Güvenli Olmayan Dosya Yüklemeleri Sağlık Kuruluşlarını Risk Altına Sokuyor; İşte Çözüm Yolu  

HIMSS’e göre, sağlık kuruluşlarının %80’inden fazlası artık sağlık verilerini depolamak veya işlemek için bulut hizmetlerini kullanıyor. Her gün binlerce dosya genellikle şu kaynaklardan sağlık kurumlarına giriyor:

• Yönetilmeyen kişisel cihazları kullanan hastalar
• Üçüncü taraf hizmet sağlayıcılar ve uzmanlar
• Tanı laboratuvarları ve görüntüleme merkezleri
• Sigorta şirketleri, fatura ortakları ve sevk ağları

Bu dosyalar zararsız görünüyor.

PDF’ler, taranmış formlar, resimler, ZIP arşivleri ve DICOM dosyaları sağlık hizmetleri iş akışlarında yaygın olarak kullanıldığından, bu dosyalarla çalışanlar tarafından doğal olarak güvenilir kabul edilir.

Risk tam da bu sıradanlıkta yatıyor. Hassas hasta verilerini veya tedavi seçeneklerini içeren aynı dosyalar, geleneksel araçların tespit edemediği meta veriler, komut dosyaları veya gömülü nesneler barındırabilir.

Modern sağlık hizmetleri, bulut tabanlı hizmetler olmadan gerçekten işleyemez.

Tele-sağlık platformları, sanal muayenelerden önce ve sonra belge paylaşımına olanak tanır. EHR sistemleri, sağlık hizmeti sağlayıcıları arasında veri alışverişi yapmak için bulut entegrasyonlarına dayanır.

Yükleme hacmi arttıkça saldırı yüzeyi de genişlemektedir. Ne yazık ki, saldırı yüzeyini azaltmak bir seçenek değildir; zira bu, modası geçmiş iletişim yöntemlerine geri dönmeyi gerektirecektir. Böyle bir geri adım mantıksızdır; ayrıca her şeyi yavaşlatacak ve hasta bakımını çok daha verimsiz hale getirecektir.

Her şeyi göz önünde bulundurduğumuzda, sağlık hizmetleri sektörünün siber güvenlik konusunda bilgisiz olduğu söylenemez.

Kötü niyetten çok bilgisizlikten kaynaklanan bu sistemler, bulut sağlayıcılarının yerleşik güvenlik özelliklerine ya da iş akışlarının belirli alanlarını koruyan harici güvenlik araçlarına dayanmaktadır: antivirüs motorları, DLP, CASB (Cloud Güvenlik Aracıları) veya bulut tabanlı güvenlik denetimleri.

Ancak, kullanıma sunulan tüm güvenlik araçları arasında, dosya yüklemelerini tam anlamıyla güvence altına alacak şekilde tasarlanmış olanlar çok azdı.

• Antivirüs motorları öncelikle bilinen tehditleri tespit eder; ancak karmaşık dosya yapılarında gizlenmiş gelişmiş veya sıfırıncı gün kötü amaçlı yazılımlarını genellikle gözden kaçırır.
• DLP (Veri Kaybını Önleme), hassas verileri tespit edip gizleyebilir, ancak dosyalardaki olası tehditleri tespit etmek veya etkisiz hale getirmek konusunda hiçbir işe yaramaz.
• CASB çözümleri, erişim kontrolü ve kullanım izlemeye odaklanır, ancak yüklenen dosyaların derinlemesine incelenmesi veya temizlenmesi işlemlerini gerçekleştirmez.
• Cloud sağlayıcıları altyapıyı güvence altına alır, ancak dosya içeriğinin güvenliği konusunda herhangi bir sorumluluk üstlenmez

Bu durum, yükleme aşamasında ciddi bir eksiklik yaratmaktadır.

Saldırganlar bu güvenlik açığını, zararsız görünen dosyaların içine kötü amaçlı kodlar gizlemek, arşivlenmiş dosyalara sıfır gün kötü amaçlı yazılımları yerleştirmek veya sisteme sızmak için silah olarak kullanılan dosya yüklemelerini gerçekleştirmek amacıyla daha da kötüye kullanabilir.

HIPAA federal yasası, PHI’nin (Korunan Sağlık Bilgileri) güvenliğini sağlamak için ülke çapında geçerli katı standartlar getirir. Doktorlar, hastaneler ve sigorta şirketleri de bu standartlara uymakla yükümlüdür. 

Ancak, kişisel sağlık bilgileri (PHI) içeren veya gizli kötü amaçlı yazılım barındıran dosyalar, genellikle denetlenmemiş bulut yüklemeleri yoluyla sağlık sistemlerine sızmaktadır. Kişisel sağlık bilgileri (PHI) çeşitli şekillerde açığa çıkabilir:

• Görünür belge alanları
• Gömülü meta veriler
• Görüntü katmanları
• Gizli nesneler

Kötü amaçlı yazılımlar faturalara, onay formlarına veya görüntü dosyalarına gizlenebilir.

Sağlık sistemlerine PHI içeren dosyalar ya da kötü amaçlı yazılım içeren dosyalar girerse, bu durum doğrudan HIPAA ihlaline yol açar.

HIPAA tarafından zorunlu kılınan şeffaflık da bir sorun teşkil etmektedir.

Dosyalar SaaS platformlarına kaydedildikten sonra, kuruluşlar genellikle verilere nasıl erişildiğini, paylaşıldığını veya saklandığını tam olarak göremez hale gelir.

Görünürlük eksikliği, HIPAA’nın temel gereklilikleri olan gizlilik, bütünlük ve erişilebilirlik alanlarında eksikliklere yol açar.

Aslında, ABD Sağlık ve İnsan Hizmetleri Bakanlığı (HHS) Sivil Haklar Ofisi’nin de vurguladığı gibi, kuruluşlar genellikle bulut tabanlı dosya yönetimi de dahil olmak üzere yeni teknolojilerin getirdiği riskleri değerlendirmekte ve azaltmakta yetersiz kalmaktadır.

Gerekli olan şey, PHI sızıntılarını önleyen, şeffaflığı koruyan ve kötü amaçlı yazılım saldırılarını engelleyen, veri yükleme güvenliğine yönelik daha sağlam bir yaklaşımdır. Bu yaklaşım olmadan kuruluşlar, denetim sorunları, ihlal bildirim yükümlülüklerinin yerine getirilmemesi ve hasta güveninin yitirilmesi gibi sorunlarla karşı karşıya kalır.

Sağlık kayıtları ele geçirildiğinde, bunun yol açtığı sonuçlar, verileri çalınan kişiler için mali dolandırıcılığın çok ötesine uzanır.

Sağlık verilerinin çalınmasının olası sonuçları arasında kimlik hırsızlığı, sahte sigorta talepleri veya reçetelere yasadışı erişim sayılabilir.

Daha da kötüsü, bu tür veri ihlalleri son derece kişisel bilgileri açığa çıkarmaktadır. Bu gizlilik ihlali, ruh sağlığı hizmetleri, üreme sağlığı hizmetleri veya madde bağımlılığı desteği alan kişileri damgalanma, ayrımcılık ve kalıcı duygusal zarara maruz kalma riskiyle karşı karşıya bırakabilir.

Tıbbi geçmişi sıradan olan hastalar bile sisteme olan güvenlerini yitirebilir ve bu durum, tedaviyi ertelemelerine ya da hekimlerden hayati önem taşıyan bilgileri saklamalarına yol açabilir.

Sonuç olarak, sağlık kuruluşlarındaki güvenlik açıklarını gidermek, bütüncül hasta bakımı kapsamında ele alınması gereken bir konu haline gelir.

Daha ciddi durumlarda, bir fidye yazılımı saldırısı hayati öneme sahip tıbbi kayıtlara erişimi engelleyebilir veya kritik sistemleri devre dışı bırakarak hayatları tehlikeye atabilir.

2017 yılında NHS sistemlerine yönelik WannaCry saldırısı da buna bir örnek teşkil ediyor. Saldırı, ameliyatların iptal edilmesine ve ambulansların başka yerlere yönlendirilmesine neden olarak, siber olayların ne kadar çabuk bir halk sağlığı krizine dönüşebileceğini bir kez daha kanıtladı.

Sağlık sektöründeki siber saldırılar hem hasta bakımını hem de kurumun itibarını tehlikeye attığı için, önde gelen sağlık hizmeti sağlayıcıları siber güvenlik yaklaşımlarını değiştiriyor.

Eskiden üçüncü taraf sağlayıcılarla yapılan sözleşmelerle çözülen “bir BT sorunu” olan bu durum, artık hasta güvenliği meselesi haline gelmiştir.

Hastaların verilerini ve tedavi planlarını güvence altına almak, kaliteli hasta bakımı sunmanın bir yolu ise, dosya yüklemeleri artık, tabiri caizse, bir enfeksiyon kaynağı haline gelmemelidir.

Secure yüklemeleri, çok katmanlı denetimler gerektirir ve dosyalar, bulut sistemlerine kabul edilmeden önce birden fazla tarama ve analiz sürecinden geçmelidir.

Sağlık sektörüne uygun yükleme güvenlik kontrol listesi şunları içerir:

• Algılama doğruluğunu artırmak için çok motorlu kötü amaçlı yazılım taraması
• CDR (İçerik Temizleme ve Yeniden Yapılandırma), dosyayı etkilemeden etkin içeriği kaldırmak için 
• Depolama veya paylaşım öncesinde, sinsi veya gelişmiş kötü amaçlı yazılımları tespit etmek için derinlemesine dosya taraması 
• Dosyalarda PHI ve hassas verilerin tespiti (ve gizlenmesi) 
• HIPAA gerekliliklerine uygun politika uygulaması

Bu yaklaşım, dosya yüklemelerini körü körüne güvenilen olaylardan kontrollü ve denetlenebilir süreçlere dönüştürür.

MetaDefender Cloud , sağlık hizmetleri dosyalarının alımı için özel bir güvenlik katmanı görevi görür.

Dosyalar bulut platformlarına, elektronik hasta kayıt sistemlerine veya işbirliği sistemlerine ulaşmadan önce bunları yakalar ve analiz eder.

Platform, birden fazla tarama motorunu paralel olarak kullanarak gelişmiş kötü amaçlı yazılım algılama özelliği sunar. Bu, bilinen ve bilinmeyen tehditlere karşı koruma kapsamını artırır.

CDR, tıbbi belgelerden komut dosyalarını, makroları ve gömülü nesneleri kaldırırken klinik kullanışlılığı korur.

Hassas veri denetimi, dosyalar paylaşılmadan veya depolanmadan önce hassas içeriği tespit edip gizleyerek kişisel sağlık bilgilerinin (PHI) ifşa edilme riskini azaltmaya yardımcı olur. Ayrıca hassas veri türlerini sınıflandırarak verilerin nasıl işleneceği, depolanacağı ve korunacağına dair kuralları belirler.

API entegrasyon, MetaDefender Cloud hasta portalları, telesağlık platformları ve üçüncü taraf hasta kabul sistemleri dahil olmak üzere sağlık sektöründeki dosya iş akışlarına entegreCloud sağlar.