Sağlık hizmetleri odaklı bir iş mi yürütüyorsunuz? Eğer öyleyse muhtemelen yeni tıbbi çalışmalara, geliştirilmiş prosedürlere ve hastalarınızın konforunu sağlamaya odaklanmışsınızdır. Ancak siber güvenlik hazırlığınızı değerlendirmek için de zaman ayırmalısınız. Veri ihlalleri ve kimlik hırsızlığı, hastalarınız için virüsler veya sepsis kadar tehlikeli olabilir. Bu konuyu nasıl ele alabilirsiniz? Hadi keşfedelim.
Sağlık sistemleri sıklıkla siber saldırıların hedefi olmaktadır. Siber saldırılar sağlık sistemleri için neden özellikle tehlikelidir? Her şeyden önce, bir hastanenin veya özel bir kliniğin bir siber saldırı nedeniyle kesintiye uğraması, hastaların sağlığını ve hatta hayatlarını riske atabilir. Ancak siber saldırılardan kaynaklanan ölümler hâlâ nadirdir. Hayati sistemler kesintiye uğradığında hayat kurtaran birçok prosedür gecikebilir veya kesintiye uğrayabilir. Bu nedenle bu saldırılar korku uyandırarak önemli bir psikolojik etkiye sahiptir. Saldırganlar genellikle terörist gruplar, devlet destekli tehdit aktörleri veya uluslararası suç örgütleridir.
2017’nin WannaCry saldırısı
NHS web sitesine göre, 2017 WannaCry saldırısı dünya çapında birçok kritik sistemi kesintiye uğrattı. Ambulans devir teslim süreçleri ve ekranları devre dışı bırakıldı, Hasta Nakil Hizmeti rezervasyon portalı kullanılamadı, CT/MR taramaları aktarılamadı ve hatta hayati prosedürler ve ameliyatlar bile etkilendi.
Saldırı neden başarılı oldu? Bazı kuruluşlar, Microsoft’un daha önceki tavsiyesine rağmen gerekli güvenlik yamasını yüklemedi.
Sağlık hizmetleri verilerinin kıymeti
Ancak tek neden bu değildir. Yaşamları tehlikeye atma olasılığının yanı sıra sağlık sistemleri bir saldırganın toplayabileceği en zengin kişisel veri kaynaklarından biridir. Siber suçlular genellikle kişisel sağlık kayıtları, finansal detaylar ve diğer gizli veriler de dahil olmak üzere hassas hasta bilgilerini çalmak için bu kuruluşları hedef alır.
Amerikan Hastaneler Birliği’ne göre, kredi kartı numaranız ya da e-posta bilgileriniz dark web’de şaşırtıcı derecede az paraya satılırken tıbbi kayıtlar 10 kat daha değerli olabilir. Örneğin “ben aldırma” gibi rutin bir işlem için özel bir kliniğe bile verdiğiniz tüm bilgileri düşünün.
Klinik, adınızı, kimliğinizi, kredi kartı bilgilerinizi, telefon numaranızı, e-posta adresinizi ve Sosyal Güvenlik numaranızı alır. Bunları çalan kişi, örneğin kimlik hırsızlığı yoluyla size hızla büyük zarar verebilir. Klinikler, kendilerine güvenen hastalarını güvende tutmak için mümkün olan en iyi siber güvenlik çözümlerine yatırım yapmalıdır.
Sağlık hizmetleri siber güvenlik yasası
AB’de önemli kurumların siber güvenliği NIS2 Direktifi tarafından yönlendirilmektedir. Bu direktif katı siber güvenlik gereklilikleri getirmekte ve olayların zamanında raporlanmasını zorunlu kılmaktadır. Direktif aynı zamanda AB ülkeleri arasındaki iş birliğini geliştirmekte ve uyumsuzluk için cezalar getirerek enerji, sağlık, ulaşım ve dijital hizmetler gibi sektörlerde daha yüksek bir siber güvenlik standardı sağlamaktadır. ABD’deki Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) gibi benzer mevzuat AB dışında da mevcuttur. Önemli para cezalarından kaçınmak için ülkenizdeki ilgili düzenlemelere uyduğunuzdan emin olun.
Bu endişelerin sizin için de geçerli olması için bir hastane işletmenize gerek yok. Bir dişçi muayenehanesi ya da dermatolog muayenehanesi bile tipik olarak hastaları hakkında büyük miktarda kişisel veri toplar ve bu da onları saldırganlar için potansiyel hedef hâline getirir.
Fidye yazılımları, saldırganların kritik verileri şifrelediği ve serbest bırakılması için fidye talep ettiği bir diğer büyük tehdittir. Bu tür saldırılar sağlık hizmetlerini aksatabilir, hasta bakımını geciktirebilir ve önemli mali kayıplara yol açabilir.
Bununla birlikte, muhtemelen sadece siber güvenliğinizi yönetmek için bütün bir BT departmanı kurmak istemezsiniz. Peki, müşterilerinizi güvende tutmak için ne yapabilirsiniz?
Sağlık hizmetleri hangi güvenlik çözümlerine sahip olmalı?
Bu riskleri azaltmak için sağlık kuruluşları çeşitli güvenlik çözümleri uygulamaktadır. Veri şifreleme, hassas veriler ele geçirilse bile şifre çözme anahtarı olmadan okunamamasını sağlayarak hasta bilgilerini hem aktarım sırasında hem de beklemede korur. Uç nokta koruması, bilgisayarlar, mobil cihazlar ve tıbbi ekipman dahil olmak üzere tüm cihazlar için kapsamlı güvenlik sağlayarak kötü amaçlı yazılımların ve diğer tehditlerin ağı tehlikeye atmasını önler.
Erişim kontrolleri hassas verilere ve sistemlere erişimi yalnızca yetkili personelle sınırlandırarak yetkisiz erişimi ve olası veri ihlallerini önler. Düzenli güvenlik değerlendirmeleri ve güvenlik açığı taramaları, kuruluşun güvenlik duruşundaki potansiyel zayıflıkların belirlenmesine ve ele alınmasına yardımcı olur.
Çalışanların eğitimi, güvenlik olaylarına yol açan insan hatası riskini azaltmada çok önemlidir. Sağlık personelinin kimlik avı girişimlerini fark etme ve güçlü parolalar kullanma gibi siber güvenlikle ilgili en iyi uygulamalar hakkında eğitilmesi daha güvenli bir ortam yaratılmasına yardımcı olur. Ayrıca sağlam bir olay müdahale planının yürürlükte olması, sağlık kuruluşlarının siber saldırılara hızlı ve etkili bir şekilde yanıt verebilmesini ve bu saldırılardan kurtulabilmesini sağlar.
Önce önleme yaklaşımı
ESET olarak her zaman önce önleme yaklaşımını öneriyoruz. Bu ne anlama geliyor? Esasen bu yaklaşım, bir saldırının daha saldırıya geçme şansı bile olmadan engellenmesini sağlamak için tasarlanmıştır. Bunu başarmak için en iyi güvenlik çözümünün aşağıdaki niteliklere sahip olması gerektiğine inanıyoruz:
- Tek platform, çoklu katmanlar: Etkili ve anlaşılır bir koruma için tüm siber güvenlik özellikleri tek bir konsoldan yönetilen tek bir platforma entegre edilmelidir. Uç noktalar, sunucular, bulut ortamları ve hatta çok faktörlü kimlik doğrulama gibi özelliklerin tümü sorunsuz yönetim için merkezileştirilmelidir.
- Üçüncü taraf uyumluluğu: Çözüm, üçüncü taraf eklentileriyle sorunsuz bir şekilde çalışmalı ve gerektiğinde gelişmiş koruma ve özelleştirmeye izin vermelidir.
- Otomasyon: Güncellemeler, yama kurulumları ve güvenlik açığı yönetimi otomatikleştirilerek manuel müdahale ihtiyacı en aza indirilmelidir.
- Karmaşıklığın azaltılması: Tek camlı bir çözüm, ek maliyet veya karmaşıklık olmadan tüm işlevleri birleştirir.
- Kullanıma hazır olma: Sistem, kapsamlı bir kuruluma veya yeni hizmetinizi yapılandırmak için saatler harcanmasına gerek kalmadan hemen kullanıma hazır olmalıdır.
Tüm bu işlevler ve daha fazlası ESET PROTECT platformumuzda mevcuttur. Yönetimi kolay, tüm saldırı yüzeyinizi kapsayan ve aynı zamanda uyumluluk gereksinimlerinin önüne geçmenizi sağlayan kullanıma hazır bir siber güvenlik çözümü sunar. ESET PROTECT MDR’yi tercih ederseniz 7/24 sizin için yapay zekâ ve insan uzmanlığını birleştiren bir siber güvenlik hizmeti olduğunu bilerek daha da rahat edebilirsiniz.
ESET LiveSense teknolojisi üzerine inşa edilen platform, ortaya çıkan tehditleri aktif olarak algılar, bunlar hakkında bilgi edinir ve sistemlerinizi korumak için önleyici tedbirler uygular. Bir saldırı durumunda, platformun çoklu koruma katmanları saldırıyı her aşamada durdurmak için tasarlanmıştır. Bu, günlük işlerinizi yürütürken içinizin rahat olmasını sağlar.
Siber güvenlik eğitimi: Bilgiyi kalıcı hâle getirin!
