Amerikan Hastane Birliği ve Health-ISAC bir bildiri yayınladı ortak tehdit bülteni Rus siber suç çetelerinin gerçekleştirdiği bir dizi fidye yazılımı saldırısının ardından ABD ve İngiltere’de kan sıkıntısı yaşandı ve hasta bakımı aksadı.
Kuruluşlar, sağlık hizmeti sunan kuruluşları, hastaneleri ve sağlık sistemlerini, üçüncü taraf tedarikçilere yönelik siber saldırıların neden olabileceği ve hasta bakımının sunumunda önemli sorunlara yol açabilecek fiziksel tedarik zinciri kesintilerine karşı hazırlıklı olmaya çağırıyor.
Bülten, kan tedarikçilerine yönelik son üç fidye yazılımı saldırısını vurguluyor. Temmuz ayında, Florida merkezli kan tedarikçisi OneBlood, şirketin kan örneklerini elle etiketlemek zorunda kalması nedeniyle bölgede kan ürünlerinin gönderiminde büyük gecikmelere neden olan bir fidye yazılımı saldırısının hedefi oldu. Sonuç, bölgedeki hastaneleri ve hasta bakımını etkileyen bir kan kıtlığıydı. Haziran ayında, patoloji sağlayıcısı Sinoviş fidye yazılımı çetesi tarafından saldırıya uğradı, Londra’daki birçok hastanede bakım ve planlanan ameliyatlarda gecikmelere neden oldu. Ayrıca, binlerce kan ünitesi kullanılamadı çünkü sağlık kayıt sistemine erişim olmadan hasta kan grupları araştırılamadı. Ve Nisan ayında, kan plazması sağlayıcısı Octapharma, savunmasız bir VMWare sistemi üzerinden saldırıya uğradı ve 35 eyalette kan plazması bağışları durduruldu. Bu siber suçlular, ABD ve Avrupa Birliği’ndeki hasta bakımını aksatmanın yanı sıra bağışçı bilgilerini ve bağışçı tarafından korunan sağlık bilgilerini çalabildiler.
Sağlık BT ekiplerinin tedarik zinciri kesintilerinin iş operasyonlarını ve hasta bakımını nasıl etkileyeceğini göz önünde bulundurmaları ve tek arıza noktalarını belirlemeleri gerekir. Saldırılar, kritik öneme sahip tedarikçileri kurumsal risk yönetimi ve acil durum yönetimi planlarına dahil etme ihtiyacını vurgular. Kuruluşların ayrıca tedarik zincirlerindeki kritik öneme sahip tarafları belirlemek için disiplinler arası üçüncü taraf risk yönetimi yönetim komiteleri ve programları geliştirmeleri ve bu hizmetlerden herhangi birinin kaybını nasıl ele alacaklarına dair prosedürler geliştirmeleri gerekir.
Health-ISAC ve AHA bülteni ayrıca, üçüncü taraf tedarikçilerin sağlık hizmetleri misyonu için elzem olup olmadığını, tedarikçi başarısız olursa kuruluş için felaketle sonuçlanabileceğini ve uygun alternatiflerin mevcut olup olmadığını dikkate almayı öneriyor.
