Bir klinik veya hastaneye düzenlenen bir siber saldırı, kelimenin tam anlamıyla bir ölüm kalım meselesidir. 2020’de yaşanan COVID-19 salgını nedeniyle zaten zor zamanlar geçiren dünya genelindeki sağlık sistemlerinin iş yüküne bir de siber suçluların eylemlerinin neden olduğu yük eklendi. Sağlık kurumları açısından geçen yılın en önemli tehditlerinden biri, siber suçluların verileri şifrelediği veya çalınan verileri yayınlamakla tehdit ederek para sızdırdığı siber saldırı olan fidye yazılımı saldırıları kaynaklı tehditlerdi.
Bu tür saldırılar çok çeşitli sonuçlar doğurabilir. Sağlık kurumları, saldırıların sağlık hizmetlerinde neden olacağı bariz ve tehlikeli kesintilerine ek olarak, yasal para cezalarından kişisel verileri ihlal edilen hastaların şikayetlerine kadar uzanan, etkileri uzun süre devam eden sonuçlarla karşı karşıya kalabilir.
Kamuoyunun dikkatini çeken fidye yazılımı olayları
Geçen yılın en çok konuşulan ve fidye yazılımı saldırılarının sebep olacağı sorunların boyutunu gözler önüne seren vakalardan biri, geçen Eylül ayında Universal Health Services’a (UHS) düzenlenen Ryuk fidye yazılımı saldırısıydı. Grubun, Amerika Birleşik Devletleri, Birleşik Krallık ve diğer ülkelerde faaliyet gösteren 400 sağlık kurumu bulunuyor. Neyse ki, ABD’nin bazı eyaletlerinde faaliyet gösteren hastane ve klinikler dışında saldırıdan etkilenen başka UHS tesisi bulunmuyordu. Bir pazar sabahı erken saatlerde meydana gel gelen olayda şirketin bilgisayarları önyükleme yapamadı ve bazı çalışanlara fidye talebi gönderildi. Saldırıdan telefon ağı da etkilendi. BT departmanı personelden eski usulle, yani BT sistemleri olmadan çalışmalarını istemek zorunda kaldı. Doğal olarak bu durum, hasta bakımı, laboratuar testleri gibi kliniğin olağan akışında olan bir çok süreçte büyük kesintilere neden oldu. Bazı tesisler hastaları diğer hastanelere sevk etmek zorunda kaldı.
UHS’nin yaptığı resmi açıklamada, “herhangi bir hasta veya çalışan verisine yetkisiz erişim sağlandığına, verilerin kopyalandığına veya kötüye kullanıldığına ilişkin bir kanıt bulunmadığını” belirtiyordu. Bu yılın Mart ayında şirket, veri kurtarma maliyetleri, kesinti nedeniyle yaşanan gelir kaybı, hasta sayısının azalması ve daha bir çok olumsuzluk da dahil olmak üzere gerçekleşen saldırının neden olduğu zararın 67 milyon dolar olduğunu belirten bir rapor yayınladı.
Aynı zamanda, böbrek hastalıklarına yönelik test hizmetlerinde uzmanlaşan Ascend Clinical’ın yaşadığı bir olayda, 77.000’den fazla hastayı etkileyen bir veri sızıntısı gerçekleşti. Sızıntının nedeni bilindik bir durumdu: Bir çalışan, kimlik avı e-postasında yer alan bir bağlantıya tıklamıştı. Sisteme sızan saldırganlar, diğer verilerin yanı sıra hastaların kişisel verilerini de — isimleri, doğum tarihleri, sosyal güvenlik numaraları — ele geçirdiler.
Nisan 2020’de Magellan Health’e düzenlenen bir saldırıda ise, hem çalışanların hem de hastaların kişisel verileri ihlal edildi (basında çıkan haberlere göre saldırıdan etkilenen kurban sayısı 365.000’di). Siber suçlular, sosyal mühendislik yoluyla bir müşteriyi taklit ederek, iç ağa erişim sağlamayı, oturum açma bilgilerini ele geçirmek için kötü amaçlı yazılım kullanmayı ve nihayetinde sunucudaki verileri şifrelemeyi bir şekilde başardılar.
Genelleme yaparsak, siber suçlular sağlık kurumlarına saldırırken, iş istasyonlarının yerine sunuculardaki verileri şifrelemeyi ve çalmayı tercih ediyor. Saldırganların Florida Ortopedi Enstitüsü’nün sunucularında eriştikleri 640.000 hastaya ait veriyi şifrelediğinde (öncesinde çaldıkları) yaşanan durum da aynısıydı. Bu olay, oldukça tatsız şekilde toplu dava açılmasıyla sonuçlandı.
Yukarıda bahsettiğimiz olaylar, geçen yıl haberlerde yer alan ve kamuoyunun dikkatini çeken olaylara ilişkin yalnızca birkaç örnek. Aslında, yukarıda verdiğimiz örneklere benzer onlarca olay daha yaşandı.
Sağlık kurumları güvenliklerini nasıl sağlayabilir
Kötü amaçlı yazılım bir sisteme çok çeşitli yollarla girebilir: E-posta ekleri, kimlik avı bağlantıları, virüslü internet siteleri ve daha birçok yöntem. Saldırganlar kullanıcılara ait uzaktan erişim kimlik bilgilerini çalabilir, sosyal mühendislik yoluyla onları kandırabilir veya sadece zor kullanarak (brute force) bilgileri ele geçirmeye çalışabilir. Tedbir tedaviden iyidir şeklindeki eski bir tıp atasözü, siber güvenlik için ve en azından fidye yazılımlarına karşı koruma için de aynı şekilde geçerlidir. İşte siber güvenlikle ilgili alınacak tedbirler konusunda size vereceğimiz ipuçları:
- Yalnızca bilgisayarları değil tüm cihazları koruyun. Şirkete ait akıllı telefonları, tabletleri, terminalleri, bilgi kiosklarını, tıbbi ekipmanı ve kurumsal ağa ve internete erişimi olan diğer her şeyi.
- Bütün cihazlarınızı güncel tutun. Ve yine bu konuda da sadece bilgisayarlarla sınırlı kalmayın. Siber güvenlikten bahsettiğimizde aklınıza gelen ilk şey bir tomografi olmayabilir, ancak tomografi cihazı aynı zamanda güvenlik açığı bulunabilecek bir işletim sistemine sahip bir bilgisayardır. İdeal olan, ekipman seçiminde güvenlik konusunun dikkate alınması gereken bir konu olmasıdır — en azından satın almadan önce ekipman satıcısının yazılım güncellemeleri yayınladığını teyit etmesini isteyin;
- E-posta koruması sağlayan güvenlik çözümleri yükleyin. Elektronik iletişimin korunması hayati önem taşıyor; tıbbi kuruluşlar, spam dahil olmak üzere, yalnızca zararsız çöp içerik değil aynı zamanda tehlikeli ekler de içerebilen çok sayıda e-posta alır;
- Tüm çalışanları — diğer deyişle yöneticileri, doktorları ve teknolojiye dokunan herkesi — siber güvenlik farkındalığının temelleri konusunda eğitin. Tıbbi kayıtların dijital ortama aktarılmasından çevrimiçi video yoluyla gerçekleştirilen konsültasyona kadar sağlık alanındaki süreçlerin daha fazla bölümü elektronik hale geliyor. Ameliyat sırasında maske kullanımı gibi siber güvenlik bilincinin de rutin bir güvenlik önlemi haline gelmesi gerekir.
- Birçok modern fidye yazılımı saldırısı, “manuel” olarak adlandırdığımız yöntemle gerçekleştiriliyor. Diğer bir deyişle, modern fidye yazılımı saldırılarının ardındaki siber suçlular, rastgele yapılan bir kötü amaçlı yazılımı bombardımanı yerine, genellikle seçtikleri belirli kurbanların bilgisayarlarına ve sunucularına sosyal mühendislik sanatından yararlanarak fidye yazılımı yollarını bulaştırmanın arıyorlar. Kimi zaman bir ağa sızdıktan sonra, hemen aksiyona geçmek yerine en değerli verileri bulmak amacıyla altyapıyı uzun süre incelerler. Uç nokta korumasının karşı koymakta yeterli olamayabileceği bu tür saldırıları tespit etmek için, altyapınızı uzaktan izlemek üzere bir yönetilen tespit yanıt hizmeti almanızı öneriyoruz.