Saldırganlar şu anda sağlık sektörü üzerinde önemli bir baskı oluşturuyor, haber döngüsüne hakim oluyor ve fidye yazılımı ve diğer siber saldırıları akıllara getiriyor. Sağlık sektörü, haftada ortalama 1.463 saldırı (2021'e kıyasla %74 artış) ile siber suçlular için cazip bir hedef oluşturuyor. Son on iki yıldır, bir sağlık hizmeti ihlalinin maliyeti diğer tüm sektörlerden daha yüksek olup, 2022 yılında 10,1 milyon ABD dolarına ulaşmıştır. Ve daha fazla sağlık sistemi dijital ve bağlantılı teknolojilere geçtikçe, bu saldırılar daha da artacaktır.
Neden Sağlık Sistemlerini Vuralım?
Saldırganların sağlık hizmetlerine odaklanmasının birkaç nedeni var. Bunlardan ilki, insan hayatları risk altında olduğunda, hedef alınan kuruluşların normal iş operasyonlarına dönebilmek için fidye ödeme olasılığının daha yüksek olmasıdır - ki bu da aslında kritik acil bakım sağlamak, bebekleri doğurtmak ve savunmasız hastalar için sürekli bakım sağlamaktır. Bu ortamlardaki operasyonları aksatmak bile hayati tehlike yaratabilir.
Ontario'da bir hastane, elektrik, su ve kritik IT sistemleri gibi ihtiyaçlar da dahil olmak üzere kamu hizmetlerinde kayıp yaşadı. Bunu bir "Gri Kod" olayı olarak adlandıran hastane, kritik hastane hizmetlerini sunmak için çalıştı ancak daha az acil durumları olan hastaları alternatif bakım seçenekleri aramaya çağırdı. Siber saldırı sona erdikten sonra bile, hastane sistemi normal faaliyetlerine dönmekte büyük olasılıkla zorluklar yaşayacaktır.
Birkaç gün önce Florida'daki bir sağlık sistemine yapılan saldırı, Tallahassee Memorial HealthCare'in (TMH) IT sistemlerini çevrimdışı hale getirmesine ve acil olmayan prosedürleri askıya almasına neden oldu. Florida ve Georgia'da akut bakım hastaneleri, psikiyatri hastaneleri, 38 bağlı doktor muayenehanesi ve çok sayıda uzmanlık bakım merkezi sunan özel, kar amacı gütmeyen sağlık sisteminin etkileri geniş kapsamlıdır.
Bu yılın başlarında ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'na (CISA) göre, Kuzey Kore fidye yazılım operasyonları fonları gasp ediyor ve bunları Kuzey Kore hükümetinin ulusal düzeydeki önceliklerini ve hedeflerini desteklemek için kullanıyordu. Bu saldırılar kamu sağlığı ve diğer kritik altyapı sektörlerini hedef alıyor. CISA, bilgisayar korsanlarının özel olarak geliştirilmiş dolaplara ek olarak Güney Kore ve ABD sağlık sistemlerine saldırmak için birden fazla dosya şifreleyen kötü amaçlı yazılım türü kullandığını belirtti.
Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi, fidye yazılım saldırıları yoluyla hükümet operasyonlarını finanse eden ulus-devlet aktörlerine ek olarak, KillNet adlı bir hacktivist grubun dağıtılmış hizmet reddi (DDoS) siber saldırılarıyla ABD sağlık sektörünü aktif olarak hedef aldığını belirtiyor. Bu grup Ukrayna'yı destekleyen ülkeleri hedef alıyor ve bu ülkeleri saatler ya da günler süren hizmet kesintilerine neden olan dağıtık hizmet reddi saldırılarıyla vuruyor. Bu kesintiler randevuların gecikmesine, kritik EHR sistemlerinin çalışmamasına ve ambulansların başka sağlık sistemlerine yönlendirilmesine yol açabilir. Ukrayna'daki savaş devam ederken, ABD sağlık sektörü siber tehditleri önleme çabalarında daha da dikkatli olmalıdır.
Saldırganlar İçeri Nasıl Giriyor?
Sağlık sistemleri inanılmaz derecede karmaşık IT ekosistemlerdir. Daha küçük hastane satın almaları, güvenlik ekibinin gözetimi olmadan sağlanan bulut ve SaaS uygulamaları, bağlı tıbbi cihazlar ve binlerce ila yüz binlerce dijital varlık, yönetilmesi zor olabilecek bir saldırı yüzeyi oluşturur. Bununla birlikte, her zaman var olacak ve sıfır gün saldırıları için kullanılacak birçok bilinmeyen güvenlik açığı vardır, bu da yamalanmamış sistemleri inanılmaz derecede büyük bir risk haline getirir.
Sigorta bilgilerine ve hasta verilerine bu kadar çok erişim noktası varken IT ekipleri bunların hepsini güvence altına almakta zorlanıyor. Doktorlar, fizyoterapistler, doktor asistanları, hemşireler ve hastaların kendileri artık düzinelerce uç noktayla etkileşime giriyor, ancak bu kişiler nadiren sofistike kullanıcılar. Parolalarını paylaşabilir ya da tahmin edilmesi kolay parolalar kullanabilirler ve çok azının çok faktörlü kimlik doğrulama özelliklerini etkin bir şekilde kullanması muhtemeldir. Ele geçirilmiş kimlik bilgileri ve gevşek kimlik doğrulama, saldırganlara sağlık sisteminin ağlarına, uygulamalarına ve verilerine giden bir yol sunar.
Saldırı Potansiyelini ve Etkisini Azaltma
Dünya giderek daha bağlantılı hale geliyor ve güvenlik planlarının ve protokollerinin bu gerçekliğe uyum sağlaması gerekiyor. Sağlık sistemleri, bir saldırı gerçekleşmesi durumunda iyi tanımlanmış ve uygulanmış müdahale planlarını devreye sokarak saldırılara hazırlanabilir. Protokollerin iyi koordine edildiğinden ve güncel olduğundan emin olmak için düzenli siber güvenlik tatbikatları yapmak, güvenlik ekiplerinin kaçınılmaz görünen saldırılara hazırlanmasına yardımcı olabilir.
Bütçeler ve personel kaynakları sınırlı olsa da, ek sıfır güven teknolojisine yatırım yapmak tehdit yüzeyini büyük ölçüde azaltabilir. Sağlık sektörü, günlük iletişim için e-postalara ve dosya ve hasta verilerini paylaşmak ve yüklemek için web uygulama portallarına büyük ölçüde güvenmektedir. Ancak bunların her ikisi de fidye yazılımı, veri hırsızlığı, uyumluluk sorunları ve daha fazlası için büyük riskler oluşturmaktadır. Veri temizleme, hassas verileri kaldırmak için proaktif veri kaybı önleme ve birden fazla kötü amaçlı yazılımdan koruma motoruyla çoklu taramadan yararlanan sıfır güven e-posta ve dosya yükleme çözümleri, kötü amaçlı yazılım ve sıfır gün saldırıları riskini büyük ölçüde azaltmaya yardımcı olur.
Bu karmaşık ortamlar için sıfır güven erişim kontrolü uygulamak, daha az karmaşık kullanıcıların bir sisteme erişim izni vermeden önce kuruluşun güvenlik politikası doğrultusunda güvenlik kontrolleri gerçekleştirmeleri için sorunsuz bir yol sağlayabilir. Sıfır güven ağ erişimi sayesinde sağlık kurumları bulut, uzaktan ve şirket içi erişimi güvence altına alabilir, ağa kimin bağlı olduğuna dair anında görünürlük elde edebilir, güvenlik açıklarını tespit edebilir ve otomatik yamaları dağıtabilir ve gerektiğinde uç nokta uyumluluğunu ve güncellemelerini uygulayabilir. Kurumsal verilere yetkisiz erişimin önlenmesi, kuruluşların hassas hasta verilerini saldırganlardan korumak ve güvence altına almak için HIPAA gereksinimlerini karşılamasına da yardımcı olabilir.
Bir Saldırıdan Sonra İyileşme
Bir saldırıya hazırlıklı olmak, bir kuruluşun siber saldırıdan hızlı bir şekilde kurtulabilmesinin en önemli yoludur. Her sağlık sisteminin kendine özgü ihtiyaçları ve kaynakları olduğundan, eyleme geçirilebilir ve test edilmiş bir olay müdahale süreci oluşturmaya yöneticilerin, güvenlik ve IT uzmanlarının, hukuk ekiplerinin ve iletişim ekiplerinin dahil edilmesi çok önemlidir. Şüpheli faaliyetlerin erken tespit edilmesi ve araştırılması, EDR'nin etkinleştirilmesinin yanı sıra önemli bir ilk adımdır. Bunun için ister dışarıdan bir olay müdahale ekibi isterse de şirket içi kaynaklar kullanılsın, olayın nedenini belirlemek için teknik bir analiz yapmak ve IR planını başlatmak ve uç noktalarda yedekleme çözümlerini etkinleştirmek çok önemlidir. Devam eden soruşturmalar için adli veri toplarken saldırganları kontrol altına almak ve yerel, eyalet ve federal kolluk kuvvetlerini bilgilendirmek önemlidir. Hukuk, IT ve iletişim ekipleri, düzenlemelerin yerine getirildiğinden emin olmak ve kritik bir olayın olası yasal ve itibar etkilerini sınırlamak için birlikte çalışmalıdır.
Saldırının kapsamı kurtarma sürecini ve ihlal bildirim gerekliliklerini etkiler. Fidye yazılımı veya DDoS saldırısı ortadan kaldırıldıktan sonra, kuruluşlar verileri yedeklerden geri yüklemeli ve güvenlik açıklarını gidermelidir. Saldırıdan çıkarılan dersleri kullanarak sağlık sistemleri IR planlarını ayarlayabilir ve gelecekteki saldırıları tespit etmeyi kolaylaştırmak ve daha hızlı kontrol altına almak için taktikler ve güvenlik çözümleri uygulayabilir.
OPSWAT 'un nasıl yardımcı olabileceğini öğrenmek ister misiniz?
