Sağlık Kuruluşlarının Kabusu: Fidye Saldırıları ve Ödemeleri

İş dünyasındaki birçok farklı sektörü önemli şekilde etkileyen dijital dönüşüm, iş akışlarını otomatize edip verimliliği artırdığı gibi bir dizi siber saldırı riski de yaratıyor. Kuruluşların süreç otomasyonu, sistem entegrasyonu ve veri paylaşımı gibi konularda BT sistemlerinden yararlanması saldırı vektörü sayısının artmasına ve saldırı yüzeyinin genişlemesine neden oluyor. Bu da kuruluşların önemli siber güvenlik sorunlarıyla baş etmesi gerektiği anlamına geliyor.

Sağlık kuruluşları ise siber tehditler ve veri güvenliği ihlali vakaları açısından bir istisna oluşturmuyor. Aksine sağlık kurumları siber risklerle en çok karşı karşıya kalan kuruluşlar arasında bulunuyor. Hastaneler ve çeşitli sağlık birimleri, tıbbi verilerin muhafaza edildiği yer olmaları sebebiyle sık sık bilgisayar korsanları tarafından hedef alınıyor. Peki bu tarz durumlarda sağlık kuruluşları nasıl hareket ediyor ve nasıl hareket etmeleri gerekiyor?

Sağlık Kuruluşları Siber Saldırılar Karşısında Fidye Ödemeyi Kabul Ediyor

Sophos tarafından hazırlanan 2022 raporu fidye yazılım saldırılarının ve saldırılara yapılan ödemelerin sektör bazında ne kadar değişkenlik gösterdiğini ortaya koyuyor. Rapora göre küresel sağlık kuruluşlarını hedef alan fidye yazılımı saldırılarında 2021’de %94’lük bir artış yaşandı. Üstelik siber saldırıya uğrayan sağlık kurumları içinde ödeme yapmayı kabul edenlerin oranı ise neredeyse iki kat arttı.

Rapor, 2021’de küresel sağlık kuruluşlarının 3’te 2’sinin hackerlar tarafından fidye yazılımı saldırısı ile karşı karşıya kaldığını gösteriyor. 2020’de ise bu oran 3’te 1 seviyesindeydi. Öte yandan 2020’de saldırıya uğrayan sağlık kuruluşlarının sadece %34’ü saldırganlara ödeme yaparken 2021’de ise bu oran %61’e yükseldi. Ayrıca araştırmaya katılan kuruluşların sadece %2’sinin fidye ödeyerek tüm verileri geri alabildiğini belirtmekte yarar var.

Konuyu biraz daha detaylandırmak gerekirse; raporda sektörler arası siber saldırı hacmi ortalaması %57, karmaşıklığı ise %59 olarak belirtiyor. Sağlık kurumlarının maruz kaldığı saldırı hacmi %69, karmaşıklığı ise %67. Buna ek olarak küresel çapta siber saldırı etki ortalaması %53 iken sağlık sektörünün etkilenme oranı %59. Söz konusu oran bu sektörü küresel çapta ikinci sıraya yerleştiriyor.

Tüm bunların yanı sıra sağlık kuruluşları bir hafta süren bir fidye yazılımı saldırısı için ortalama 1,85 milyon Amerikan doları ödeme yapıyor. Bu da sağlık kuruluşlarının fidye ödemeleri ve veri kurtarma maliyeti alanlarında da ikinci sırada yer almasına sebep oluyor.

Siber Tehditler Sağlık Kuruluşlarını Zor Durumda Bırakıyor

Küresel çağda birçok sağlık kuruluşu siber tehditler karşısında son derece ciddi erişim güvenliği sorunu yaşıyor. Örneğin, bu saldırılara Mayıs 2022’de çok uluslu bir sağlık teknoloji şirketi Omnicell maruz kaldı. Şirket yaptığı yazılı açıklamayla fidye yazılımı saldırısına uğradıklarını ve bunun sonucunda dahili tüm sistemlerini etkileyen bir veri ihlali yaşadıklarını ifade etti.

Şirketin üç aylık 10-Q dosyalarının fidye yazılımı saldırısı aracılığıyla savunmasız hale getirildiğini açıklayan Omnicell, şirket bünyesindeki hassas veri yığınlarının potansiyel siber saldırılara karşı savunmasız olduğun duyurdu. Öte yandan Omnicell vakası, bu yıl Amerika Birleşik Devletleri’nde sağlık kuruluşlarını hedef alan ilk fidye yazılımı saldırısı değil. Oklahoma City Indian Clinic (OKCIC) de bir fidye yazılımı saldırısına uğradıklarını ve 40.000 kişiye ait tıbbi verileri çalındığını duyurmuştu.

Ayrıca siber saldırganların sadece hastaneleri ve sağlık birimlerini hedef almadıklarını, sağlık hizmeti veren özel kuruluşları da hedef aldıklarını belirtmek gerek. Birleşik Devletler’in Arkansas, Kentucky ve Mississippi eyaletlerinde hizmet veren ARcare isimli sağlık kuruluşu, potansiyel olarak 345.000 kişinin kişisel verisini içeren bir veri ihlali vakası yaşadıklarını açıkladı.

24 Şubat 2022’de bilgisayar sistemlerini olumsuz etkileyen ve sağlık hizmetlerinde geçici kesintiye sebep olan bir veri güvenliği olayı yaşadığını duyuran ARcare, BT altyapısını güvenli hale getirmek ve saldırının niteliğini saptamak amacıyla soruşturma başlattı. Soruşturma neticesinde 14 Mart’ta bir bilgisayar korsanının 18 Ocak 2022 ile 24 Şubat 2022 arasında ARcare’in tüm BT ağına erişimi olduğu sonucuna ulaşıldı.

Siber saldırı sonucunda ARcare veri tabanlarında bulunan 345.000 kişiye ait isim, sosyal güvenlik numarası, ehliyet numarası, eyalet kimlik numarası, doğum tarihi, mali hesap bilgisi, tıbbi tedavi bilgisi, reçete bilgisi, tıbbi teşhis bilgisi ve sağlık sigortası bilgisi ele geçirildi. ARcare çalınan veriler ile ilgili kötüye kullanımdan habersiz olduğunu belirtti.

Fidye Ödememek İçin Alınması Gereken Önlemler

Sağlık kuruluşlarının yüksek kalitede sağlık hizmeti vermek ile gelişmiş bir siber güvenlik protokolü uygulamak ve hasta verilerini en iyi şekilde korumak arasında dengeli ve yapıcı bir politika inşa etmesi gerekiyor.

Hasta verileri ve korunan sağlık bilgileri, devletler ve uluslararası regülasyonlar tarafından hassas veri olarak tanımlanan ilk unsurların başında geliyor. Söz konusu verilerin değerinin farkında olan siber saldırganlar da sağlık kuruluşlarını hedef almayı ihmal etmiyor.

Peki sağlık kuruluşlarının hasta verilerini doğru şekilde muhafaza etmek, erişim güvenliği sağlamak ve bir saldırı sonrasında fidye ödememek için ne yapması gerekiyor? Sekiz adımda cevaplıyoruz.

1. Tüm verilerinizi keşfedin. Neye sahip olduğunuzu bilmezseniz onu korumanız da mümkün olmaz. Önce hasta verileri, düzenlenmiş veriler, karanlık veriler ve daha fazlasını keşfedip BT altyapınızda ne tür veri yığınlarına sahip olduğunuzu tespit etmelisiniz. Bu gizlilik, güvenlik ve yönetim arasındaki entegrasyonu sağlamak için atmanız gereken ilk adımdır.
2. Yeni nesil veri sınıflandırmasına başvurun.Tüm hassas ve yüksek riske sahip verileri mevzuat, belge türü, politika, nitelik, kişi ve daha fazlasına göre otomatik olarak sınıflandırmak için makine öğrenmesinden yararlanabilirsiniz.
3. Veri muhafaza etmek ve etmemek için politikalar uygulayın. Veri saklama kuralları için otomatik politikalar uygulayabilirsiniz. Veri yaşlanmasını gözeterek hareket etmek için iş akışlarını otomatize edin, hangi verileri muhafaza edeceğinizi etiketleyin, bu verileri ne kadar süre muhafaza edeceğinizi sisteme girin ve fazla tutulan verileri silinmek üzere işaretleyin.
4. Kritik verileri koruyun. Hastalara ait kritik verileri proaktif şekilde belirleyin ve koruyun. Veri ihlali riskini azaltmak için gereksiz, eski ve önemsiz verileri silin. Yasal gerekliliklere uymak için ise yasal koruyuculara sahip verileri tanımlayın.
5. Yüksek riskli verileri düzeltmek için harekete geçin. Kritik verileri düzeltmek ve kararları doğru kişilere devretmek için iyileştirilmiş iş akışlarını kullanın. Hem tüm veri kaynaklarınızdaki hem de yapılandırılmış ve yapılandırılmamış verilerinizdeki bulguları inceleyin.
6. Dosya erişimini izleyin. Hassas veri yığınlarına erişimi olan ayrıcalıklı kullanıcıları 7/24 denetleyin.
7. Olay müdahalesini basitleştirin. Veri ihlalinden etkilenen kullanıcıları doğru şekilde saptayın ve olay müdahale planınızı basit ancak etkili şekilde planlayın.
8. Riski değerlendirin ve derecelendirin. Riski azaltırken proaktif olarak hareket etmek amacıyla kişisel verilere risk odaklı yaklaşın. Veri türü, kaynak ve konum gibi parametrelerden yola çıkarak riski derecelendirin.

Sağlık kuruluşları, fidye yazılımı saldırıları karşısında fidye ödememek için Ayrıcalıklı Erişim Yönetimi uygulamalarından yararlanabilir. Nitekim Kron olarak geliştirdiğimiz ve Gartner, KuppingerCole, Omdia tarafından hazırlanan Privileged Access Management (PAM) raporlarına giren Ayrıcalıklı Erişim Yönetimi ürünümüz Single Connect sağlık kuruluşlarını fidye yazılımı saldırılarına karşı korumak için biçilmiş kaftan niteliğinde.

Siz de sağlık kuruluşunuzu fidye yazılımı saldırılarına karşı korumak için Single Connect’ten yararlanmak istiyorsanız PAM çözümlerimizi detaylı şekilde inceleyebilir, Single Connect hakkında merak ettiğiniz konuları ise ekip arkadaşlarımızdan öğrenebilirsiniz.