İşte en büyük sağlık güvenlik tehditleri

İşte en büyük sağlık güvenlik tehditleri

Sağlık hizmetleri; fidye yazılımlar, kripto para madenciliği, veri hırsızlığı, oltalama ve iç tehditleri için popüler bir hedef olmayı sürdürüyor. Sağlık organizasyonlarının kritik doğası onları saldırganların radarlarına yerleştiriyor.
Tüketiciler korunmuş sağlık bilgilerinin (PHI) ele geçirilmesi konusunda endişeleniyorlar; Anthem ve Allscripts gibi yüksek profilli ihlaller sağ olsun. En son RSA veri gizliliği raporu Avrupa ve Amerika’daki 7 bin 500 tüketici arasında anket düzenledi. Sonuçlar öyle gösterdi ki katılımcıların yüzde 59’u tıbbi verilerinin ele geçilmesi konusunda endişelendiklerini söyledi. Yüzde 39’luk bir kesim ise bir hacker’ın tıbbi bilgilerini kurcalayabileceği endişesini taşıyordu.
Endişelenmek için haklı sebepleri var. Endüstri olarak sağlık hacker’lar için önde gelen bir hedef olmayı sürdürüyor ve aynı zamanda içeriden gelecek tehditler de önemli bir risk oluşturuyor.

Sağlık hizmetleri neden hacker’ların hedefinde?
Sağlık organizasyonları onları saldırganlar için çekici yapan birkaç özelliğe sahip olma eğiliminde. Önemli nedenlerden bir tanesi düzenli olarak yamanlanmayan farklı sistemler. “Bazıları imalatçısının onu üretme biçimi dolayısıyla yamanlanması kolay olmayan gömülü sistemler. Sağlık IT departmanı bunu yapabilmiş olsaydı, tedarikçinin onları desteklediği yolla önemli problemlere neden olabilirdi,” şeklinde konuşuyor KnowBe4’ten baş evangelist Perry Carpenter.
Sağlık organizasyonlarının kritik doğası onları saldırganların radarlarına yerleştiriyor. Sağlık verisi siber suçlar dünyasında değerli bir emtia ve bu da onu hırsızlık için hedef haline getiriyor. Bu risk altında olan şey yüzünden (hastaların sağlıkları) sağlık organizasyonları fidye yazılımların taleplerini daha fazla karşılama eğiliminde.

Aşağıdakiler önümüzdeki yıl için en büyük sağlık güvenliği tehditleri…

1. Fidye yazılımlar
CryptoniteNXT Health Care Cyber Research Report 2017 raporuna göre sağlık alanında 2017’deki en büyük 10 ihlalden altısı fidye yazılım saldırısıydı. Rapor verilerine göre rapor edilen önemli fidye yazılım saldırılarının (500’den fazla hastayı etkileyen) toplam sayısı 2016’daki 19’dan 2017’de 36’ya yükseldi.

Fidye yazılım saldırılarının bu yıl azalacağına inandıracak hiçbir neden yok. “İnsanlarımızı ve sistemlerimizi daha güçlü hale getirinceye dek fidye yazılımlar başarılı olmayı sürdürecek ve daha fazla ivme kazanacak. Onların kullanmayı sürdüreceği taşıyıcı bir şeyler üzerine tıklayacak ya da bir şeyleri indirecek insan,” diye konuşuyor Carpenter.

Sebebi basit: Hacker’lar fidye yazılım saldırılarının başarı ihtimalinin daha yüksek olduğunu düşünüyor zira hastaneler, medikal uygulamalar ve diğer sağlık organizasyonları hasta kayıtlarına erişemediklerinde yaşamları riske atar. Böyle bir durumda yedeklerden uzun bir kurtarma sürecine girmek yerine hemen eyleme geçerek istenen fidyeyi ödeme eğiliminde hissedecekler.
“Sağlık bir iş ama sağlık aynı zamanda insanların yaşamlarıyla uğraşıyor,” diyor Carpenter. “İnsanların yaşamlarının en kişisel ve en önemli bölümleriyle etkileşen bir iş yaptığınızda bu karşı bir tehdide neden oluyorsunuz, yanıt vermek için ani bir gereksinim mevcut. İşte bu fidye yazılımları kullanan siber suçlular için oldukça iyi işe yarıyor.”
Bir sağlık organizasyonu fidye yazılımından kurtulamadığındaki etkisi çok büyük olabilir. Elektronik sağlık kayıtları (EHR) firması Allscripts Ocak ayında bir fidye yazılım saldırısına maruz kaldığında durumunun önemi açığa çıktı. Saldırı iki veri merkezini hedef aldı ve bazı uygulamaların offline olmasına neden olarak sağlık sağlayıcı müşterilerinin binlercesinin etkilenmesine neden oldu.

2. Hasta verilerinin çalınması
Siber suçlulara göre sağlık verileri finansal verilerden çok daha değerli olabilir. Trend Micro’nun Sağlık Endüstrisi mikro siber suç ve diğer tehditler raporuna göre çalınan sağlık sigortası kimlik kartları karanlık webde en azından 1 dolara satılıyor ve medikal profil fiyatları 5 dolardan başlıyor.
Hacker sürücü ehliyetleri gibi resmi evrakları elde etmek için ID kartlarındaki verileri ve diğer tıbbi verileri kullanabilir ki Trend Micro raporuna göre ehliyeti de yaklaşık 170 dolar civarında satabilir. Eksiksiz olarak ele geçirilen bir kimlik (hasta bir kişinin PHI ve diğer kimlik verilerinden elde edilen) 1000 dolara satılabilir. Karşılaştırılacak olursak, karanlık web’de kredi kartı numaralarının tanesi kuruşla satılıyor.

“Sağlık kayıtları söz gelimi kredi kartlarından çok daha değerli çünkü onlar tek bir yerde çokça veriyi bir araya topluyor,” diye konuşuyor Carpenter. Buna kişilerin finansal bilgileri ve önemli arkaplan verileri de dâhil. “Kimlik hırsızlığı için ihtiyacınız olan her şey orada.”
Suçlular sağlık verilerini çalma yöntemleri hakkında kurnazlaşıyor. Sahte fidye yazılımlar buna bir örnek. “Fidye yazılımı gibi görünen bir malware ama fidye yazılımın yaptığı tüm o kötü şeyleri yapmıyor,” diyor Carpenter. “Gizliden gizliye suçluların ileri bir tarihte fayda sağlayabileceği sağlık kayıtlarını çalıyor veya diğer casus yazılımları veya malware’leri kurmak üzere sistemler arasında hareket ediyor.”
Bir sonraki başlıkta açıklandığı üzere sağlık alanında çalışanlar da hasta verilerini çalıyor.

3. İç tehditler
Yakın zamanda yayınlanan Verizon korunan sağlık bilgileri veri ihlali raporuna göre ankete katılan sağlık sağlayıcılarındaki ihlallerden sorumlu tüm saldırı aktörlerinin yüzde 57.5’i içeriden kişilerdi. Yalnızca yüzde 42’lik kesim dışarıdan saldırganlardı. Finansal kazanç yüzde 48 ile içeriden gelen tehditlerdeki an motivasyondu. Dışarıdaki saldırganlar için finansal kazanç tüm durumların yüzde 90’ındaki motivasyondu.
İçeriden kaynaklı ihlallerin önemli bir bölümü eğlence ve merak motivasyonuna sahipti. Çoğunlukla iş sorumlulukları dışındaki verilere erişmek (meşhur kişilerin PHI’larına bakmak söz gelimi.) Casusluk ve kin de diğer motivasyonlar arasında. “Bir kişi sağlık sistemi içerisindeyken onun tıbbi kayıtlarına erişim sağlayan düzinelerce insan var,” şeklinde konuşuyor Fairwarning CEO’su Kurt Long. “Bu nedenden ötürü sağlık kurumları gevşek erişim kontrollerine sahip olma eğiliminde. Ortalama bir çalışan çok fazla veriye erişebiliyor zira insanlara hizmet verebilmek için verilere hızla erişebilmeleri gerekiyor.”

Bir sağlık organizasyonunda farklı sistemlerin çokluğu da bir etken. Bu sadece faturalama ve kaydı içermiyor anı zamanda onkoloji, teşhis ve diğer bağımsız klinik sistemleri de içeriyor. “İşin mali tarafı kimlik hırsızlığında kullanmak için hasta verilerinin çalınmasından tıbbi kimlik hırsızlığı dolandırıcılık şemalarına kadar her şey olabilir. Bu endüstrinin rutin bir parçası haline geldi,” diyor Long. “İnsanlar kendileri, arkadaşlar veya aileleri için faturaları değiştiriyor, ya da reçete sahtekârlıkları yapıyorlar. Onlar reçeteleri ele geçiriyor ve belli bir karla satıyorlar.”
“Genel olarak uyuşturucu krizine bakacak olursanız, sağlık çalışanları sistemdeki narkotik reçetelerin oluşturduğu bir altın madeni üzerinde oturuyor,” diyor Long. “Son veriler bu tür ilaçlarda büyük bir krizin var olduğunu gösteriyor. Sağlık çalışanları bunlarını değerinin farkında, belki kendileri kullanım alışkanlığı edinmişler belki de mali kazanç için reçetelere erişim sağlıyorlar.”

Long’un açıklamasına göre hasta verilerini çalarak bundan kar sağlayan çalışanlara örnek Memorial Healthcare Systems. Firma iki çalışanın 115,000’i aşkın hastanın PHI verilerine eriştiği vakada, firma geçen yıl anlaşma için HIPAA’ya 5,4 milyon dolar ödedi. Bu ihlal gelecekte gerçekleşebilecek içeriden ve dışarıdan tehditlere yönelik olarak Memorial’ın gizlilik ve güvenlik tutumlarını tümüyle değiştirmeye yönlendirdi.

4. Oltalama
Oltalama saldırganlar için bir sisteme giriş sağlamanın en popüler yöntemlerinden. Fidye yazılım, kripto madencilik kodları, casus yazılım kurmak için kullanılabileceği gibi veri çalmak için de kullanılabilir.
Bazıları sağlık alanının oltalama saldırılarına karşı daha hassas olduğunu iddia etti ama veriler tam aksini işaret ediyor. KnowBe4 tarafından gerçekleştirilen çalışmaya göre oltalama saldırılarına maruz kalma anlamında sağlık diğer endüstrilerle aynı seviyede. Güvenlik farkındalığı eğitimi almamış olan 250 ila 1000 çalışanlı sağlık organizasyonları, bir oltalama saldırısının kurbanı olma ihtimali, diğer tüm endüstri ortalaması olan yüzde 27’ye nazaran yüzde 27.85.
Oltalamaya karşı hasiyete gelindiğinde büyüklük önemli. KnowBe4 verisine göre 1,000 ve üzeri çalışana sahip bir ortalama sağlık organizasyonunun oltaya gelme oranı yüzde 25,6. “1,000 ve üzeri çalışana sahip organizasyonlarda biz onların çoğunun biraz daha fazla eğitim aldığını görüyoruz. Onlar aynı zamanda daha karmaşık bir işletim seviyesine sahip zira sıkı mevzuata uyabilmek için farklı sistemleri yerleştirmek zorundalardı,” şeklinde konuşuyor Carpenter.

5. Kripto para madenciliği
Kripto para madenciliği için sistemlerin ele geçirilmesi tüm endüstrilerde büyüyen bir problem. Sağlık alanında kullanılan sistemler kripto para madencileri için çekici çünkü o sistemlerin çalışır durum olmaları hayati. Sistem ne kadar uzun süre çalışırsa suçlular o kadar fazla madencilik yapar. “Bir hastane ortamında kripto para madenciliği şüphesi olduğundan makinelerin fişini çekmek için acele etmeyebilirler,” diyor Carpenter. “İhlal edilmiş makineler ne kadar çok çalışır durumda kalırsa, suçluya o kadar fazla fayda sağlar.”
Bu bir sağlık tedarikçisinin bir kripto madencilik operasyonunu tespit edebileceği varsayımına dayanıyor. Kripto madencilik sistemlere zarar vermiyor ama sistem kaynaklarını ciddi biçimde tüketiyor. Onu tespit etmenin en olası yolu sistemlerin ve verimliliğin düştüğü zamanlardır. Bazı kripto saldırganlar tespit riskini azaltmak için kodlarının gazını kesecektir. Birçok sağlık organizasyonu kripto madencilik saldırılarının türünü belirleyecek ve sorunu düzeltecek IT ya da güvenlik çalışanlarına sahip değil.

Sağlık güvenliği tehditlerini azaltacak ipuçları
Kritik sistemlerin yamalanması ve güncellenmesinde daha iyi bir iş çıkartın. “Gerçek şu ki yamalanmamış eski sistemler orada duruyor ve kritik ekipmanlar olarak fidye yazılımlar için büyük bir açığa neden oluyorlar,” şeklinde konuşuyor Carpenter. Bunlar güç olabilir zira yamalama süreci kritik sistemleri aksatabilir ya da tedarikçinin sistemleri destekleme yeteneğine zarar verebilir.
Bazı durumlarda bilinen açıklar için herhangi bir yama mevcut olmuyor. Carpenter sistemlere yamalayamadığınız ya da güncelleyemediğiniz durumlarda tedarikçiye baskı kurmanızı tavsiye ediyor. “Tedarikçiye karşı girişken olun ve bu sistemlerin neden güncellenmediğini sorun, endüstri olarak baskıyı sürdürün.”

Çalışanları eğitin. KowBe4 çalışmasına göre oltalama denemelerini tanımaya yönelik çalışanların eğitilmesi hususunda sağlık ortalamanın altında. Birçok sağlık organizasyonu küçük (1,000 çalışandan az) ve bu da bir etken olabilir. “Bu sadece onlara yapılacak doğru şeyi söylemek değil,” diyor Carpenter. Oltalama linklerine tıklamamaları için onları eğitecek davranışsal durum programı oluşturmakla ilgili.”

Söz konusu program sahte oltalama e-postalarının gönderilmesi manasına geliyor. Linklere tıklayan çalışanlar yaptıkları şeyle ilgili anında geri besleme almalı ve gelecekte doğru şeyi nasıl yapabilecekleri anlatılmalı. Bu tür programların çok önemli bir etkisi olabilir.
Eğitim işe yarıyor, şayet zaman içerisinde kesintisiz olarak uygulanırsa. KnowBe4 araştırması öyle gösteriyor ki 250 ila 999 çalışana sahip sağlık organizasyonları bir yıllık oltalama eğitimi ve testlerinin ardından yüzde 27.85 olan oltalama hassasiyetini yüzde 1.65’e düşürebilirler.
Çalışan bilgilerine dikkat edin. Bir oltalama saldırısı ne kadar kişiselleşmiş olursa başarı şansı o kadar yükselir. Bir oltalama saldırısında, saldırgan olabildiğince hedefteki kişi hakkında fazla bilgi edinmeye çalışır. “Eğer ofis içinde irtibat kurulabilecek başka bir kişinin ismi verilirse, saldırgan o isimleri kullanarak güven inşa edebilir,” diye konuşuyor Carpenter.
Tehditlere karşı savunma ve yanıt verme yeteneğinizi güçlendirin. “Beni endişelendiren birinci şey (sağlık güvenliği hakkında) sağlık sağlayıcılarının tespit edildikten sonra bir vakayı uygun bir biçimde inceleme becerisindeki eksiklik, onu belgeleme ve zararı değerlendirememe. Aynı zamanda yasal birimlerle birlikte yeterli hukuki çalışmalar yürütememeleri. Onlar aynı zamanda bunun bir daha hiç gerçekleşmemesi için durumu tamamen iyileştirecek ekibe sahip değiller,” diye konuşuyor Long. Onun tavsiyesi: “Çalışanlar doğru uzmanlığa sahip olsun ya da partnerler üzerinden bunu halledin.” O aynı zamanda güvenliğinin yönetim kurulu seviyesinde bir öncelik olması gerektiğini ifade ediyor. “öncelik kazandırılmış güvenlikten sonra ilk adım uygulanabilir deneyime sahip bir CISO’ya sahip olduğunuzdan emin olmaktır.”

Daha küçük sağlık tedarikçiler bir CISO görevlendirecek yeterli kaynaklara sahip olmayabilir fakat onlar yine de güvenliğe öncelik tanımalı, diyor Long. “En yüksek seviyede güvenlik deneyimine nasıl erişim sağlayacakları hakkında daha yaratıcı olmaları gerekebilir. Bu ortaklık veya yönetimli güvenlik servisleri üzerinden olabilir. ‘Benim hastalarım güvenliği hak ediyor ve ya ortaklık yoluyla ya da buraya doğru insanları getirerek bunu halledeceğim’ diyerek adanmak elzem.”

Categories: GÜVENLİK

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*