştirme ekipleri, satıcılar ve sürüm döngüleri, güvenlik kontrollerinin, izlemenin ve olay müdahale süreçlerinin standartlaştırılmasını engeller.
Bu teknik ve prosedür farklılıkları, merkezi, eyleme geçirilebilir bir güvenlik görünümünün oluşturulmasını toplu olarak engelleyerek, tespit edilemeyen tehditler ve uyumluluk boşlukları riskini artırır.
Sağlık ekosisteminde tutarlı güvenlik görünürlüğü elde etmek, kuruluşların köklü parçalanmayı ele almasını, verileri ve süreç entegrasyonunu standartlaştırmasını ve kalıcı bütçe ve yetenek kısıtlamalarına uyum sağlamasını gerektirir. Kuruluşlar, birlikte çalışabilirliğe stratejik olarak öncelik vererek, güvenliği SDLC’ye yerleştirerek, kaynakları optimize ederek ve yeteneklere yatırım yaparak, hasta verilerini koruyabilen ve klinik mükemmelliği destekleyen esnek bir güvenlik görünürlük çerçevesi oluşturabilir.
Sağlık hizmetlerinde güvenlik araçları genellikle düzinelerce satıcıdan gelir. Kuruluşlar, satıcı bağımlılığı veya entegrasyon yorgunluğu yaratmadan birlikte çalışabilirlik ihtiyacını nasıl dengeleyebilir?
Sağlık hizmetleri güvenlik ekipleri sıklıkla çok sayıda tedarikçiden gelen araçları dengeler ve bu da nokta çözümlerinin dağıtımı ile entegre platformların benimsenmesi arasında bir denge kurmayı hayati hale getirir. Çok fazla farklı araca güvenmek, entegrasyon ve destek yorgunluğuna, artan karmaşıklığa ve aşırı uyarı riskine yol açabilir; bunların tümü personel kapasitesini zorlayabilecek, tükenmişliğe veya yıpranmaya katkıda bulunabilecek faktörlerdir.
Öte yandan, güvenlik kontrollerinin entegre çözümler içerisinde birleştirilmesi, yönetimi kolaylaştırabilir, birlikte çalışabilirliği geliştirebilir, görünürlük yanıt süresini artırabilir ve operasyonel yükü azaltabilir. Bununla birlikte kuruluşların, esnekliği sınırlayabilen ve ihtiyaçlar geliştikçe türünün en iyisi yeteneklerin benimsenmesini engelleyebilen satıcıya bağımlı kalmamak için dikkatli olmaları gerekir. Nokta çözümleri ve entegre platformlar arasındaki seçim, bütçe tahsisini, kaynak gereksinimlerini ve güvenlik operasyonlarının uzun vadeli çevikliğini doğrudan etkiler.
Etkinliği sürdürmek için, sağlık kuruluşları güvenlik araç setlerini güvenlik programına uygunluk, entegrasyon potansiyeli ve genel değer açısından sürekli olarak değerlendirmelidir. Açık standartları ve kusursuz entegrasyonu destekleyen çözümlere öncelik vermek, bağlam değiştirmeyi ve uyarı yorgunluğunu en aza indirmeye yardımcı olurken güvenlik ekibinin meşgul ve üretken kalmasını sağlar.
Sonuçta, özel nokta çözümlerini daha geniş entegre platformlarla dengeleme kararı, stratejik öncelikler, kaynak kapasitesi ve hem operasyonel verimliliği hem de klinik mükemmelliği destekleme ihtiyacına göre yönlendirilmelidir. Dikkatli araç seçimi ve sürekli değerlendirme, sağlık hizmetleri ortamında dayanıklı, sürdürülebilir bir güvenlik duruşu oluşturmak için gereklidir.
Buluta taşınan bu kadar çok sağlık hizmeti uygulaması varken, şirket içi eski sistemler ile modern bulutta yerel güvenlik araçları arasında köprü kuran bir ekosistemi nasıl tasarlarsınız?
Sağlık kuruluşları uygulamaları buluta giderek daha fazla taşıdıkça, eski şirket içi sistemler ile modern bulutta yerel güvenlik araçları arasında köprü kuran bir ekosistem tasarlamak hayati önem taşıyor. Doğru yaklaşım, her kuruluşun bulut stratejisine, tamamen buluta geçiş yapmasına veya hibrit bir ortamı sürdürmesine ve tek veya çoklu bulut mimarilerinde çalışıp çalışmamasına bağlıdır.
Kritik bir husus, güvenlik araçlarının hem bulut hem de şirket içi ortamlarda birlikte çalışabilmesidir. Sağlık kuruluşları, güvenlik çözümlerinin birden fazla bulut sağlayıcıyı kapsaması, şirket içi sistemleri desteklemesi veya her ikisini birden yapması gerekip gerekmediğini değerlendirmeli ve uygulamalar yavaş yavaş buluta geçtikçe şirket içi desteğin ne kadar süre gerekli olacağını belirlemelidir.
Bulut sağlayıcıları giderek daha fazla gelişmiş güvenlik teknolojileri satın alıp entegre ediyor ve birden fazla izleme platformuna olan ihtiyacı azaltan birleşik çözümler sunuyor. Bu birleştirme, yalnızca uyarı yorgunluğunu azaltmakla kalmıyor, aynı zamanda güvenlik tehditlerine karşı gerçek zamanlı görünürlüğü de artırıyor; bu, hasta verilerinin korunması ve klinik sürekliliğin sağlanması için zamanında tespitin hayati önem taşıdığı sağlık hizmetleri açısından önemli bir avantaj.
Sonuçta evrensel bir çözüm yok. Sağlık kuruluşları bulutun benimsenmesi, uygulama dağıtımı ve veri depolama için kapsamlı bir plan geliştirmeli ve iletmelidir. Stratejik planlama ve sürekli değerlendirme, hem operasyonel verimliliği hem de hassas sağlık bilgilerinin korunmasını desteklemek açısından çok önemlidir.
Sağlık kuruluşları, özellikle de hayatlar sistemin çalışma süresine bağlı olduğunda, güvenlik ile klinik kullanılabilirlik arasındaki gerilimi nasıl uzlaştırabilir?
Sağlık hizmetlerinde, sistemin çalışma süresi üye/hasta sonuçlarını doğrudan etkileyebileceğinden, güvenlik ile klinik kullanılabilirlik (veya sağlıkla ilgili herhangi bir şey) arasındaki gerilim özellikle kritiktir. Bu zorluğun üstesinden gelmek için, güvenlik liderliği zihniyetinin varsayılan “hayır” duruşundan daha işbirlikçi bir “evet ve” yaklaşımına geçmesi ve güvenlik riskinin azaltılmasının iş veya üye riski pahasına olmaması gerektiğini kabul etmesi gerekir.
Güvenlik ekipleri kendilerini kurumsal hedefleri destekleyen güvenli çözümler bulmak için proaktif bir şekilde çalışan iş kolaylaştırıcılar olarak görmelidir. Liderler, güvenlik uğruna girişimleri engellemek yerine, hem hassas bilgileri koruyan hem de başarılı iş sonuçlarını kolaylaştıran yaratıcı yeni stratejiler geliştirmelidir. Bu, güvenlik ekipleri operasyonel görüşmenin başında masaya oturduğunda meydana gelebilir.
Bu kültürel dönüşüm zaman, sürekli uygulama ve güçlü liderlik gerektirir. Ekip üyeleri farklı oranlarda ilerleyebilir ancak organizasyonu ortak hedefe doğru yönlendirmek ve birleştirmek liderlerin sorumluluğundadır: işi emniyetli ve emniyetli bir şekilde sağlamak, aynı zamanda koruma ve üretkenlik arasındaki gerilimi en aza indirmek. Bu aynı zamanda daha başarılı bir sonuç elde etmek için bir değişim yönetimi koçuyla etkileşime geçme fırsatı da olabilir.
Sağlık hizmetleri güvenlik ekipleri, ekosistemin dayanıklılığını düşünürken bilgi paylaşımı veya topluluk savunması gibi halk sağlığından hangi dersleri alabilir?
Sağlık kuruluşları benzersiz ama evrensel bir sorunla karşı karşıyadır: Tehdit aktörleri sürekli olarak hassas verilerini hedef almaktadır. Bu paylaşılan risk, kolektif savunmayı güçlendirmek için topluluk olarak bir araya gelmenin önemini vurguluyor. Saldırganların ayrımcılık yapmadığının farkına varan kuruluşlar, dayanıklı bir güvenlik ekosistemi oluşturmada işbirliğinin değerini daha iyi anlayabilir.
Bilgi paylaşımı bu işbirlikçi yaklaşımın kritik bir bileşenidir. Kuruluşlar tehdit istihbaratını, güvenlik açıklarını ve en iyi uygulamaları açıkça paylaştıkları zaman, ortaya çıkan tehditlere daha hızlı ve etkili bir şekilde yanıt verme konusunda birbirlerini güçlendirirler. HS-ISAC ve FBI InfraGard gibi gruplar bu bilgi alışverişi için güvenilir ortamlar sunarak sektördeki boşlukların kapatılmasına ve güvenlik duruşunun geliştirilmesine yardımcı oluyor.
Sağlık güvenliği ekipleri, bilgi paylaşımının ötesinde, topluluk savunma mekanizmaları oluşturmak gibi halk sağlığına yönelik ek stratejiler benimseyebilir. Bu, ortak olay müdahale tatbikatlarını, koordineli güvenlik açığı yönetimini ve ortak güvenlik standartlarının geliştirilmesini içerebilir. Düzenli sektörler arası tatbikatlar ve iletişim kanalları, siber olaylar sırasında hazırlık ve tepki sürelerini daha da iyileştirebilir.
Sonuçta daha dayanıklı ve etkili bir güvenlik ekosistemi oluşturmak, hem kültürel hem de operasyonel değişimler gerektirir. Kuruluşlar güveni teşvik etmeli, şeffaflığa öncelik vermeli ve güvenliği tüm ekipler arasında ortak bir sorumluluk haline getirmelidir. Sağlık kuruluşları, birlikte çalışarak ve halk sağlığı modellerinden öğrenerek tehditlere karşı daha iyi savunma yapabilir ve daha güvenli, daha güvenilir bakım sunumunu destekleyebilir.