Proofpoint’e göre, sağlık kuruluşlarının %92’si son 12 ayda en az bir siber saldırı yaşadı; bu oran 2023’teki %88’e göre artış gösterdi ve %69’u bunun sonucunda hasta bakımında aksaklık olduğunu bildirdi.
Sağlık kuruluşları siber saldırılardan kaynaklanan riskleri azaltmak için mücadele ediyor
En yaygın dört saldırı türüne – bulut güvenliği, fidye yazılımı, tedarik zinciri ve iş e-posta güvenliği (BEC) – maruz kalan kuruluşların %56’sı prosedürler ve testlerdeki gecikmeler nedeniyle hasta sonuçlarının kötü olduğunu bildirdi, %53’ü tıbbi saldırılarda artış gördü prosedür komplikasyonları ve %28’i hasta ölüm oranlarının arttığını söylüyor; bu geçen yıla göre yüzde beş puanlık bir artış. Bu bulgular, sağlık kuruluşlarının bu saldırıların hasta güvenliği ve refahı açısından oluşturduğu riskleri azaltmak için mücadele etmeye devam ettiğini gösteriyor.
Amerika Birleşik Devletleri sağlık kuruluşlarındaki 648 bilgi teknolojisi ve güvenlik uygulayıcısıyla anket yapılan rapor, tedarik zinciri saldırılarının büyük olasılıkla hasta bakımını etkilediğini ortaya çıkardı. Ankete katılanların %68’i kuruluşlarının tedarik zincirlerine yönelik bir saldırı olduğunu söyledi; bunların %82’si bunun hasta bakımını kesintiye uğrattığını söyledi; bu oran 2023’te %77’ydi.
BEC, gecikmiş prosedürler ve testler nedeniyle kötü sonuçlara yol açma olasılığı en yüksek olan saldırı grubunun başında gelir (%69), bunu fidye yazılımları (%61) takip eder ve bu saldırılar da en fazla uzun kalış süresine (%58) ve artışa neden olur. Başka kurumlara yönlendirilen veya nakledilen hastalarda (%52).
Ponemon Enstitüsü’nün başkanı ve kurucusu Larry Ponemon, “Üçüncü yıllık raporumuz, sağlık sektörünün insan merkezli siber güvenlik risklerini ve hasta bakımındaki aksaklıkları azaltma konusunda ilerleme kaydedip kaydetmediğini belirlemek için düzenlendi” dedi.
“Arka arkaya üçüncü yılda, analiz edilen dört tür saldırının hasta güvenliği ve refahı üzerinde doğrudan olumsuz etki gösterdiğini tespit ettik. Ancak iyi haber şu ki, sağlık sektörü siber güvenliğin hasta sonuçlarında oynadığı rolün giderek daha fazla farkına varıyor; ortalama olarak BT bütçeleri arttı ve daha az sayıda BT uygulayıcısı bütçenin, kuruluşlarının siber güvenlik duruşunun tam anlamıyla etkili olmasını engellemede zorluk yarattığını belirtiyor” diye ekledi Ponemon.
Sağlık hizmetlerinde en büyük siber güvenlik tehdidi
Ankete katılanların %54’ü, kuruluşlarının fidye yazılımı saldırılarına karşı savunmasız veya yüksek düzeyde savunmasız olduğuna inanıyor; bu oran 2023’teki %64’e göre bir düşüş. Fidye yazılımı saldırılarına uğrayan kuruluşlar (yanıt verenlerin %59’u) son iki yılda bu türden ortalama dört saldırı yaşadı. Fidyeyi daha az kuruluş öderken (2024’te %36, 2023’te %40), ödenen fidye önceki yılki 995.450 $’a kıyasla %10 artışla ortalama 1.099.200 $’a yükseldi.
Güvenli olmayan mobil uygulamalara (e-Sağlık) ilişkin endişeler sağlık hizmetlerinde en büyük siber güvenlik tehdidi haline geldi ve ankete katılanların oranı 2023’te %51’den 2024’te %59’a yükseldi. Bulut/hesap güvenliğinin ihlali ikinci en büyük endişe (%55) ve kısa mesaj oldu. En çok saldırıya uğrayan işbirliği aracı (%61) oldu ve ardından e-posta (%59) geldi. Kuruluşlar, çalışanların sahip olduğu mobil cihazlar veya BYOD konusunda daha az endişe duyuyor.
Ankete katılan on kuruluştan dokuzundan fazlası, son iki yıl içinde hassas ve gizli verileri içeren en az iki veri kaybı veya sızma olayı yaşadı. %51’i bir veri kaybı veya sızma olayının hasta bakımını etkilediğini söyledi; Bunların %50’sinde ölüm oranlarında artış yaşandı ve %37’sinde prosedürlerde ve testlerde kötü sonuçlara yol açan gecikmeler görüldü.
Geçtiğimiz iki yıl boyunca kuruluşlar, birincil temel nedenin çalışanlar olduğu bu tür ortalama 20 olay yaşadı. Politikalara uymama nedeniyle çalışanların ihmali (%31), kazara veri kaybı (%26) ve çalışanların e-posta yoluyla istenmeyen bir alıcıya PII ve PHI göndermesi (%21) ilk üçte yer alıyor.
Açık bir liderliğin eksikliği büyüyen bir sorundur
Katılımcıların %55’i, kuruluşlarının kurum içi uzmanlık eksikliğinin, güçlü bir siber güvenlik duruşuna ulaşmada birincil caydırıcı faktör olduğunu söylerken, bir zorluk olarak net liderlik eksikliği, 2023’ten bu yana önemli ölçüde artış göstererek katılımcıların %14’ünden %49’una çıktı. Yeterli bütçeye sahip olmayanların oranı 2024’te %47’den %40’a düştü.
İhmalkar çalışanlar sağlık kuruluşları için önemli bir risk oluşturmaktadır. Giderek daha fazla kuruluş (2024’te %71, 2023’te yanıtlayanların %65’i) çalışanların siber güvenlik tehditleri konusundaki farkındalık eksikliği riskini ele almak için adımlar atıyor olsa da, bu adımlar riskleri azaltmada etkili mi? Ankete katılan beş kişiden neredeyse üçü (%59) düzenli eğitim ve farkındalık programları yürüttüklerini belirtiyor.
Yapay zekanın güvenlik ve hasta bakımı üzerindeki etkisi ilk kez incelendi. Katılımcıların %54’ü kuruluşlarının yapay zekayı siber güvenliğe (%28) veya hem siber güvenliğe hem de hasta bakımına (%26) yerleştirdiğini söylüyor. Bu katılımcıların %57’si yapay zekanın kuruluşların siber güvenlik duruşunu iyileştirmede çok etkili olduğunu söylüyor ve %36’sı insan davranışını anlamak için yapay zeka ve makine öğreniminden yararlanıyor.
Proofpoint Sağlık Hizmetleri Müşteri Danışma Kurulu Başkanı Ryan Witt, “İnsan hedefli saldırıları durdurmaya odaklanan etkili bir siber güvenlik yaklaşımı, yalnızca gizli hasta verilerini korumak için değil, aynı zamanda tıbbi bakımın en yüksek kalitesini sürdürmek açısından sağlık kurumları için çok önemlidir” dedi.
“Bu rapor siber güvenliğin hasta güvenliği olduğunun altını çiziyor; Sağlık sistemlerini ve tıbbi verileri siber saldırılardan korumak, hasta bakımında sürekliliğin sağlanması ve kritik hizmetlerin kesintiye uğramasının önlenmesi açısından kritik öneme sahiptir. Güvenlik farkındalığı temel olsa da, belirli rollere ve sorumluluklara göre uyarlanmış programlar aracılığıyla sürdürülebilir davranış değişikliğini teşvik etmek, hem kurumsal hem de hasta güvenliğini desteklemeye yardımcı olacaktır” diye tamamladı Witt.