Pandemi, Aşı Çalışmaları ve Verilerin Güvenliği: Sağlıkta Siber Güvenlik Neden Önemli?

Pandemi, Aşı Çalışmaları ve Verilerin Güvenliği: Sağlıkta Siber Güvenlik Neden Önemli?

Uluslararası toplum, hızla yayılan Pandemi’nin önüne geçebilmek, sağlık sektörünün yükünü hafifletmek ve can kayıplarını azaltabilmek için aşı çalışmalarına odaklanmış durumda. 2020 yılının sonbaharında bazı aşı çalışmalarında (Pfizer/BioNTech, Oxford University/AstraZeneca, Moderna, Sputnik V, Sinovac) önemli ilerlemeler kaydedildi ve birçok ülke özellikle sağlık çalışanları ve risk grupları için aşı çalışmalarını yakın zamanda başlatacağını duyurdu. Hangi aşı çalışmasının ne kadar güvenilir olduğu ve bağışıklık geliştirmek için ne kadar etkin olacağı elbette başka analizlerin konusu. Ancak, üretilen aşıların son kullanıcıya emniyetli şekilde ulaştırılabilmesi, küresel dağıtım zincirlerinin etkin çalışabilmesi, bilim insanlarının çalışmalarının ve bu çalışmalarının verilerinin güvenliği siber güvenlikle yakından ilintili.

Aşı çalışmaları konusunda devletler ve özel şirketler adeta kıyasıya bir rekabet içindeler. Gerek üretilen bilimsel verinin değeri, gerekse “salgına çare bulanın” kazanacağı prestij bu alanda yapılan çalışmaları ve bilgi birikimini oldukça değerli kılıyor. Bu çerçevede, elbette, aşı çalışmalarında kullanılan altyapının ve bu alandaki paydaşların arasındaki iletişimin dijitalleşmesi siber güvenliği önemli bir başlık olarak öne taşıyor. Örneğin, aşı geliştirilmesi konusundaki hassas bilgilerin ele geçirilmesine yönelik düzenlenebilecek bir siber casusluk operasyonu, bu süreci sekteye uğratabilecek en önemli risklerden biri olarak değerlendiriliyor.

Aralık ayının başında Medya’da çıkan haberlere göre [1], teknoloji devi IBM, COVID-19 aşılarının dağıtımı için gerekli olan “soğuk zincir”, yani aşının dağıtımı için kullanılan lojistik ağ, alanında faaliyet gösteren bazı kurumların küresel ölçekli ve hedef odaklı bir oltalama saldırısı ile hedef alındığını açıkladı. IBM’e göre, bu saldırıda amaç kullanıcı bilgilerine erişerek geleceğe yönelik erişim yetkisini ele geçirmek olabilir. Ya da saldırganlar, geliştirilen aşının dağıtımı için metot, süreç, iç iletişim gibi konularda bilgi toplamaya çalışıyor olabilirler.  Benzer şekilde, Kasım ayı içerisinde ise, aşı geliştiren kurumlardan birininin çalışanlarına karşı Linkedin ve Whatsapp üzerinden sahte iş teklifleriyle sosyal mühendislik saldırısı yapıldığı raporlanmıştı[2]. Bu çerçevede hükümetler, ilaç tedavisi/aşı araştırmalarından, aşı dağıtım faaliyetlerine kadar içinde bulunduğumuz kriz dönemi süresince siber güvenlik anlamında alarmda olmak konusunu oldukça önemsiyorlar.

Aşı geliştirme faaliyetlerinde üretilen kıymetli bilgiye ek olarak, kişisel sağlık bilgileri ve hasta veriler de en değerli verilerden biri. Bu çerçevede, bu bilgiler siber saldırganlar tarafından sıkça hedef alınıyor. Teknoloji geliştikçe, siber güvenliğin sağlık hizmetleri ve verileri için giderek büyüyen bir risk faktörü olduğunu görülüyor. Bu alanda araştırma yapan siber güvenlik firmalarından biri, sağlık kuruluşlarını en çok etkileyen ilk beş riski ve bunların oranlarını aşağıdaki gibi tanımlıyor [3]:

  • Zararlı network trafiği (%72)
  • Oltalama saldırıları (%56)
  • Operasyon sistemi zafiyetleri (%48)
  • Ortadaki Adam Saldırıları (MITM) ()
  • Zararlı yazılımlar (%8)

Bilindiği üzere, siber saldırılar, enerjiden iletişim altyapısına, tüm sektörlerin faaliyetlerini (üretim, hizmet vb.), iş sürekliliğini ve bu kurumların çalışmasını etkileyebilir. Fakat, siber güvenlik önlemleri açısından zaten diğer sektörlerin gerisinde kaldığı düşünülen sağlık sektöründe, verilen zarar sadece maddi kayıpla kısıtlı olmayabilir. Bir başka deyişle, bir hastaneyi hedef alan bir saldırı ölüm kalım meselesine dönüşebilir. Hastane içerisinde bulunan makineler arıza yaparak hasta hayatlarını riske atabilir, hasta verileri çalınarak verinin gizliliği, bütünlüğü ve erişilebilirliği prensipleri muhafaza etmek zorlaşabilir.

Hatırlanacağı gibi, güvenlik uzmanlarının en büyük endişelerinden biri olan “siber saldırılara bağlı can kaybı” senaryosu bu yıl gerçeğe dönüşmüştü. Eylül ayında, “fidye” talep etmek amacıyla, Almanya Düsseldorf’daki bir hastaneyi hedef alan siber saldırganlar, hastanedeki sistemlerin çalışmasına engel olmuş, başka bir hastaneye nakledilmek zorunda kalan ve tedavisi aksayan bir hasta hayatını kaybetmişti[4]. Pandemi sürecinde içinde bulunduğumuz hiper dijitalleşme şartları düşünüldüğünde, sağlık başta olmak üzere, kritik sektörler için siber tehditlerin ortadan kalkmayacağı varsayımında bulunmak mümkün. Aksine “bağlantılılık” arttıkça, zafiyetler ve bilinmeyenler artacak; bu da siber saldırganlar için yeni tehdit vektörleri ve hedefler oluşturacak. Bu çerçevede, özellikle sağlık kurumlarını, sistemleri, verileri, tıbbi cihazları ve daha da önemlisi hastaları korumak için adımlar atılmalı.

Nereden Başlamalı? : Sağlık Sektöründe Başlıca Siber Güvenlik Sorunları

Verizon’un 2016 Veri İhlali Araştırma Raporu’na[5] göre, gerçekleşmiş güvenlik ihlallerinin çoğunda maddi/finansal kazanç sağlamak birincil motivasyon. Bu çerçevede, saldırganlar hedeflediği bilgileri elde etmek için genellikle en kolay saldırı yöntemini ve en kolay ele geçirilebilir/en az korunan hedefi seçiyorlar. Bu çerçevede, sağlık sektöründe siber güvenlik ile ilgili karşılaşılan sorunlar aşağıdaki gibi sıralanabilir:

  • Zararlı Yazılımlar ve Fidye Yazılımları: Saldırganlar, bireysel cihazları, sunucuları ve hatta ağları ele geçirmek için kötü amaçlı yazılım ve fidye saldırılarını kullanıyorlar. Örneğin Almanya’daki hastane örneğinde görüldüğü gibi, şifrelemeyi kaldırmak ve kontrolü yeniden teslim etmek için için, kişi ya da kurumlardan fidye istenebiliyor.
  • Bulut Bilişim Tehditleri: Son zamanlarda, bulut uygulamaları sağlık bilgileri için giderek daha popüler bir depolama yöntemine dönüştü. Ancak, uygun bir şifreleme yapılmaz ise bu tarz bir depolama sağlık hizmeti veren kuruluşlar için güvenliği tehlikeye atabiliyor.
  • Yanlış yönlendiren web siteleri: Saldırganların en sık uyguladığı taktiklerden birisi, gerçek bir web sitesine oldukça benzeyen adres ve tasarıma sahip web sitelerini oluşturarak kullanıcı ve erişim bilgilerini ele geçirmek. Bu taktiğe özellikle bankacılık sektöründe sıklıkça başvurulduğunu biliyoruz. Bazı saldırganlar sadece websitesi uzantısını değiştirerek (örneğin gov yerine com’u kullanarak) dikkatsiz kullanıcıların yanılgıya düşmelerine sebep olabiliyor.
  • Oltalama Saldırıları: Bu stratejide, kullanıcılardan hassas bilgileri elde edebilmek adına maskeleme gibi teknikler kullanarak resmi kurum ve kuruluşlardan gönderilmiş gibi gösterilen e-postalar kullanıcıya ulaştırılıyor. Gönderilen e-postalar genellikle zararlı bir ek içermektedir.
  • Kör Noktalar: Şifreleme, sağlık başta olmak üzere tüm verileri korumak için elimizdeki en etkin silahlardan biri. Ancak, bilgisayar korsanları ihlalleri tespit edebilme amacıyla saklanabilecekleri kör noktalar oluşturabilmekte.
  • Kullanıcı Hatası: Teknolojideki tüm ilerlemeye rağmen, insan-makine etkileşiminin merkezi rolü, son kullanıcının güvenliğin sağlanmasındaki rolünün altını çiziyor. Bu çerçevede, tüm önlemler alınsa da, çalışanlar sağlık kuruluşlarını zayıf parolalar, şifrelenmemiş cihazlar ve benzeri uyumsuzluklar yoluyla saldırılara açık bir hale getirebiliyorlar.

Vaka Çalışmaları: Sağlık Sektöründe Siber Saldırılar

Sağlık sektörü, siber güvenlikle alakalı sayısız sorunla karşı karşıya. Bu sorunlar, sistem içerisindeki bilgilerin bütünlüğünü ve hastaların gizliliğini tehlikeye atabilecek kötü amaçlı yazılımlardan, tesislerin hasta bakımlarını sağlama yeteneğini bozabilecek servis engelleme saldırılarına kadar uzanabilmekte. Aslında bu riskler tüm sektörler için geçerli. Ama sağlık sektöründe, siber saldırılar finansal kayıp ve gizlilik ihlalinin ötesinde, geri döndürülemeyecek türden sorunlar ve zararlar ortaya çıkarabiliyor.

  1. Sağlık Sektöründe Ransomware (Fidye Yazılımları)

Son zamanlarda, siber güvenlik alanındaki veri ihlalleri konulu raporları takip ediyorsanız, fidye yazılımına yakalanmış olan hastanelere ilişkin hikayelerle karşılaşmanız oldukça olası. Fidye yazılımı son yıllarda bilgi güvenliği/siber güvenlik uzmanlarının adeta korkulu rüyası oldu. Öte yandan, saldırganların, savunmadakilere göre hep bir adım ileride olması; sürekli değişmekte olan taktik, teknik ve prosedürler güvenlik uzmanlarının yeniliklere ayak uydurmasını zorlaştırmakta. Kısaca hatırlatmak gerekirse, fidye yazılımı, sistemlere ve dosyalara bulaşabilen ve fidye olarak istenilen miktar ödenmediği sürece bu dosya ve sistemleri erişilemez hale getiren ya da bunları yok eden kötü amaçlı bir yazılım çeşididir. Hatırlanacağı gibi, bütün dünyayı kasıp kavuran Wannacry saldırısı aslında bir fidye yazılımdı ve verdiği zararla çokça ses getirmişti.

Sağlık sektörü için fidye saldırıları belki de karşılaşılabilecek en kötü durumlardan biri. Nitekim, bu saldırı yapıldığında, sağlık kuruluşlarındaki kritik süreçler yavaşlayabiliyor ya da tamamen çalışamaz hale gelebiliyor. Tamamen dijitalleşen bir hastanenin yeniden kâğıt-kalem kullandığı dönemlere geri döndüğünü hayal edin! Elbette, bu sistemi felç edecek bir gelişme olur. Genel olarak yaşanmış olaylar incelendiğinde fidye yazılımının kurban makinelere aşağıdaki üç yoldan biri kullanılarak bulaştığı tespit edilmiş:

  1.  Kötü amaçlı bir ek vasıtası ile kimlik avı e-postası aracılığı ile, 
  2. Kötü amaçlı bir linke tıklayan bir kullanıcı aracılığı ile,
  3. Kötü amaçlı yazılım içeren bir reklamın görüntülenmesi ile

Ransomware Örneği: Son dönemlerde birçok hastaneye eski JBoss sunucusu aracılığıyla fidye yazılımı bulaştı. Bu olaylarda saldırgan, personel tarafından kullanılan ortak iş platformu yerine, kurbanın herhangi bir etkileşim gerçekleştirmediği ve güncel olmayan sunucuya kötü amaçlı bir yazılım yükledi. Kaliforniya eyaletindeki Hollywood Presbyterian hastanesi etkilenen hastanelerden biriydi. Bu hastane, dosyalarına ve ağlarına tekrardan erişim ve yetki kazanabilmek için önemli bir fidye ödemek zorunda kaldı.

Ransomware için Öneriler: Antivirüs yazılımlarını güncel tutmak, uygun e-posta filtrelemesini uygulamak ve verilerin güncel yedeklemelerini yapmak ayrıca bu verileri çevrimdışı olarak da saklamak, kurumunuzu fidye yazılımı tehdidine karşı güçlendirmeye ve direnç kazanmaya yardımcı olacaktır.

  1. Sağlık Sektöründe Veri İhlalleri

Son zamanlarda siber saldırıların gerçekleşmesinde tek motivasyon para kazanmak değil. Aşı çalışmalarına yapılan sistematik ve hedefli saldırılarda da görüleceği üzere artık paradan daha değerli olan bir şey hedef alınıyor: Hassas veri ve bilgiler. Veri ihlalinin gerçekleşme senaryosu aslında oldukça tanıdık ve çok da uzak değil. Genellikle kurban seçilen kişiye ücretsiz kredi ya da gerçekçi olamayacak kadar yüksek bir indirim reklamı gibi dikkat çekici tarzda sosyal mühendislik içeren bir e-mail gönderiliyor. Araştırmalara göre, sağlık sektörü bu anlamda diğer tüm sektörlerden daha fazla veri ihlali vakası ile karşılaşıyor. Kimlik bilgilerini çalabilen kötü amaçlı yazılımlar, hasta verilerini bilerek ya da yanlışlıkla ifşa eden bir çalışan, kayıp ya da çalıntı dizüstü bilgisayarlar sorunun kaynağını oluşturabiliyor.

Veri İhlali Örneği: Health Share vakası, yukarıda anlatılan hikâyelerden birinin ve 2020’de sağlık sektöründe yaşanan veri sızıntılarının bir örneğini oluşturuyor. Araştırmalara göre[6], kurumdan çalınan ve 654,000 hastaya ilişkin hasta isimleri, iletişim bilgileri gibi bilgilerin içinde bulunduğu bir dizüstü bilgisayar sızıntının başlıca sebebi. Şirket bu sızıntıdan sonra tedarikçileriyle olan yıllık güvenlik ndenetleme prosedürlerini güncelliyor ve çalışanlara eğitim verme konusuna odaklanıyor.  

Veri İhlalleri İçin Öneriler: Yeterli ve etkin uygulama güvenliği ve ağ güvenliği, bir saldırı gerçekleşmesini engellemek için ilk etapta önemli. Şifreleme ise, saldırganlardan biri sistemlerinize girdikten sonra hastaların verilerine erişilmesini önlemenin en iyi yollarından biri.

  1. Sağlık Sektöründe: DDoS Atakları

Hizmet reddi (DDoS) saldırıları, siber suçlular tarafından bir ağı çalışamayacak hale getirinceye kadar yoğunlaştırmak yöntemiyle kullanılan popüler bir taktik. Bu saldırı çeşidi, hasta bakımını sağlamak için ağa erişmesi gerekilen durumlarda veya e-posta, reçete kayıt ya da bilgi gönderip alabilmek gibi amaçlarla internetin kullanımının zorunlu olduğu anlarda sağlık hizmeti sağlayıcıları için ciddi bir sorun demek. Bazı DDoS saldırıları tesadüfi olabilir. Ancak çoğu durumda, sosyal, siyasal, ideolojik ya da finansal motivasyonlar başlıca saldırı sebepleridir.

DDoS Örneği: 2014 yılında, Boston çocuk hastanesini hedef alan bir DDoS saldırısı gerçekleştirildi. Saldırıyı gerçekleştirmiş olan ve kendini Anonymous üyesi tanıtan kişi hasta haklarının ihlal edildiği iddiasından yola çıkarak, hastanenin ağına DDoS saldırıları düzenledi. Bu saldırı, Harvard Üniversitesi hastanesi ve başka hastaneler dahil olmak üzere bu ağdaki diğer kişilerin internet erişimini kaybetmesine neden oldu. Ağlarda neredeyse bir hafta boyunca kesinti yaşandı; bazı hastalar ve tıbbi personel, test sonuçları, randevuları ve diğer vakaların bilgilerini kontrol edebilmek için sistemleri kullanamadı.

DDoS Saldırılarına Karşı Öneriler: DDos, saldırıları çeşitli şekillerde gerçekleşebilmektedir ve hangi tür saldırının gerçekleştiğini anlayabilmek, saldırıyı en düzgün şekilde hafifletebilmenin önemli bir parçasını oluşturur. Genellikle DDoS saldırılarına karşı savunabilmek için, Upstream Network servisi sağlayıcınız ile etkili bir ortaklık sürdürmelisiniz ya da DDoS azaltma hizmetlerini sağlayan şirketler ile anlaşabilirsiniz.

  1. Kazara ya da Bilinçli: Sağlık Sektörü için İç Tehditler

Kurumlar, genellikle ağlarının bütünlüğünü, erişilebilirlik ve güvenliğini dış tehditlere karşı savunmakla uğraştıkları için, içeriden gelebilecek tehlikeler zaman zaman gözden kaçabilmektedir. Oysa, kurum içerisinden bir kişi, sahip olduğu yasal erişim yetkisiyle,  dışarıya karşı alınmış önlemler gibi zorluklarla karşılaşmadığı için aslında büyük bir tehdit oluşturabilmekte. Ayrıca bu kişiler, sistemin güvenlik açıkları hakkında bilgi sahibi olabilirler. Bilgi sahibi olmasalar dahi, bu bilgiyi dışarıdaki birçok kişiye göre daha kolay elde edebilmeleri de mümkün.

İç Tehdit Örneği : ABD'de Teksas Hastanesinde bir çalışan, kendine rakip olarak gördüğü bir bilgisayar korsanı grubuna saldırmak için hastane ağını kullanarak BotNet inşası gerçekleştirdi ve bu hastaneyi mağdur etti. Saldırgan, hastane ağına sızarken bir video çekti ve daha sonra bunu herkesin görebilmesi için Youtube üzerinden yayına soktu. Yayınlanmış olan videoda, saldırganın hastane ağına sızmak için özel bir şifre/anahtar kullandığı açıkça ortaya çıkmış oldu. Açığa çıkan bilgilere ek olarak, hastanedeki hastalara zarar verebilecek bir arka kapı oluşturduğu da öğrenildi.  

İç Tehditlere Karşı Öneriler: İçerideki bir tehdidin tespit edilebilmesinin en iyi yolu aslında yine içerideki çalışanlardır. Kullanıcılarınızı ya da çalışanlarınızı içeriden gelen bir tehdidi nasıl tanıyacakları ve karşılaştıkları bir durumu nasıl bildirecekleri konusunda eğitirseniz, bu kurum ya da kuruluşunuzu korumanın ilk adımını atmış olursunuz. Kurumları ve çalışanları, bu konularda bilinçlendiren açık kaynak eğitim programları bulunuyor. Bu eğitimler, çalışan kişileri hangi davranışların şüpheli olduğu ve şüpheli davranışın kime, ne zaman ve nasıl bildirilmesi konusunda yönlendiriyor.

Sonuç Yerine: Sağlık Sektöründe Siber Güvenliği Geliştirmek için Bazı Stratejiler:

Sağlık sektörünü hedef alan siber saldırılarının sonuçları olarak doğabilecek veri ihlallerinin ya da sistemsel sorunların ciddi finansal yükleri ve insan hayatın riske atacak sonuçları olabilir.

Bu çerçevede, bu saldırılara karşı dirençlilik kazanmak için bazı stratejiler izlemek mümkün:

  • Güvenlik Kültürünün Önemi: Kuruluşların, gerekli siber güvenlik eğitimlerini çalışanlara verdikten sonra, onların davranış kodlarını olumlu yönde değiştirecek ve tehditlerin gerçek ve daimî olduğunu çalışanlarına hatırlatacak şekilde siber güvenlik kültürü oluşturması elzemdir.
  • Mobil Cihazları Korumak: Küresel trende uyumlu olarak, sağlık çalışanları da iş yerinde giderek artan bir hızla mobil cihazlar kullanıyor. Bu bağlamda, mobil cihazları da varlık yönetimi ve risk değerlendirme mimarilerinin içinde değerlendirmek, şifreleme gibi koruyucu önlemleri alarak, bu cihazlarla ilgili her türlü bilginin güvende olmasını sağlayabilmek de kritik derecede önemlidir.
  • Antivirüs Programı Kullanmak: İnternete bağlı her cihaz için Antivirüs programı kullanılmalıdır. Fakat sadece anti-virüs yazılımını yüklemek korunmak için yeterli olamaz. Tüm sektörlerde olduğu gibi, sağlık sektörü antivirüs programlarını kullanmanın yanı sıra, bu programları da güncel de tutmak zorundadır.
  • Beklenmeyeni Planlamak ve Belirsizliklerle Mücadele: Siber uzay doğası gereği fiziksel dünyadan farklıdır. Bu çerçevede beklenmeyeni planlamak yani olası senaryoları canlandırmak ve belirsizlikleri azaltmak oldukça önemlidir. Örneğin, bir fidye saldırısına karşı, verilerin geri yüklenmesi için, dosyalar ve veriler düzenli olarak ve güvenli platformlarda yedeklenmelidir. Yedeklenmiş bilgiler ise ana sistem ve networklerden uzakta saklamalıdır.
  • Güçlü Şifre Politikası: Verizon’un raporuna göre doğrulanmış veri ihlallerinin yüzde 63’ünden zayıf ve ele geçirilmiş olan parolalar sorumlu. Sağlık sektöründe faaliyet gösterenler yalnızca güçlü parolalar kullanmamalı, ayrıca, düzenli olarak bu parolaları değiştirmelidir.
  • Network Erişiminin Sınırlandırılması: Mevcut sistemlere herhangi bir yazılım veya uygulama eklenecekse, bu işlemler organizasyon yetkililerinin izni olmadan herhangi bir personel tarafından kurulmamalıdır.
  • Fiziksel Erişimin Kontrol Edilmesi: Verilerin çalınması için tek giriş noktası siber ortam değildir. Dizüstü bilgisayarların çalınması ya da ele geçirilmesi örneğinde olduğu gibi, fiziksel cihazlar ya da donanımlar çalındığında da verilerin ihlali gerçekleşebilir. Bu çerçevede, korunan bilgileri içeren bilgisayar ve diğer türden elektronik cihazların, güvenli olduğu düşünülen alanlarda tutulması gerekmektedir.

Dipnotlar:

[1]   https://www.theguardian.com/world/2020/dec/03/cyberspies-target-covid-vaccine-cold-chain-distribution-network

[2]   https://www.techrepublic.com/article/security-firm-identifies-5-biggest-cybersecurity-risks-for-hospitals-and-healthcare-organizations/

[3]https://uk.reuters.com/article/uk-healthcare-coronavirus-astrazeneca-no/exclusive-suspected-north-korean-hackers-targeted-covid-vaccine-maker-astrazeneca-sources-idUKKBN28719Y

[4] https://fortune.com/2020/09/18/ransomware-police-investigating-hospital-cyber-attack-death/

[5] https://conferences.law.stanford.edu/cyberday/wp-content/uploads/sites/10/2016/10/2b_Verizon_Data-Breach-Investigations-Report_2016_Report_en_xg.pdf

[6]https://healthitsecurity.com/news/the-10-biggest-healthcare-data-breaches-of-2020-so-far

Faydalanılan Kaynaklar:

https://www.hipaajournal.com/category/healthcare-cybersecurity/

https://healthinformatics.uic.edu/blog/cybersecurity-how-can-it-be-improved-in-health-care/

https://www.cisecurity.org/blog/cyber-attacks-in-the-healthcare-sector/

https://www.draeger.com/en_seeur/Hospital/Cybersecurity-In-Healthcare

 

Derleyen: Ceyda Nur Kahya