Kaspersky Lab Orta Doğu, Türkiye ve Afrika Yönetici Direktörü Maxim Frolov, sağlık sektöründe bilgi güvenliği için yapılması gerekenlerle ilgili bir makale kaleme aldı.
Sağlık sektörü son yıllarda çok sayıda yoğun ve karmaşık siber güvenlik tehdidiyle karşı karşıya kaldı. Kurumların güvenlik harcamaları daha önce hiç olmadığı kadar artarken, siber suçlular da kişisel tıbbi kayıtlar gibi hassas bilgileri çalmak için yeni yollar aramaya devam ediyorlar. Sağlık kuruluşları siber saldırılara en az diğer sektörler kadar maruz kalıyor. Sağlık sektörünün diğerlerinden farkı ise, risk altında olanın yalnızca iş değil aynı zamanda insan sağlığı olmasıdır.
Technavio analistleri, BAE’de sağlık sektörüne yönelik BT pazarının 2019‘a kadar %11,12 oranında büyüyeceğini öngörüyorlar. Bilişim teknolojilerinin bu sektörde oynadığı önemli rolün farkına varılmasıyla birlikte bu büyümenin devam edeceği tahmin ediliyor. Sağlık sektöründe kullanılan teknolojiler kablosuz bağlantı özelliğine sahip kalp pillerinden hassas organların 3D olarak üretilmesine kadar değişiyor. Tehditlerin kapsamı da kullanılan teknolojiler kadar çeşitli. Ancak, tek tehdit zararlı yazılım salgınları değil. Ticari bir kurum olmayan Identity Resource Center’ın yayınladığı verilere göre, 2017’nin ilk yarısında gerçekleşen ve kişisel verilerin çalınmasıyla sonuçlanan saldırıların yaklaşık %25‘i sağlık veya ilaç sektörüyle ilgili kurumlara yönelikti. Bu tür kurumlardaki kişisel veriler genellikle çok gizli bilgiler içeriyor.
Saldırganların hedefleri
Sağlık sektöründe kullanılan BT sistemleri, yakın zaman önce siber suçlular için cazip birer hedef haline geldi. Bunun nedeni ise sağlık kurumlarındaki hasta verilerinin miktarının giderek artması. Bu veriler arasında siber suçluların kimlik sahtekarlığı yapabilmesini sağlayacak kişisel ve finansal bilgiler yer alıyor.
Bunun da ötesinde, sağlık hizmetlerinin çevrimiçi verilmesi ve mobil cihazların daha sık kullanılmasıyla birlikte siber saldırganlar da sistemleri çökertmek için yeni açıklardan faydalanmaya ve fidye yazılımları kullanmaya başladılar. Hastaların hayatı söz konusuyken, birçok kurum verileri geri almak ve hizmetlerini yeniden kullanabilmek için en iyi tercihin fidyeyi ödemek olduğunu düşünüyor.
Ne yazık ki geleceğin, sağlık sektörü güvenliği ve siber saldırganlar arasında oynanacak bir kedi fare oyunundan ibaret olacağını söylemek mümkün. Dünya genelinde hastanelere yönelik saldırılardaki artış, potansiyel tehditlerin farkına varılmasını sağladı. Ancak bazı grupların sağlık sistemlerine çok kolayca saldırabilmeleri, bu saldırıların hackerlar için ne kadar kârlı olduğunu da ortaya çıkardı.
BT sistemlerini güncellemek
Siber suçluların modern olmayan sistemleri hedef aldığına dair birçok delil bulunuyor. Sağlık hizmeti verenlerin önümüzdeki beş ila on yıl içerisinde daha sıkı güvenlik için güncel teknolojilere yatırım yapmalarını bekliyoruz.
Bu sektörde çalışan BT yöneticilerinin karşılaştığı en büyük zorluk, farklı ve birbirinin üstüne gelen teknoloji dalgaları üzerine kurulmuş, genellikle katmanları arasında siber suçluların erişimini mümkün kılan açıklar bulunan altyapıları yönetebilmektir.
Bu kullanışsız sistemleri yönetmek çok zordur. Genellike, sistem bileşenlerinin üreticileri, ürünlere olan desteği kesmiştir. On yıldan daha eski sistemler saldırılara inanılmaz derecede açıktır. Genellikle kurumun altyapısına derinlemesine entegre olan bu sistemleri yenilemek pek mümkün değildir. Ancak, güvenlik tehditleri yıllar içinde yoğunlaştıkça, bu sistemleri modern BT ile değiştirmek sağlık hizmeti sunanlar için öncelik haline gelecek.
Ele geçirilebilir Nesnelerin İnterneti
Çevrimiçi kullanılabilen kritik tıbbi ekipmanların sayısı arttıkça güvenlik riskleri de artıyor. Saldırganların bu cihazları ele geçirip kontrol etmesi ölümcül sonuçlar doğurabilir. Hastaların hayatta kalmasını sağlayan tıbbi cihazlar ağ bağlantısına sahip oldukça Nesnelerin İnterneti (IoT) güvenliğinin önemi de hızla artıyor. Güvenlik endişeleri etkin bir şekilde giderilmezse son yıllarda sağlık sektöründe büyük bir patlama yapan mobil ve giyilebilir cihazların gelişimi yavaşlayabilir. Ne yazık ki, tıbbi cihazlardaki sorunların çoğu basit bir yazılım yamasıyla düzeltilemeyecek cinsten. Bu sorunları çözmek için sistem mimarilerinin yeniden tasarlanması gerek ve bu da zaman alan bir iş. Hastanelerin ve hastaların daha güvenli cihazlar kullanması için yıllar geçmesi gerekebilir.
Veriyi korumak
Büyük veri ve veri analitiği sayesinde hassas ilaçlar, halk sağlığı ve değer bazlı bakım için yeni imkanlar ortaya çıkıyor. Ancak veri güvenliğine yönelik zayıf yönetim prosedürleri nedeniyle bu imkanlardan genellikle faydalanılamıyor. Hastanelerin çalışma yöntemlerini geliştirmesi gerekiyor. Veri hırsızlıklarının büyük bir çoğunluğu insan hatası nedeniyle yaşanıyor. Hastane sistemlerinin genelinde paylaşımlı birçok iş istasyonu ve parola bulunuyor. Diğer endüstrilerde böyle bir durumla nadiren karşılaşılıyor.
Hastanaler ayrıca, mobil cihazlardan sağlık durumunu takip eden sensörlere kadar birçok farklı kaynaktan gelen verilerin miktarının artışıyla da başa çıkmak zorunda. Sonuç olarak, hastaneler birbirinden ayrı BT varlıklarını ve bunlardaki verileri saklama konusunda baskı altında.
Veri güvenliğine çözüm bulunana kadar, sağlık sektöründe çalışan BT profesyonelleri yeni teknolojilerin yaygın olarak kullanılmasının önündeki büyük engellerle uğraşmaya devam edecekler. Bu nedenle, sağlık hizmeti sunanların önümüzdeki yıllarda güvenilir erişim yönetimi prosedürleri ve sistemleri uygulayarak güvenliği geliştirmelerini bekliyoruz. Bunun yanı sıra, işletim sistemlerinin, tarayıcıların ve uygulamaların güncel tutulması da güçlü erişim güvenliği kontrolü sağlamak için gerekenler arasında yer alıyor.
Güvenlik tehditleriyle mücadele etmek için veri yönetimi ve güvenliği göz önünde bulundurularak geliştirilen sistemler kullanmak, hayatımızı olumlu yönde dönüştüren sağlık teknolojilerini kullanabildiğimiz bir geleceğin oluşmasını sağlar. Kaspersky Lab, sağlık sektörünün güvenliğine özel ilgi gösteriyor. Büyük ölçekli sağlık şirketleriyle uzun yıllara dayanan işbirliklerimiz var. Nelerin korunması gerektiğini ve daha da önemlisi nasıl korunacağını biliyoruz.