IBM Security tarafından hazırlanan bir rapora göre, ikincisi, örneğin 2021’de haftada bir kötü amaçlı operasyon oranında, pandeminin başlangıcından bu yana gerçekten de büyük siber saldırılara maruz kaldı.
Tüm sektörlerdeki diğer birçok kuruluş gibi, sağlık kuruluşları da personeli günlük olarak desteklemek için dijitalleşmeyi benimsemiştir, özellikle süreçleri kolaylaştırarak ve tıp mesleği arasında ve aynı zamanda hastalarla bilgi paylaşımını sağlayarak. Sonuç olarak, bu kurumlar artık MRI’lar gibi geleneksel olarak bağlı olmayan cihazlar da dahil olmak üzere çok sayıda IoT cihazına ev sahipliği yapıyor. Ömürleri bazen yirmi, hatta otuz yıla ulaşıyor ve işletim sistemleri, güncellemelerden çoğu zaman yararlanamadan eski hale geliyor. Buna ek olarak, bu makineler, bütçe eksikliği ve ilgili güvenlik açıkları ve tehditler hakkında bilgi eksikliği nedeniyle, eğer varsa, zayıf bir şekilde korunmaktadır.
Gerçekten de, personel BT güvenliği konusunda eğitimden faydalanmaz, böylece çalışanlar kötü bir şekilde korunan bir X-ray cihazının veya aynı tanımlayıcıya sahip birkaç kişi tarafından kullanılan bir bilgisayarın sonuçlarının farkına varmazlar. Ayrıca, bu kuruluşlar her zaman hastaları korumaya siber güvenlikten daha fazla öncelik verir. Bu nedenle departmanlar arasında bütçe ayrılırken bu kalem en son sırada yer almaktadır.
Durum pandemi ile daha da kötüleşti. Gerçekten de dijital dönüşüm, özellikle aşıların çevrimiçi rezervasyonu, uzaktan tıbbi randevular veya QR kodlu sağlık geçişleri ile Covid-19 tarafından hızlandırıldı. Siber suçlular sistematik olarak hızlı ve garantili bir yatırım getirisi elde etmeyi amaçladığından, yetersiz siber hijyen nedeniyle sağlık sektörü birincil hedef haline geldi.
Fidye yazılımından öldürücü yazılıma
Statista’ya göre, sağlık sektörü 2021’de fidye yazılımı saldırılarının en büyük hedefleri arasında (hükümet ve eğitimden sonra) üçüncü sırada yer alıyor. Ancak siber suçlular artık başka bir tehdide yöneliyor. Gerçekten de, bu sektördeki kurumlar nihayet fidye yazılımlarına karşı savunmalarını güçlendirdi ve daha iyi yedekleme politikaları ve benimsenecek en iyi uygulamalar konusunda daha iyi personel farkındalığı sayesinde şifrelenmiş verilerini kurtarmada giderek daha başarılı oluyorlar.
Bu nedenle, siber suçlular saldırılarını uyarladılar ve “killware” adı verilen bir tekniği seçtiler. İkinci durumda, artık fidye yazılımının yaptığı gibi verileri şifreleyerek rehin almak değil, kapatılırsa hastaların ölümüne neden olabilecek bağlı cihazların kontrolünü ele geçirmekle tehdit etmek söz konusudur. Bu IoT cihazları, solunum cihazlarını, ilaçları damardan dağıtan infüzyonları veya ambulansları en yakın hastanelere yönlendiren sistemi içerir. Halihazırda Covid-19’un baskısı altında olan sağlık personeli, bu kötü niyetli kampanyalar nedeniyle ek stres altındadır; ve BT ekiplerinin hastaları korumak için fidyeyi ödemekten başka seçeneği yok.
Sağlık kuruluşlarının güvenliğini artırmak
Ağustos 2020’de Fransız hükümeti, özellikle pandemi nedeniyle yatırım ve modernizasyona ihtiyaç duyan stratejik sektörleri finansal olarak desteklemeyi amaçlayan 100 milyar avroluk bir kurtarma planı olan France Relance’i başlattı. Sağlık sektörü için bu büyük yatırım, güvenlik açıklarını gidermeye ve mevcut siber tehdit ortamıyla yüzleşmek için donatmaya yardımcı olabilir. Ayrıca, ANSSI, en iyi siber güvenlik uygulamalarının yayılmasına katkıda bulunmak için bölge genelinde bölgesel düzeyde daha fazla müdahale eder.
Bununla birlikte, bu kamu girişimleri ancak sektör, korumanın ilk adımının erişim ve hassas verilerin güvenliğini sağlamaya devam ettiğini ve siber güvenliği bir öncelik haline getirdiğini nihayet anlarsa başarılı olacaktır. Sonuç olarak, BT ekipleri, ihlal girişimlerini azaltabilecek ve değişen tehdit ortamına daha hızlı uyum sağlayabilecektir. Somut olarak, sağlık kuruluşlarında birkaç iyi uygulama ve politikanın hayata geçirilmesi esastır.
İlk olarak, IoT cihazları, segmentlere ayrılmış bir sunucu aracılığıyla yalıtılmalı ve makineler, güvenliği ihlal edilmiş bir cihazın tüm ağı etkilememesi için bir ofis ortamında konuşlandırılmamalıdır. BT ekipleri ayrıca kimin (insanlar ve makineler) neye ve neden erişebileceğini kolayca doğrulayabilmelidir; başka bir deyişle, erişim hakkının ilgili ve gerekli olup olmadığı. Bu nedenle, en az ayrıcalıklı model önerilir: bir kullanıcı yalnızca günlük görevlerini yerine getirmek için gerçekten ihtiyaç duyduğu verilere erişebilmelidir, ne daha fazla, ne daha az. Son olarak, saklanan veriler hassas yapılarına göre sınıflandırılmalı ve buna göre korunmalıdır.
Sağlık sektöründe dijitalleşmenin yükselişiyle karşı karşıya kalan kuruluşların, savunma ve siber güvenlik stratejilerini buna göre uyarlamaları gerekiyor. Gerçekten de hiçbir zaman %100 güvenli olmayan birçok IoT cihazı kurdular ve personelin siber hijyen konusundaki bilgisi her zaman aynı seviyede değil.
Saldırılar artık hastaların hayatlarını doğrudan tehdit ettiğinden, siber güvenlik hastaların günlük bakımı kadar önemli hale gelmelidir. Yeterli ulusal programlar ve yerinde iyileştirmeler mevcutsa, bu sektördeki siber güvenliği sürdürülebilir bir şekilde geliştirmek ve kötü niyetli kampanyalarla başarılı bir şekilde mücadele etmek için zihniyette köklü bir değişiklik gerekli olacaktır.