Amerika Birleşik Devletleri Sağlık ve İnsani Hizmetler Bakanlığı’nın (HHS) Sivil Haklar Dairesi (OCR), hastaların verilerini potansiyel siber saldırılara karşı korumak amacıyla sağlık kuruluşları için yeni siber güvenlik gereksinimleri önerdi.
OCR, 1996 tarihli Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası’nda (HIPAA) değişiklik yapmayı amaçlayan teklifin, kritik altyapıların siber güvenliğini güçlendirmeye yönelik daha geniş bir girişimin parçası olduğunu söyledi.
Kural, HIPAA Güvenlik Kuralı standartlarını “sağlık sektörüne yönelik giderek artan siber güvenlik tehditlerini daha iyi ele alacak şekilde” güncelleyerek elektronik korumalı sağlık bilgilerine (ePHI) yönelik korumaları güçlendirmek üzere tasarlanmıştır.
Bu amaçla, teklif, diğer şeylerin yanı sıra, kuruluşların teknoloji varlık envanteri ve ağ haritasını incelemesini, elektronik bilgi sistemleri için tehdit oluşturabilecek potansiyel güvenlik açıklarını belirlemesini ve belirli ilgili elektronik sistemlerin kaybını onarmak için prosedürler oluşturmasını gerektiriyor. bilgi sistemleri ve veriler 72 saat içinde.
Diğer önemli maddeler arasında en az 12 ayda bir uyumluluk denetiminin gerçekleştirilmesi, ePHI’nin kullanımda ve geçiş halindeyken şifrelenmesinin zorunlu kılınması, çok faktörlü kimlik doğrulama kullanımının zorunlu kılınması, kötü amaçlı yazılıma karşı korumanın dağıtılması ve ilgili elektronik bilgi sistemlerinden yabancı yazılımların kaldırılması yer alıyor.
Önerilen Kural Oluşturma Bildirisi (NPRM) aynı zamanda sağlık kuruluşlarının ağ bölümlendirmesini uygulamasını, yedekleme ve kurtarma için teknik kontroller kurmasını, ayrıca en az altı ayda bir güvenlik açığı taraması ve en az 12 ayda bir sızma testi gerçekleştirmesini gerektirmektedir.
Bu gelişme, sağlık sektörünün fidye yazılımı saldırılarıyla kazançlı bir hedef olmaya devam etmesi, yalnızca finansal risk oluşturması değil, aynı zamanda tanı ekipmanlarına ve hastaların tıbbi kayıtlarını içeren kritik sistemlere erişimi kesintiye uğratarak hayatları tehlikeye atması nedeniyle ortaya çıkıyor.
Microsoft, Ekim 2024’te şunları kaydetti: “Sağlık kuruluşları son derece hassas verileri topluyor ve saklıyor; bu da muhtemelen tehdit aktörlerinin fidye yazılımı saldırılarında kendilerini hedeflemesine katkıda bulunuyor.” “Ancak, bu tesislerin risk altında olmasının daha önemli bir nedeni, büyük mali ödeme potansiyelidir.”
“Fidye yazılımından etkilenen hastanelerin yakınında bulunan sağlık tesisleri de bu durumdan etkileniyor çünkü bakıma ihtiyaç duyan hasta sayısı artıyor ve onlara acil destek sağlayamıyor.”
Siber güvenlik şirketi Sophos tarafından derlenen verilere göre, 2021’de %34 olan sağlık kuruluşlarının %67’si, 2024’te fidye yazılımından etkilendi. Bu olayların çoğunun ardındaki temel nedenin, istismar edilen güvenlik açıklarından, ele geçirilen kimlik bilgilerinden ve kötü amaçlı yazılımlardan kaynaklandığı belirlendi. e-postalar.
Ayrıca, verileri şifrelenen sağlık kuruluşlarının %53’ü, erişimi yeniden sağlamak için fidye ödedi. Ortalama fidye ödemesi 1,5 milyon dolardı.
Sağlık kuruluşlarına yönelik fidye yazılımı saldırılarının oranındaki artışa, daha uzun iyileşme süreleri de eklendi; kurbanların yalnızca %22’si bir hafta veya daha kısa sürede tamamen iyileşti; bu oran 2022’deki %54’e göre önemli bir düşüş oldu.
Sophos CTO’su John Shier, “Sağlık hizmeti bilgilerinin son derece hassas doğası ve erişilebilirlik ihtiyacı, sağlık sektörünün siber suçlulara karşı her zaman hedef alınmasını sağlayacaktır” dedi. “Maalesef siber suçlular, çok az sayıda sağlık kuruluşunun bu saldırılara yanıt vermeye hazır olduğunu öğrendi, bu da iyileşme sürelerinin giderek uzamasının da gösterdiği gibi.”
Geçtiğimiz ay, Birleşmiş Milletler’in küresel halk sağlığına odaklanan bir kuruluşu olan Dünya Sağlık Örgütü (WHO), hastanelere ve sağlık sistemlerine yönelik fidye yazılımı saldırılarını “ölüm kalım meselesi” olarak nitelendirdi ve siber tehditle mücadele için uluslararası işbirliği çağrısında bulundu.