Ana Sayfa Uzman Teknoloji Makaleleri Siber Suçluların Yeni Hedefi Sağlık Sektörü Mü?

Siber Suçluların Yeni Hedefi Sağlık Sektörü Mü?

Derya Aksoy
Derya Aksoy

Fortinet Bölge Satış Direktörü

Elektronik Sağlık Kayıt sisteminden tıbbi cihazlara kadar sağlık sistemlerinin tamamı düşündüğümüzden çok daha büyük bir tehdit altında. Sonuçları ise sandığımızdan çok daha ağır ve riskli.

Fortinet’in tehdit araştırma ekibi FortiGuard Laboratuvarları, hackerların son zamanlarda IoT gibi geleneksel olmayan hedefler üzerinde denemeler yaptığını tespit etti. Bugüne kadar IoT’a yönelik siber saldırıların sayısı çok fazla olmasa da, önümüzdeki aylarda ciddi bir artış bekleniyor. Hackerlar da bunu fırsata dönüştürebileceklerinin farkındalar çünkü herhangi bir saldırı anında yama geliştirebilen ve IoT güvenlik sorunlarını çözebilen uzman PSIRT ekiplerinin olmaması işlerini kolaylaştırıyor. Siber saldırıların etkisi de doğal olarak uzun sürüyor.

Günümüzde karaborsaya dönüşmüş olan hasta bilgileri, perakende sektöründeki güvenlik açıkları nedeniyle çalınan kredi kartı bilgilerinden 20 kat daha değerli. Hastayla ilgili tıbbi bilgiler, siber suçluların kimlik hırsızlığı ve sahtecilik işlemlerinde kullanabileceği kadar ayrıntılı veriler içeriyor. Daha da önemlisi, hastaların bilgilerinin ele geçirildiğini anlaması çok daha uzun sürüyor. Genellikle hastalar, bilgi gizliliğinin ihlal edildiğini bir yıl ya da daha uzun bir sürede fark ediyor. Kredi kartı çalındığında, finans sektöründeki belirli algoritmalar sıradışı işlemleri hemen fark edip çoğu zaman otomatik olarak hesap koruması sağlıyor. Fakat sağlık sektöründe henüz benzer koruma yöntemleri yaygın bir şekilde kullanılmıyor.

Sağlık sektörü çalışanlarından yalnızca çok küçük bir kısmı tehlikenin farkında; birçoğu sağlık sistemlerinin büyük bölümünün siber saldırılara karşı ne denli korunmasız olduğunu bilmiyor.

Geleneksel siber saldırılar

Bu tip saldırılar tüm işletmelerin karşılaşabileceği cinsten saldırılardır. Kötü amaçlı yazılımlar, e-dolandırıcılık, trojan’lar ve fidye yazılımlar gibi tehditlerin hepsi pusuya yatmıştır. Özellikle sağlık sektörü, bu tehditler karşısında çok daha savunmasızdır çünkü gömülü güvenlik mekanizmalarından yoksundur ve diğer sektörlerde olduğu gibi güvenlik algısına öncelik vermez. İster hedef gözeten saldırılar veya istenmeyen e-postalar aracılığıyla sisteme yerleştirilsin, ister ele geçirilmiş web siteleri veya virüslü mobil cihazlar üzerinden yayılsın,   bu tür kötü amaçlı yazılımlar yalnızca hassas verileri açığa çıkarmaz; aynı zamanda uzun süreli ve yüksek maliyetli BT sorunlarına da yol açar.

Bu saldırılar yeni değil, fakat her geçen gün daha karmaşık hale geliyorlar. Hasta bilgilerini açığa çıkarma “kabiliyetleri” ise en büyük sorunlardan birini teşkil ediyor. Siber suçlular artık sağlık kurumlarına bütünüyle saldırı gerçekleştirebilecek kötü amaçlı ve sağlam platformlar geliştirmiş durumdalar.

Birbiriyle bağlantılı tıbbi hizmetler

Bugün kalp monitörlerinden insülin pompalarına kadar her şey, bir ağ üzerinden birbiriyle bağlantılı hale getirilebiliyor ve otomatik Elektronik Sağlık Kayıt sistemi arayüz bağlantısı üzerinden sağlık çalışanlarına gerçek zamanlı uyarılar gönderebiliyorlar. Hasta bakımı ve operasyonel verimlilik açısından bu iyi bir şey. Fakat güvenlik açısından bu bağlantısallık, potansiyel bir kâbus demek.

MR cihazları, CT tarayıcılar ve pek çok tanı cihazı gibi tıbbi cihazların çoğu, güvenliği ön planda tutarak tasarlanmamışlardır. Tanı cihazlarının büyük bölümü, Microsoft Windows gibi kullanıma hazır işletim sistemleri kullanır. Bazıları ise, veri korumaktan çok veri toplamaya yarayan, özel olarak geliştirilmiş yazılımlar kullanır. Bu cihazların neredeyse tamamı, siber suçlular tarafından kolaylıkla ele geçirilebilir. Bir kere hacklendikten sonra ise, klinik veri sistemlerinde arayüz oluşturma yöntemiyle siber saldırganlara sınırsız erişim sağlarlar.

Birbirine bağlı cihazlar nedeniyle tehdit altında olan tek şey hasta bilgileri değildir. Siber teröristler hastalara zarar vermek veya hastanelerdeki kritik sistemleri tamamen sekteye uğratmak için makineleri istedikleri gibi kontrol edebilirler. Bir araştırmacı 2011 yılında insülin pompasının nasıl ele geçirilebileceğini ve ölümcül dozda insülin yüklemesi yapabileceğini tüm dünyaya göstermişti.

Evlerimizdeki kişisel sağlık cihazları

Cihazlar yalnızca hastanelerde yaygınlaşmıyor. Evimizde kullandığımız ve bizimle ilgili pek çok sağlık verisini toplayarak mevcut sistemlere aktaran kişisel sağlık cihazlarının, mobil uygulamaların ve giyilebilir cihazların sayısı da her geçen gün artırıyor. Bu cihaz ve uygulamalar hasta bilgileri için gerekli korumayı sağlayamıyor ve bu verileri potansiyel olarak açığa çıkarmakla yetinmiyor. Aynı zamanda verileri Elektronik Sağlık Kayıt sistemine ve tıbbi veri sistemlerine arayüzlendiriyor. Evimizdeki glukoz takip cihazından telefonumuzdaki iPhone uygulamasına kadar her şey siber saldırılara bu kadar kolay maruz kalabiliyorken, sağlık kurumlarının ne denli savunmasız olduğunu daha iyi anlayabiliriz. Saydığımız tüm bu yeni hasta bakım yöntemleri, tıpkı tıbbi cihazlar gibi, kolaylık ve rahatlık amacıyla geliştiriliyor; güvenlik temel alınmıyor.

Sağlık sektörü, tıbbi kayıtlar siber suçlular tarafından ele geçirilmeden önce, proaktif bir şekilde gerekli güvenlik önlemlerini almalı; hem ağ hem de uygulama seviyesinde güvenlik sistemlerinin kurulumunu planlamalıdır. Çünkü güvenlik riskleri daha fazla bekleyemeyecek kadar fazla ve hepimizi kuşatmış durumda.

Biz de Türkiye’de neredeyse tüm operatörlerde ve bankacılık sektöründe hem konsolidasyon hem güvenlik tarafında öncü bir firma olarak, önümüzdeki yıllarda sağlık başta olmak üzere telekomünikasyondan finansa, kamu sektörlerinden üniversitelere ve güvenlik şirketlerine donanım satan firmalara kadar, farklı alanlarda faaliyet gösteren müşterilerimize yönelik üstün teknolojiler geliştirmeye devam edeceğiz. Uyarlanabilir ve ölçeklenebilir savunma araçları ve tehdit zekâsı sistemlerimizle, çeşitlenen tehditlere karşı siber saldırıları gerçek zamanlı tespit eden sistemlerden, kolaylıkla yönetilebilen sistem günlüğü raporlama çözümlerine kadar pek çok yenilikçi çözüm ile kurumsal müşterilerimize destek olacağız.