Sağlık ta kişisel veri koruması konusu son derece hassas uyarı önemli.
Sağlık sektörünü hedefleyen siber saldırılar gün geçtikçe artarken, Forcepoint uzmanları bu saldırıların sebeplerini ve atılması gereken adımları sıraladı.
Sağlık sektöründe fidye yazılımları ve diğer zararlı yazılımlarla yapılan saldırıların sayısı büyük bir hızla artıyor. Bu durum, insan hayatının yanı sıra kritik öneme sahip verileri de riske atıyor. Kimlik Hırsızlığı Kaynak Merkezi verilerine göre, sağlık sektörü, sadece son üç yılda bile tüm sektörler arasında en yüksek sayıda veri hırsızlığının yaşandığı sektör oldu. Forcepoint Türkiye Ülke Müdürü Levent Turan, başta hastaneler, laboratuvarlar ve eczaneler olmak üzere sağlık kuruluşlarının siber suçlular tarafından hedef alınmasının üç ana sebebini açıkladı:
1. Son derece değerli veriler
Sağlık kuruluşlarını birincil hedef haline getiren başlıca nedenlerden biri, sahip oldukları verilerin çok değerli olması. Genellikle, çalınan tek bir kredi kartı numarası ortalama 2.000 ABD doları kâr sağlıyor fakat günler, hatta saatler içinde değersiz hale geliyor. Ancak korumalı sağlık verileri (PHI) veya kişinin tanınmasına yol açacak veriler (PII) gibi sağlık verileri karaborsada son derece değerli.
Örneğin, CSO Online’da yer alan bir makaleye göre tek bir PHI verisi 20.000 ABD dolarına varan büyüklükte kâr getirebiliyor. Bunun temel sebebi, sağlık verileri çalındığında anlaşılmasının haftalar, hatta aylar sürebilmesi. Bu sayede siber suçlular çok daha değerli veriler elde etmiş oluyor. Dahası, sağlık verileri doğum tarihi ve kimlik numarası gibi değiştirilmesi çok zor olan bilgileri içerdiği için hırsızlar bu verilerden daha uzun süre yararlanabiliyor.
2. IT yatırımı ve eğitim eksikliği
Sağlık sektörünün siber suçlular arasında popüler olmasının nedenlerinden biri de IT güvenliğine sistematik olarak gerekenden az yatırım yapılması. Siber güvenlik eğitimi ve sertifikaları düzenleyen en büyük şirketlerden biri olan SANS Institute, IT bütçesinin en az %10’unun güvenlik alanında harcanmasını önermesine rağmen sağlık kuruluşlarının çoğu ancak %3 kadarını harcıyor.
Çoğu sağlık kuruluşu için güvenlik genellikle sonradan akla gelen bir konu. Kuruluşlar çalışanlarına içeriden gelebilecek tehditleri kolayca azaltabilecek düzenli siber güvenlik eğitimleri vermiyor. Ayrıca bazı hastaneler izinsiz giriş algılama ve kayıp ya da çalınmış cihazları silme gibi temel IT güvenlik önlemlerini uygulamakta bile zorlanıyor.
3. Birbirine derinlemesine bağlı sistemler
İş yüklerini buluta kaydıran sağlık kuruluşları, yüksek ölçüde bağlantılı sistemler kullandıkları için küçük ölçekli, kısmi sistemlere yapılan saldırılarda bile tüm sistemin etkilenmesi riskiyle baş başa kalıyor. Diğer bir deyişle, bir noktaya yapılan bir siber saldırı tüm sistemin çökmesine neden olabiliyor. Mayıs 2017’de, WannaCry fidye yazılımı yüzünden Birleşik Krallık’taki birçok hastane, hasta taşıyan ambulanslarını geri döndürmek ve başlamasına dakikalar kalan ameliyatları iptal etmek zorunda kaldı. Hastaların kaydını almak ve bilek bantlarını yazdırmak gibi en basit işlemler bile yapılamadı.
WannaCry saldırısının etkileri, sağlık kuruluşlarının siber bir saldırı sırasında çalışmaya devam edebilmesinin ve hastalara hizmet verebilmesinin ne kadar önemli olduğunu gözler önüne serdi. Neticede insanların hayatları tehlikeye atıldığı için işlerin mümkün olan en kısa zamanda normale dönebilmesi kaçınılmaz bir zorunluluk oluyor. Saldırganlar için, bu aciliyet durumu sağlık kuruluşlarını hedef almak için bir neden daha sunuyor. Çünkü bu durumun kuruluşların zararlı yazılımın etkilerinden kurtulmak için fidye ödeme olasılığını artırdığını düşünüyorlar.
tamamı için kaynağa bakınız
