Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri , Sektöre Özgü
Bir Arizona VA Sağlık Sistemindeki Kurum Ayrıntıları Güvenlik İncelemesi Bulguları
Marianne Kolbasuk McGee (SağlıkBilgisi) •
12 Temmuz 2023
Konfigürasyon yönetimi – özellikle güvenlik açığı yamalama – bazı Gazi İşleri tıbbi tesisleri de dahil olmak üzere birçok sağlık kurumu için önemli bir zorluktur. Yakın zamanda yapılan bir bekçi kurumu güvenlik denetimi, yapılandırma sorunlarının Arizona’daki bir VA sağlık sistemindeki en büyük zayıflık olduğunu tespit etti.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Gazi İşleri Genel Müfettişi Ofisi Salı günü yayınlanan bir raporda, Kuzey Arizona VA Sağlık Bakım Sisteminin yakın tarihli bir bilgi güvenliği incelemesinin, 2014 Federal Bilgi Güvenliği Modernizasyon Yasası uyarınca incelenen üç güvenlik kontrol alanında eksiklikler bulduğunu söyledi.
İncelenen kontrol alanları arasında konfigürasyon yönetimi, güvenlik yönetimi ve erişim kontrolleri yer almaktadır. İnceleme, incelenen üç alanın her birinde sorunlar bulurken, VA OIG raporuna göre, yapılandırma yönetimi sorunları – en önemlisi güvenlik açığı yönetimiyle ilgili – Arizona sisteminde bulunan en önemli kritik eksiklikler arasındaydı.
VA OIG, Kuzey Arizona VA Sağlık Bakım Sisteminin bir FISMA denetiminin parçası olarak daha önce ziyaret edilmediği için güvenlik denetimi için seçildiğini söyledi. Prescott’taki Bob Stump Gazi İşleri Tıp Merkezi Departmanı artı 11 kliniği içeren bu bölgesel VA sağlık sistemi, Kuzey Arizona’da 65.000 mil karelik bir bölgede 33.000 gaziye tıbbi hizmetler sağlıyor.
Muayene Bulguları
Raporda, VA OIG müfettişleri tarafından yapılan güvenlik açığı taramalarının karşılaştırılması, Kuzey Arizona sistemini yöneten VA BT Ofisinin ağdaki tüm kritik veya yüksek riskli güvenlik açıklarını belirlemediğini veya kusurları düzeltmediğini gösterdi.
Örneğin, VA’nın yama yönetimi protokolüne rağmen, OIG inceleme ekibi birkaç cihazda güvenlik yamalarının eksik olduğunu tespit etti. Watchdog ajansı, “Kritik ve yüksek riskli güvenlik açıklarına sahip birkaç cihazda uygulanmayan yamalar vardı. Bu kontroller olmadan, kritik sistemler gereksiz yere yetkisiz erişim, değiştirme veya imha etme riski altında olabilir.”
OIG ayrıca 80 sağlık sistemi ağ anahtarından 71’inin VA Office of IT temel gereksinimlerini karşılamayan ve artık satıcı tarafından desteklenmeyen işletim sistemleri kullandığını bulduğunu söyledi.
VA OIG, “Sonuç olarak, bu cihazlar bakım veya güvenlik açığı desteği alamayacak, bu da saldırganların bileşenlerdeki zayıflıklardan yararlanma fırsatına yol açabilir. Ek olarak, güncel olmayan yazılımlar kötü niyetli kodlara karşı savunmasız olabilir.”
“Ağ cihazları ve BT sistemleri, bir kuruluş için kritik altyapıdır. Yükseltme yalnızca bir savunma stratejisi değil, ağ kararlılığını koruyan pratik bir stratejidir.”
Kalıcı Zorluklar
Kuzey Arizona sisteminin gözden geçirilmesi, OIG VA’nın çeşitli VA tıbbi tesislerinde güvenlik açığı yönetimi sorunları bulduğu ilk sefer değil. Örneğin, Ocak ayında, Alabama’daki Tuscaloosa VA Tıp Merkezi ile ilgili benzer bir VA OIG denetim raporu da, ilk kez 2015’te tanımlanan ve yıllarca hafifletilmemiş olan “yüksek riskli bir güvenlik açığı” da dahil olmak üzere yama yapılmamış kusurlar buldu (bkz:: VA Hastanesi ‘Yüksek Riskli’ Güvenlik Açığı Yıllardır Ele Alınmadı).
Ancak bazı uzmanlar, ister bir VA ister özel sektör tıbbi kuruluşu olsun, genel sağlık sektörünün güvenlik açığı yönetimiyle önemli ölçüde mücadele ediyor gibi göründüğünü söylüyor.
Gizlilik ve güvenlik danışmanlığı baş risk sorumlusu Jon Moore, “Birkaç faktör, yama yönetimini sağlık kuruluşları için özellikle zorlaştırıyor. Birçoğu için ilk sorun, kaynak kısıtlamaları. Yama talebini karşılayacak kaynaklara sahip değiller” dedi. Temiz su.
Sağlık hizmetlerindeki BT ortamlarının karmaşıklığı sorunu daha da artırıyor. “Sistem ve cihazların çeşitliliği ve bunları tedarik eden ve destekleyen satıcılar, güvenlik açığı ve yama yönetimini verimli bir şekilde yürütmeyi özellikle zorlaştırabilir” dedi.
Moore ayrıca, daha da önemlisi, yama için kesinti süresinin önemli bir endişe kaynağı olduğunu söyledi. “Sistemleri çevrimdışı duruma getirmek veya bakım amacıyla sistem kullanılabilirliğini bozmak, bu kuruluşlardan tedavi gören hastalar için hayati tehlike oluşturabilir.”
Bunun da ötesinde, birlikte çalışabilirliğin büyük bir husus olduğunu söyledi. “Bir sisteme yama uygulamak, kritik hasta sağlığı bilgilerini diğer sistemlerle paylaşma yeteneğini bozabilir ve bu nedenle, bir yama uygulamadan önce önemli testler gerekebilir.”
Diğer Kontrol Zayıflıkları
OIG, yapılandırma yönetiminin yanı sıra, VA’nın Kuzey Arizona sağlık sisteminde incelenen diğer iki ana güvenlik alanında da bazı eksiklikler buldu: güvenlik yönetimi ve erişim kontrolleri.
Güvenlik yönetimi bulguları arasında OIG, ağda listelenen envanterden neredeyse iki kat daha fazla cihaz tanımladığını söyledi. OIG, “Donanım envanterini rutin olarak güncellemeyerek, yönetim yanlış sistem bilgilerine dayalı olarak risk kararları alıyor” diye yazdı.
Tanımlanan zayıf erişim kontrolleri, bir veri merkezindeki eksik video gözetimi, yetersiz yangın algılama ve söndürme ekipmanı, yetersiz su sensörleri ve iklim kontrolleri, monte edilmemiş veya yığılmış ağ ekipmanı ve yedek güç kaynakları olmayan iletişim odaları gibi fiziksel kontrolleri içeriyordu.
Bazı uzmanlar, OIG’nin denetiminin yalnızca VA’daki önemli güvenlik riski yönetimi konularını değil, aynı zamanda genel olarak sağlık sektöründe de olduğunu söylüyor. tw-Security’de kıdemli güvenlik danışmanı olan Wendell Bobst, “Rapor haklı olarak yapılandırma yönetimi ve güvenlik yönetimini belirtiyordu” dedi.
“Ayrı ayrı yama yapılacak çok fazla cihaz var ve bekleyen yamaları ve yeniden başlatmalar olup olmadığını izlemek için her ‘normal’ bilgisayara bilgisayar yönetim yazılımı kurulmalı” dedi.
“VA’nın muhtemelen başarısız olduğu nokta, bilgisayar yönetim yazılımını – örneğin radyoloji modalitelerini – veya düzenli yamaları desteklemeyen cihazları izole etmek için ağ bölümlemesinin olmamasıydı” dedi. Bu tür bir izolasyon, BT’nin bir sorunu çözmesi için zamanında çoğu kötü amaçlı yazılımı içerecektir, diye ekledi.
OIG, Kuzey Arizona sağlık sistemindeki güvenlik kontrollerini iyileştirmek için VA’nın BT sekreter yardımcısına ve CIO’ya birkaç tavsiyede bulunduğunu söyledi, çünkü bunlar “önceki FISMA denetimlerinde ve bilgi güvenliği incelemelerinde tanımlananlara benzer kurumsal çapta bilgi güvenliği sorunlarıyla ilgili. “
OIG ayrıca Kuzey Arizona VA Sağlık Bakım Sistemi direktörüne beş tavsiyede bulunduğunu söyledi.
Bunlar, VA’nın Kuzey Arizona sisteminde tanımlanan güvenlik açıklarını ele almak için daha etkili bir güvenlik açığı yönetim programı uygulamasını sağlamayı ve sorunların belirlenmiş zaman çerçeveleri içinde düzeltilmesini sağlamayı içeriyordu.
Rapor, VA BT yönetiminin bekçi kurumun tavsiyeleriyle aynı fikirde olduğunu söyledi.
VA, Information Security Media Group’un OIG’nin raporu hakkında yorum yapma talebine hemen yanıt vermedi.