Uzmanlar, eskiyen BT ekipmanları ve altyapısının NHS’yi, Haziran ayında patoloji hizmetleri sağlayıcısı Synnovis’i vuran ve Londra’daki ön saflardaki bakımda kapsamlı aksamalara yol açan fidye yazılımı saldırısına benzer şekilde daha zararlı siber ihlallere ve olaylara karşı tehlikeli bir şekilde açık hale getirdiği konusunda uyardı.
İngiltere Ulusal Siber Güvenlik Merkezi’nin (NCSC) kurucu başkanı Ciaran Martin, BBC’ye yaptığı açıklamada, 4 Haziran’daki saldırıdan “dehşete düştüğünü, ancak tamamen şaşırmadığını” söyledi.
Olay, binlerce tıbbi prosedürün iptaline yol açtı ve en sonunda Qilin çetesinin, Synnovis’in fidye talebini ödemeyi reddetmesi sonucu 400 GB hassas veriyi sızdırmasına neden oldu.
NHS’nin çok fazla güncel olmayan BT kullandığının “oldukça açık” olduğunu ve ayrıca NHS’nin, siber suçluların sistemlerine erişmesine olanak sağlayabilecek savunmasız noktaları belirleme ve ele alma konusunda daha iyi performans göstermesi ve temel siber güvenlik uygulamalarını ele almak için daha fazla şey yapması gerektiğini söyledi.
Martin’in endişeleri doktorlar tarafından da destekleniyor; Aralık 2022 tarihli British Medical Association (BMA) raporu, klinisyenlerin her yıl “yetersiz veya arızalı” sistem ve ekipmanlardan kaynaklanan gecikmeler nedeniyle 13 milyondan fazla saat kaybettiğini ortaya koyuyor. O zamanlar bu, 8.000 tam zamanlı doktora veya 1 milyar sterline eşdeğerdi.
BMA’nın raporunun dayandığı ankete katılan doktorların %80’i, BT altyapısının iyileştirilmesinin NHS’nin karşı karşıya olduğu muazzam birikmiş iş yükünün giderilmesinde olumlu bir etki yaratacağını söyledi.
BBC Soruşturma ekibine konuşan doktorlar, Windows 7 işletim sistemine sahip 10 yıllık bilgisayarlar kullandıklarını bildirerek, önceki hükümetin 14 yıldır uyguladığı sürekli fon kesintilerinden yakındılar.
Siber temeller kaçırıldı
NHS İngiltere, 2017’den bu yana sağlık hizmetlerinde siber güvenliği iyileştirmek için yaklaşık 340 milyon sterlin harcadığını söylese de Martin’in uyarıları, Computer Weekly’nin sağlık hizmetlerinin bazı bölümlerinde çok faktörlü kimlik doğrulama (MFA) gibi temel konulara yeterince dikkat edilmediğini ortaya koymasının ardından geldi.
Geçtiğimiz ay, muhbirler, daha iyi hasta bakımı hizmeti sunmak amacıyla çeşitli klinik kayıtlarından veri toplamayı amaçlayan NHS İngiltere’nin Sonuçlar ve Kayıtlar Programı’nın (ORP), çok faktörlü kimlik doğrulaması olmadan programın erişim portalını halka açık internete açık bırakarak son derece hassas verileri müdahaleye ve hırsızlığa maruz bırakma potansiyeline sahip olduğunu vurguladılar.
NHS England, Computer Weekly’ye ORP’nin ilgili kimlik bilgilerine göre test edildiğini ve programı yürütmek üzere görevlendirilen tedarikçinin güncel standartlara uyduğunu söyledi. Sözleşme ilk verildiğinde, siber savunmaların temel bir köşe taşı olarak kabul edilen MFA’nın, dışarıya bakan, internet tabanlı sistemler için bir gereklilik olmadığını, ancak şimdi uygulamaya konulduğunu söyledi.
“Siber suç söz konusu olduğunda hiçbir sektör dokunulmaz değildir ve ne yazık ki NHS, eski BT altyapısı ve depoladığı gizli veri miktarı göz önüne alındığında birincil hedeftir,” dedi SailPoint’te kamu sektörü direktörü Gregg Hardie. “Karmaşık erişim ihtiyaçları ağları, kötü niyetli aktörlerin gizli hasta verilerini hacklemesini ve istismar etmesini kolaylaştırıyor.
“NHS ve tüm sağlık şirketleri, günümüzün hızla gelişen siber ortamına karşı koruma sağlamak için birden fazla güvenlik kontrolü uyguladıklarından emin olmalıdır,” dedi. “Ancak ilk etapta bir ihlalin meydana gelme riskini azaltmak için, kimlik güvenliği gibi teknolojiler, kimin neye erişebileceğini yönetmek ve bir kuruluş içindeki şüpheli davranışları hemen işaretlemek için hayati öneme sahiptir.”