Sağlık sektörü büyümeye devam ediyor ancak siber güvenliğe gereken şekilde odaklanılmadığı takdirde sektörün fidye yazılımlarına ve diğer saldırılara karşı dayanıklılığına ilişkin öngörüler daha da kötüleşecek.
BT dışı aksaklıkların olduğu bir ortamda özel sermaye başarısızlıkları, ilaç sıkıntısıVe hizmetlerin kesilmesi — Siber güvenlik firması Sophos’un bir raporuna göre sağlık kuruluşlarının üçte ikisi (%66) geçen yıl fidye yazılımı saldırılarına maruz kaldı; bu oran önceki yıla göre %60’tı. Hastanelere ve tıbbi hizmet sağlayıcılara yönelik büyük saldırılar, hizmetlerde aksamalara, önemli mali harcamalara ve hassas hasta verilerinin açığa çıkmasına neden oldu. Bazı durumlarda onlar da etkilenen hasta sonuçları.
Ayrıca sürekli yeni tehditler ortaya çıkıyor. Örneğin, ilk olarak geçtiğimiz Mayıs ayında görülen Trinity fidye yazılımı, dünya çapında “önemli bir tehdit” oluşturuyor. sağlık hizmeti ve kamu sağlık sektörü, bir uyarıya göre bu hafta ABD Sağlık ve İnsani Hizmetler Bakanlığı’ndan.
Genel olarak, 2024 yılında 14 milyondan fazla ABD vatandaşı ve dünya çapında bilinmeyen sayıda ABD vatandaşı sağlık hizmeti ihlallerinden etkilendi. başka bir veri setine göre güvenlik firması SonicWall’dan.
Sağlık hizmetleri öyle bir siber rahatsızlık yaşıyor ki, Senato Finans Komitesi başkanı Ron Wyden (D-Ore.) ve Senatör Mark Warner (D-Va.) geçen hafta açıklanan mevzuat sistemi düzeltmeye çalışmak için. Tasarı, siber güvenlik duruşları konusunda hükümete yalan söyleyen, kırsal ve yetersiz hizmet alan hastanelere siber iyileştirmeler için federal kaynaklar sunan ve hassas verileri tutan tüm kuruluşlar için hesap verebilirlik önlemleri ve zorunlu siber güvenlik gereklilikleri getiren sağlık sektörü CEO’larının hapis cezasına çarptırılmasını gerektirecek. Tasarı aynı zamanda Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) kapsamında verilerin yanlış kullanılmasına ilişkin mevcut ceza üst sınırını da kaldıracak.
Wyden tasarıyı açıklayan bir açıklamada, “UnitedHealth gibi mega şirketler Siber Güvenlik 101’de başarısız oluyor ve bunun sonucunda Amerikalı aileler acı çekiyor” dedi. “Sağlık sektörü, Amerikalıların refahı ve mahremiyeti açısından kritik önemine rağmen ülkedeki en kötü siber güvenlik uygulamalarından bazılarına sahip.”
Sağlık Siber Profilleri Enfeksiyona Hazır
Sağlık kuruluşlarının, fidye yazılımı çetelerinin sektöre odaklanmaya devam etmesini sağlayan üç özelliği var: Operasyonları toplum için kritik öneme sahip, teknolojileri genellikle eski ve güvenlik açıklarıyla dolu ve bireysel kuruluşlar fidye ödemeye hazır, diyor Genel Müdürü Doug McKee. SonicWall’un tehdit araştırması.
“Sağlıkta çok para var” [and] Sağlık hizmetleri yalnızca çok paraya sahip olmakla ünlü değil, aynı zamanda fidyeyi ödemeye hazır bir sektör olarak da gösteriliyor” diyor ve şöyle devam ediyor: “Eğer fidyeyi ödemeye devam edersek, saldırganlar da ödemeye devam edecek. bu sektörde yükselişe geçiyor. Matematik bu kadar basit.”
Sektörün başına bela olan siber güvenlik sorunları sadece sağlık sektörünü etkilemiyor. Ayrıca hastalar ve ulusal sağlık çabaları üzerinde de gerçek etkiler yaratıyorlar. Saldırganlar çalıntı kimlik bilgilerini örneğin şu amaçlarla kullandı: UnitedHealth’in yan kuruluşu Change Healthcare’den taviz verildi ve Şubat ayında sistemlerine fidye yazılımı bulaştırarak doktorlara, eczanelere ve hastanelere yapılan ödemelerin durmasına ve sonunda suçlulara 22 milyon dolarlık fidye ödenmesine yol açtı. Birleşik Krallık’ta, tıbbi hizmet sağlayıcısı Synnovis’e saldırı Haziran ayında hasta kan gruplarının ve diğer patoloji hizmetlerinin eşleştirilmesinde gecikmelere yol açtı. Aynı ay bir saldırı Güney Afrika Ulusal Sağlık Laboratuvarı Servisi (NHLS) ülke kendisini bir mpox salgınının ortasında bulurken, hükümet tarafından işletilen test laboratuvarlarının sağladığı hizmeti kesintiye uğrattı.
Bilgi güvenliği şefi Errol Weiss, “Ya fidyeyi ödeyip yeniden çalışmaya başlayabilirim ya da onu kendim yeniden inşa etmeye çalışabilirim ve her şeyin bir hafta içinde yeniden çalışır hale gelmesi için dua edebilirim – bu bir seçenek değil” diyor ( Sağlık Bilgi Paylaşımı ve Analiz Merkezi’nin (Sağlık-ISAC) CISO’su). “Artık ödeme yapmanın daha yaygın olduğu bir sektörümüz var ve bence kötü adamlar (siber suçlular, bunu yapan ulus devletler) bunu oldukça çabuk anladılar. Sanırım durum daha da kötüye gidiyor ve bence Ayrıca sektördeki zayıf noktaları da tespit ettiler.”
Bir Kiloluk Tedavi Genellikle Başarısız Olur
Sağlık kuruluşları için en zayıf nokta, muhtemelen hastanelerin ve eczanelerin üçüncü taraf sağlayıcılara olan karşılıklı bağımlılığıdır. Change Healthcare haftalarca süren kesintiye uğradığında bu olay, siber dayanıklılığı artırma çabalarının sağlık hizmeti sağlayıcılarının güvendiği üçüncü taraf tedarikçilere kadar uzanması gerektiğini gösterdi.
“Sağlık Hizmetini Değiştir kesinlikle sektörü sarstı ve bizi [realize] Weiss şöyle diyor: “Bu, pek çok hizmet için tek bir başarısızlık noktası.” diyor Weiss. “ABD genelinde bu kesinti nedeniyle reçetelerini dolduramayan binlerce hastamız vardı ve sonra… iddia ediyor.”
Benzer şekilde Synnovis ve NHLS’ye yapılan saldırılar teşhis hizmetlerini yavaşlattı.
Operasyonel gereklilikler (insan hayatına öncelik vermek, yani ihtiyaç duyulan verilere erişimi açık tutmak) zorlu sorunlar teşkil ederken, sağlık kuruluşlarının (genellikle eski) teknolojilerini ve stoklanamayabilecek çok çeşitli tıbbi cihaz ve ekipmanlarını gözetim altında tutması gerekiyor. tamamen güncel. Sophos X-Ops’un tehdit araştırması direktörü Christopher Budd, her sekiz ihlalden yedisinin istismar edilebilir güvenlik açıklarından, ele geçirilen kimlik bilgilerinden ve kötü amaçlı e-postalardan kaynaklandığını, yani bu üç alana odaklanmanın siber suçlulara önemli faydalar sağlayabileceğini söylüyor.
“Enerji, petrol/gaz ve kamu hizmetlerinin yanı sıra sağlık hizmetleri de diğer birçok sektöre göre daha yüksek seviyedeki eski teknolojiler ve altyapı kontrolleriyle karşı karşıyadır; bu da muhtemelen cihazların güvenliğini sağlamayı, yanal hareketi sınırlamayı ve saldırıların yayılmasını önlemeyi zorlaştırır ” diyor.
Bir Ons Önleme Zamanı
Ancak belki de en önemli şey sektörün yedeklemeyle ilgili sorunlarıdır.
Sağlık kuruluşlarını hedef alan saldırıların %95’inde saldırgan, yedekleri ele geçirmeye çalıştı. Ne yazık ki, Sophos’un raporuna göre sağlık kuruluşlarının savunma eksikliklerini yalnızca enerji, petrol/gaz ve kamu hizmetleri sektörünün (%79) ve eğitim sektörünün (%71) arkasına koyarak %66’lık bir başarı elde ettiler.
Sağlık kuruluşları kurtarma işlemi için yedekleri kullanmaya devam ederken birçoğu da fidye ödüyor. Kaynak: Sophos
Raporda, yedekleme kaybının çok daha kötü ve daha pahalı sonuçlara yol açtığı belirtildi. Başlangıçtaki fidye talebinin değeri üç kattan fazla artarak 4,4 milyon dolara yükseldi; bu rakam, yedekleri olan kuruluşlar için 1,3 milyon dolardı ve kuruluşların fidyeyi ödeme olasılıkları çok daha yüksekti; yedeği başarısız olan kuruluşların %63’ü fidyeyi ödüyordu. Tam yedeklemeye sahip kuruluşların %27’si.
SonicWall tehdit özetinde tipik siber güvenlik en iyi uygulamaları üçlüsünü önerdi: yama yönetimi, güçlü erişim kontrolleri ve sürekli izleme. Ancak SonicWall’dan McKee, bu üç yetenek arasında izlemenin kuruluşların ilk olarak kurması gereken en önemli yetenek olduğunu söylüyor. Görünürlüğü iyi olan şirketlerin siber güvenlik sorunlarını erken tespit edip saldırıya uğramadan önce düzeltebileceğini söylüyor.
Görünümün şu anda dağınık olmasına rağmen ilerleme kaydedildiğini de sözlerine ekledi.
McKee, “Daha iyiye gittiğimizi düşünüyorum” diyor. “Son beş yılda, sağlık hizmetlerinde, siber güvenliğin en iyi uygulamalarının tersine çevrilebilmesi açısından büyük bir gelişme gördüm… [technology] tüm düzenleyici gereklilikleri yerine getirmek zorundayız… ve bu da zaman alacak… muhtemelen yıllar alacak, sağlık hizmetlerinin bu saldırıların etkililiğini bir miktar azaltabileceğimiz bir noktaya gelmesi.”