Claroty'ye göre, CISA tarafından takip edilen Bilinen İstismar Edilen Güvenlik Açıklarının (KEV'ler) %63'ü sağlık ağlarında bulunabilirken, tıbbi cihazların (görüntüleme cihazları, klinik IoT cihazları ve cerrahi cihazlar dahil) %23'ünde bilinen en az bir istismar edilen güvenlik açığı bulunuyor.
Geleneksel olarak tıbbi cihazların değiştirme programları siber güvenlik kaygılarına göre değil, bileşen arızalarının ortalama sürelerine göre belirlenir. Bu durum, istismar edilmesi durumunda olumsuz hasta sonuçlarına yol açabilecek hassas eski cihazların kullanılmaya devam edilmesine yol açmıştır.
Tıbbi cihazlarda güvenlik riskleri
İnfüzyon pompaları, ağ modülleri, ağ geçitleri, kuvözler, kardiyak ritim yönetim sistemleri, mobilite monitörleri ve diğerleri dahil olmak üzere kullanım ömrü sona eren hasta cihazlarını etkileyen siber güvenlik olaylarının neden olduğu potansiyel arızaların sonuçları, hasta güvenliğini etkileyebilir.
Claroty Araştırma Başkan Yardımcısı Amir Preminger, “Bağlantı, hastane ağlarında büyük değişikliklere yol açarak, doktorların daha önce görülmemiş bir verimlilikle uzaktan teşhis koyabilmesi, reçete yazabilmesi ve tedavi edebilmesi sayesinde hasta bakımında çarpıcı gelişmeler yarattı” dedi. ”
“Ancak bağlantıdaki artış, uygun ağ mimarisi ve bunun getirdiği saldırganlara maruz kalmanın anlaşılmasını gerektiriyor. Sağlık kuruluşları ve onların güvenlik ortakları, izinsiz girişlere dayanabilecek dayanıklı tıbbi cihazlara ve sistemlere olan ihtiyacı vurgulayan politikalar ve stratejiler geliştirmelidir. Buna güvenli uzaktan erişim, risk yönetimine öncelik verilmesi ve segmentasyonun uygulanması da dahildir” diye ekledi Preminger.
Ağa bağlı tıbbi cihazların güvenliğinin sağlanması, onu destekleyen cihazlara uç nokta koruma aracılarının kurulmasıyla başlayan karmaşık bir risk azaltma çabası stratejisi gerektirir. Ancak bu nispeten küçük bir sayıdır; Araştırma, tıbbi cihazların yalnızca %13'ünün uç nokta koruma ajanlarını desteklediğini ortaya koyuyor.
Bu arada araştırma, tıbbi cihazların %72'sinin internete bağlı olduğunu ve internetle iletişim kurduğunu gösteriyor. Uç nokta aracılarına yönelik desteğin eksikliği göz önüne alındığında, bu durum savunucuların bağlı varlıkları doğru bir şekilde tanımlama ve riski azaltmak için segmentasyon gibi ağ güvenliği stratejilerini uygulama sorumluluğunu yüklemektedir.
Hastane misafir ağında bulunan kritik tıbbi varlıklar
Hastanelerin %22'sinde, hastalara ve ziyaretçilere Wi-Fi erişimi sağlayan misafir ağları ile dahili ağlar arasında köprü kuran bağlantılı cihazlar bulunuyor. Saldırganın halka açık Wi-Fi üzerindeki varlıkları hızlı bir şekilde bulup hedefleyebilmesi ve bu erişimi, hasta bakım cihazlarının bulunduğu dahili ağlara bir köprü olarak kullanabilmesi nedeniyle bu, tehlikeli bir saldırı vektörü oluşturur.
Aslına bakılırsa araştırmalar, cerrahi cihazların %4'ünün (başarısız olmaları halinde hasta bakımını olumsuz yönde etkileyebilecek kritik ekipmanlar) konuk ağları üzerinden iletişim kurduğunu gösterdi. Bir hastane ağındaki tüm bölgeler arasında konuk ağının, bu tür kritik cihazların bağlanması için en az güvenli ve en fazla maruz kalan yer olduğu açıktır.
Bağlı tıbbi cihazların %14'ü desteklenmeyen veya ömrünü tamamlamış işletim sistemlerinde (OS'ler) çalışıyor. Desteklenmeyen cihazların %32'si teşhis ve reçeteli tedavi için hayati önem taşıyan X-Ray ve MRI sistemlerini de içeren görüntüleme cihazları, %7'si ise cerrahi cihazlardır.
Raporda, bir yazılım güvenlik açığının vahşi ortamda 0-100 arası bir ölçekte istismar edilme olasılığını temsil eden Yüksek Yararlanma Tahmini Puanlama Sistemi (EPSS) puanlarına sahip cihazlar incelendi. Analiz, infüzyon pompaları gibi hasta cihazlarının %11'inin ve cerrahi cihazların %10'unun yüksek EPSS puanlarına sahip güvenlik açıkları içerdiğini gösterdi. Daha derine inersek, desteklenmeyen işletim sistemlerine sahip cihazlara bakıldığında, bu kategorideki cerrahi cihazların %85'inin yüksek EPSS puanlarına sahip olduğu görülür.
Bu araştırma, hangi tıbbi cihazların uzaktan erişilebildiğini inceledi ve defibrilatörler, robotik cerrahi sistemleri ve defibrilatör ağ geçitleri dahil olmak üzere yüksek arıza sonucu doğuran cihazların bu grup arasında yer aldığını buldu. Araştırma ayrıca görüntüleme cihazlarının %66'sına, cerrahi cihazların %54'üne ve hasta cihazlarının %40'ına uzaktan erişilebildiğini gösterdi.