Sağlık sektörü, teknoloji dünyasındaki gelişmelerden doğrudan etkilenen iş kollarının başında geliyor. Yeni teknolojilerin sektöre entegrasyonu ile tedavi standartları ve hasta bakımında önemli iyileştirmeler hayata geçirilirken siber suçlular ise bu dönüşüm sürecinde meydana gelmesi olası siber zaaflardan yararlanmaya çalışıyor. Üstelik sağlık sektörü, siber saldırı yöntemlerinin geliştiği ve çeşitlilik kazandığı günümüzde, daha önce hiç olmadığı kadar tehdit altında.
Sağlık sisteminin bütünlüğünü tehlikeye atan fidye yazılımı saldırıları, hasta gizliliğine zarar veren veri ihlali vakaları ve sağlık kuruluşlarının hasta bakımı kapasitesini sekteye uğratan DDoS saldırılarına varana kadar, çok geniş yelpazedeki saldırı vektörleri, siber güvenlik açısından çok ciddi sorunlar yaratabilir.
Kaldı ki sağlık sistemine yönelik gerçekleştirilen bir siber saldırı sadece veri güvenliği açısından sorun yaratmakla kalmayıp, hasta yaşamını tehdit edebilecek sonuçlar da doğurabilir. Biz de bu yazımızda sizlere siber tehdit unsurlarının sağlık kuruluşlarını hangi yollarla zor durumda bırakabileceğini, örnek vakalarla destekleyerek açıklayıp, kapsamlı erişim güvenliği sağlamak için yapılması gerekenleri aktaracağız. İlk olarak sağlık kuruluşlarının siber saldırılardan hangi oranda etkilendiğini ortaya koyan güncel verilerle başlıyoruz.
Avrupa Birliği Siber Güvenlik Ajansı (ENISA), Avrupa Birliği bünyesindeki ülkelerde sağlık sektörüne yönelik gerçekleştirilen siber saldırılara ilişkin bir rapor hazırladı. Yalnızca sağlık sektörünü incelemesi sebebiyle ilk olma özelliği taşıyan bu raporda, Ocak 2021’den Mart 2023’e kadar olan siber olaylar haritalandırıldı ve incelendi.
Rapora göre Avrupa Birliği üyesi ülkelerdeki sağlık kuruluşlarının %53’ü Ocak 2021-Mart 2023 arası dönemde en az bir kez siber saldırıya maruz kaldı. Aynı tarih aralığında en az bir kez siber saldırı yaşayan hastane oranı ise %42.
Fidye yazılımı saldırıları, AB üyesi ülkelerdeki sağlık kuruluşlarını hedef alan siber saldırganların en çok tercih ettiği saldırı yöntemi konumunda (%54). Söz konusu saldırıların %43’ünde ise veri sızıntıları yaşanması rapordaki dikkat çekici bir diğer husus. Öte yandan fidye yazılımı saldırılarının %46’sında da sistem kesintisi meydana geldi ki yazının girişinde de değindiğimiz üzere, bu durum hasta verileri ile ilgili sorundan çok daha fazlasını, insan sağlığını doğrudan ilgilendiren bir husus.
Bunun yanı sıra hastaların hem kişisel hem de sağlık durumlarına ilişkin hassas veriler, raporun hazırlandığı tarih aralığı boyunca en çok hedef alınan varlıklar oldu (%30). Rapor, etki açısından incelendiğinde ise veri hırsızlığı (%43) ve sağlık hizmetlerinin aksaması (%22) temel iki olumsuz etki olarak öne çıkıyor. Sağlık hizmetlerinin aksamasında da sağlık kuruluşlarının hizmet kapasitesinin sekteye uğraması (%82), sağlık otoritelerinin sağladığı hizmetin durması (%12) dikkat çeken iki unsur. ENISA’nın hazırladığı Ocak 2021-Mart 2023 tarih aralıklı rapora göre sağlık kuruluşlarını hedef alan siber saldırıların medyan maliyeti ise 300.000 euro.
ENISA tarafından hazırlanan raporda dikkat çeken unsurların başında gelen fidye yazılımı saldırıları, Verizon tarafından hazırlanan DBIR raporunun sağlık sektörü bölümünde de bir hayli öne çıkıyor. Sağlık sektörünü hedef alan 525 siber saldırı vakasının ve 436 onaylanmış veri ihlalinin incelendiği raporda fidye yazılımı aktörleri aracılığıyla gerçekleştirilen sisteme izinsiz girişler, temel web uygulaması saldırıları ve sağlık kuruluşlarında çalışan profesyonellerin ihlalleri temel saldırı örüntülerini oluşturuyor.
%98 oranında finansal motivasyonla hareket edilen saldırılarda %65 dış, %35 iç ve %2 de hem dış hem de iç tehditlerin rol oynadığı bir senaryo karşımıza çıkıyor. Ele geçirilen veriler ise kişisel (%67), tıbbi (%54) ve kimlik bilgileri (%36) şeklinde görece homojen bir dağılıma sahip.
Dünya genelinde sağlık sektörüne entegre yüz binlerce kişinin hassas verileri çeşitli siber saldırı aktörleri kullanılarak tehdit ediliyor. Yakın geçmişte yaşanan üç farklı olay, sağlık sektörünün aslında siber güvenlik açısından neden daha gelişmiş sistemlerden yararlanması gerektiğini vurgulamak açısından oldukça faydalı olabilir.
Atlantic General Hospital, Maine başsavcılığına sunduğu bir raporda, üçü Maine'de ikamet eden yaklaşık 30.700 kişinin fidye yazılımı olayından etkilendiğini tahmin eden bir dosyayı tamamlayan güncellenmiş ihlal çetelesini verdi. Fakat hastane daha sonra yaptığı detaylı inceleme ile ihlal verilerini güncelledi ve 136.981 kişinin verilerinin söz konusu ihlalden etkilendiğini bildirdi.
Öte yandan İspanya’da da bir ilaç şirketi siber saldırganların hedefi oldu. El Pais’in aktardığı habere göre Alliance Healthcare'e karşı düzenlenen bir siber saldırı, ilaç tedarik zinciri açısından önemli sorunlara yol açtı. İhlal sırasında sistemde kesintiler meydana geldiğini belirten yetkililer, sunucuların ve çevrim içi sistemlerin siber tehdit ortadan kaldırılana kadar çalışmadığını ancak bilgi teknolojileri ekiplerinin sorunu çözmek için hemen harekete geçtiğini ifade etti.
Uzak doğuda gündemi işgal eden diğer bir veri ihlali haberi ise doğrudan hastalara ait hassas verilerin sızdırıldığını konu ediyor. Hong Kong grubu OT&P Healthcare'e yapılan siber saldırıda 100.000 hastanın kişisel verileri ve tıbbi geçmişinin sızdırılmış olduğundan bahsediliyor. Grup CEO'su Robin Green'e göre siber saldırı OT&P Healthcare'in yönetim ve işletim sistemi içinde gerçekleşti. Green, bazı hastaların Hong Kong kimlik kartı ve pasaport numaralarının sistemde kayıtlı olduğunu söyledi.
Sağlık sektörünü hedef alan siber saldırıların önüne geçmenin, saldırının yarattığı zararı asgari düzeye indirmenin ve saldırı sonrası kuruluşun toparlanma sürecini en iyi şekilde optimize etmenin yolu gelişmiş bir veri ve erişim güvenliği sistemi kullanmaktan geçiyor. Sağlık kuruluşlarının erişim yönetimi sistemlerini uçtan uca korumaya yarayan üst düzey bir siber güvenlik sistemi, sadece sistemi genel anlamda daha güvenli hale getirmekle kalmayıp, çalışan ve hasta verilerini de en iyi şekilde denetlemeyi ve korumayı sağlıyor.
Siber güvenlik kriterleri açısından insan kaynaklı hataların yoğun olduğu sağlık sektöründe gerçek zamanlı koruma sağlayan, gelişmiş bir çözümden yararlanmak büyük önem taşıyor. Zira ihlallere gerçek zamanlı olarak müdahale edememek, sistemi 7/24 gözlemleyememek ve ağdaki tüm hareketleri kontrol edememek hem hasta haklarının ihlali hem de insan sağlığı açısından önemli sorunlar yaratabilir. Bu tarz sorunlar yaşamamak için sağlık kuruluşlarının bilgi teknolojileri altyapısındaki hassas verilere erişimin sıkı şekilde denetlenmesi gerekiyor.
Erişim ve veri güvenliği açısından denetim sağlayabilmek için kapsamlı bir Ayrıcalıklı Erişim Yönetimi (PAM) çözümünden yararlanmak bir hayli önemli. Sağlık sektöründeki şirketlerin farklı veritabanlarında barındığını hassas veriler düşünüldüğünde hastalara ait kritik bilgilere erişen yetkili kullanıcıların izlenmesi, denetlenmesi ve raporlanmasından tutun da, bu yetkili kullanıcılara ait parolaların kötü amaçlı olarak kullanılamaması için güvenli parola kasalarında saklanmasına, hatta hastalara ait kritik verilerin bu verilere erişen ayrıcalıklı hesaplara karşı maskelenmesine kadar birçok güvenli yöntemi ile korunması gerektiği kaçınılmaz bir gerçek olarak karşımıza çıkıyor. Bunun yanında sağlık kuruluşlarının HIPAA gibi sektörel regülasyonlara da uyumluluğunu sağlayan PAM çözümleriyle veri sızıntılarına ve siber tehditlere karşı güçlü bir savunma mekanizması kurulabiliyor.
Kron olarak geliştirdiğimiz Ayrıcalıklı Erişim Yönetimi çözümlerimiz, Gartner, KuppingerCole, Omdia ve Forrester gibi dünyanın önde gelen araştırma şirketlerinin raporlarında da yer alarak yetenekleri, modüler yapısı ve bünyesinde barındırdığı gelişmiş özellikleri sayesinde sağlık kuruluşlarının beklentilerine tam anlamıyla cevap verebiliyor. Örneğin veritabanı erişim yöneticisi ile hassas verilerin barındığı veritabanlarına erişen yetkili kullanıcı hesaplarını denetleyip, oturum log’u alabilirken, kritik hasta verilerini veri maskeleme özelliği aracılığıyla maskeleyip ayrıcalıklı hesaplar ve onların hareketlerini kontrol edebilmenizi sağlıyor. Böylece kurum içi ve dışında (üçüncü parti) hesaplar da dahil olmak üzere, sistemdeki tüm kullanıcıların hareketleri denetiminiz altında oluyor. Veya Çok Faktörlü Kimlik Doğrulama (MFA) çözümü ile sisteminizi kullanıcıları OTP, geo-location, zaman sınırı gibi farklı yöntemlerle doğrulayabilirken, şifre kasası çözümü ile ayrıcalıklı hesaplara ait parolaları güvenli bir kasada ve admin onayı ile saklayabiliyor.
Siz de PAM çözümlerimiz hakkında daha fazla bilgi almak ve bir demo yapmak istiyorsanız bizimle iletişime geçebilirsiniz. Uzman ekip arkadaşlarımız gerek çözümlerimiz, gerekse kuruluşunuzun gereksinim duyduğu erişim ve veri güvenliği ihtiyaçları ile ilgili size kapsamlı şekilde bilgilendirecektir.