Sağlık Alanında Siber Güvenlik

Sağlık sektörü, siber güvenlik çözümlerinin büyük önem arz ettiği alanlar arasında bulunuyor. Söz konusu sektörün, bünyesinde barındırdığı hassas veri yığınlarına yönelik veri güvenliği temin etmede sorun yaşaması, kamuoyuna ait çok temel bilgilerin sızdırılması ile sonuçlanabilir. Bu da sağlık alanı içinde faaliyet gösteren kurumların güven ve itibar kaybı yaşamalarına yol açabilir. Tam da bu sebeple sağlık sektöründeki çeşitli kurum ve kuruluşların, siber saldırı tehditlerine karşı son derece kapsamlı veri ve erişim güvenliği önlemlerine ihtiyaç duyduğunun altını çizmekte yarar var.

Siber Saldırganlar Neden Sağlık Sektörünü Hedef Alıyor?

Sağlık sektöründeki kurumların bir siber saldırganlar tarafından neden hedef alındığını üç başlık altında açıklamak mümkün. Fakat bunları üç başlık aracılığıyla detaylandırmadan önce, bir çatı neden ifade etmek gerekirse sağlık kuruluşlarının sahip oldukları büyük veri alanları ve bu alanlardaki kişisel veriler rahatlıkla çatı neden olarak gösterilebilir. Siber saldırı türü ne olursa olsun, ilgili kurumlara yönelik saldırı motivasyonunun nedeni, temelde kritik veri erişimi olduğuna göre daha spesifik amaçların kapsamını şu şekilde özetleyebiliriz:

1. Hastaların tıbbi bilgilerinin ve fatura kayıtlarının dark web ortamında zahmetsizce alıcı bulma ihtimali
2. Fidye yazılımı saldırılarının (Ransomware) hasta bakımı ve kurumların idari yapısıyla ilgili sistemleri kilitlemesi sonucu maddi kazanç elde edilebilmesi
3. Özellikle yakın dönemde inşa edilen hastanelerdeki internet bağlantılı tıbbi cihazların uzaktan erişim yoluyla ele geçirilmeye uygun yapıda olması

Bu temel motivasyonlarla yola çıkan saldırılar dünyanın pek çok bölgesinde binlerce kurumu ve milyonlarca kişiyi etkileyebiliyor. Peki güncel olaylar ve istatistikler neler söylüyor, sağlık sektörü gerçekten siber tehditler açısından bu denli açık hedef konumunda mı?

İstatistiklerle Siber Saldırı ve Sağlık Sektörü Arasındaki İlişki

Siber saldırı ve sağlık sektörü arasındaki ilişkiyi daha iyi anlamak için birkaç güncel örneği incelemek yararlı olabilir. Amerika Birleşik Devletleri’nin Kaliforniya eyaletinde beş hastane ve 19 ayakta tedavi merkezinin yönetiminden sorumlu olan Scripps Health isimli firma, Mayıs 2021’de sistemlerini hedef alan bir siber saldırı yüzünden 106.8 milyon dolarlık kayıp yaşamayı beklediğini belirtti. Yine Amerika Birleşik Devletleri’nde, bu kez Chicago şehrinde, 34 yaşındaki Tangtang Zhao isimli bir eczacının 11 alıcıya toplam 1.276 dolar karşılığında 134 gerçek aşı kartı sattığı iddia ediliyor. Zhao şu an 12 farklı devlet malını çalmakla suçlanıyor ve her biri için 10 yıl, toplamda 120 yıl hapis cezası isteniyor.

Öte yandan Verizon DBIR 2021 raporunda yer alan bilgiye göre, 2019’dan bu yana sağlık sektöründeki veri ihlallerinin nedenlerinde iç tehditlerden dış tehditlere doğru geçiş söz konusu. Ayrıca IBM Cost of Data Breach raporunda da veri ihlallerinin en büyük maliyetleri sağlık sektöründe yarattığı aktarılıyor. Raporun 2019’daki verilerine kıyasla %10.5 maliyet artışı gözlenen ilgili alan, 7.13 milyon dolar ortalamayla üst üste 10. yılda da en yüksek finansal kayıp yaşayan iş kolu olmayı sürdürdü.

Veri Güvenliğini Tahsis Etmekteki Zorluklar

Verizon DBIR 2020 raporundaki veriler 2020’de, 2019’a kıyasla veri ihlallerindeki en önemli artışın sağlık alanında yaşandığını ortaya koyuyor. %71’lik çok ciddi bir artışın yaşandığı sektörün sıkça karşılaştığı siber güvenlik zorluklarını bilmek, alınacak önlemler konusunda daha faydalı bir yaklaşım sergilenmesini sağlayabilir:

1. Hasta bilgilerinin yüksek paralar karşılığında daima alıcı bulabilmesi
2. Tıbbi cihazların büyük bölümünde eski teknolojilerin kullanılması
3. Tıp uzmanlarının uzaktan erişim konusunda yeterli öğrenim düzeyinde olmaması
4. Yetersiz siber risk eğitimi

Diğer taraftan bu zorluklarla başa çıkabilmek için alınabilecek bazı önlemler ise şöyle sıralanabilir:

1. Risk değerlendirmesi
2. Güvenlik açığının tespiti
3. Ağın güvenlik uyumluluğu (HIPAA, HITRUST)
4. Siber güvenlik eğitimi
5. Uç nokta güvenliği (Elektronik aygıtların ve sunucuların korunması)
6. Ağ güvenliği (Ağın, kullanıcıların ve verilerin korunması)
7. Tehdit tespiti ve müdahale etme kapasitesi

Sağlık sektöründe veri güvenliğini sağlamak amacıyla sunulan çözüm önerilerini uygulamak için yetkili hesaplar üzerinde “En Az Ayrıcalık İlkesi” ile hareket eden ve “Sıfır Güven” yaklaşımına dayalı güvenlik politikaları oluşturmak kurumunuzdaki iç ve dış tehditlerin etkisiniz hale gelmesini de sağlayacaktır. Bu yaklaşımların hayata geçirilmesinde ve uygulanmasında kritik rol üstlenen Privileged Access Management (PAM) çözümleri de kurumunuzun veri güvenliği konusunda güçlenmesine imkân tanıyor. Türkçeye Ayrıcalıklı Erişim Yönetimi olarak çevrilen PAM, bünyesinde barındırdığı modüller sayesinde sağlık sektöründeki bir kurumun veri ve erişim güvenliği ile ilgili endişelerini tamamen ortadan kaldırabilir.

Her şeyden önce bir sağlık kuruluşuna ait ağdaki kullanıcıların sayısının çok olduğunu ve bu kullanıcıların dağınık yapıda işlem yaptıklarını unutmamalısınız. Bu nedenle ilk aşamada ağın karmaşık hâle gelmesinin önüne geçmeli, ikinci aşamada ise ihtiyaç duyduğunuz ayrıcalıklı kullanıcı sayısını kontrol edilebilir düzeyde tutmalısınız.

Bunu yapabilmek için kurumunuzdaki güvenlik protokollerine uygun şekilde bazı çözümler kullanabilir, kritik verilerin kötü niyetli kullanıcı veya siber saldırganların eline geçmesine engel olabilirsiniz. Örneğin; Yetkili Oturum Yöneticisi (Privileged Session Manager) çözümleriyle, ağdaki tüm oturum ve kullanıcı hesaplarının kontrol edebilir, oturumları kayıt altına alabilirsiniz. Böylece olası karışıklıkların önüne geçebilir, kullanıcıların oturumlarını log’layarak takip edebilirsiniz. Merkezi Parola Yönetimi (Dynamic Password Controller) uygulamalarıyla ağdaki yetkili oturumların parolalarının şifre kasası (password vault) özelliğiyle ağdan izole şekilde muhafaza edebilir, güçlü ve karmaşık parolalarla erişim güvenliğini sağlarken, operasyonel verimliliği de kesintisiz sürdürebilirsiniz.

Bunların yanı sıra İki Faktörlü Kimlik Doğrulama (Two-Factor Authentication - 2FA) çözümüyle kullanıcıları hem geo-location özelliğini kullanarak doğrulayabilir, hem de zaman sınırlamalarıyla erişimi ve doğrulamayı güvenli kılabilirsiniz. Yetkili Görev Otomasyonu’yla (Privileged Task Automation) da rutin görevleri otomatikleştirerek servis kesintilerini azaltıp, verimliliği artırmanız mümkün. Yetkili hesap erişim güvenliği ve veri güvenliğini daha etkili hale getirmek için Database Access Manager ve Data Masking çözümleri de faydalı olacaktır. Bu çözümlerle veri tabanı yöneticilerinin erişimlerini kontrol edebilir, söz konusu kullanıcı grubunun ağ üzerinde yaptığı her işlemi kaydedebilir, veri maskeleme ile verilerinize ekstra koruma sağlayabilirsiniz.

2021 Gartner Magic Quadrant for PAM raporunda yer alarak dünyanın en iyi PAM çözümleri arasında gösterilen Single Connect ile siz de tüm bu çözümlerden faydalanabilir, sağlık alanındaki siber güvenlik zafiyetlerini bertaraf edebilirsiniz.

Kron olarak alanında uzman ve deneyimli ekibimiz tarafından geliştirilen Single Connect hakkında merak ettiklerinizi iletmek, veri ve erişim güvenliğinizi bir adım ileri taşımak için bizimle iletişime geçebilirsiniz.