HSE, Tullamore Hastanesi'ne Yapılan Fidye Yazılımı Saldırısının Ardından 300 Bin Avro Para Cezasına Çarptırıldı

HSE, Tullamore Hastanesi'ne Yapılan Fidye Yazılımı Saldırısının Ardından 300 Bin Avro Para Cezasına Çarptırıldı

İrlanda Veri Koruma Komisyonu (DPC), Offaly Kontluğu'ndaki Midlands Bölge Hastanesi Tullamore'da yaşanan bir sağlık hizmeti fidye yazılımı hasta verisi ihlalinin ardından Sağlık Hizmetleri İdaresi'ne (HSE) 300.000 Avro para cezası verdi. Saldırı, hastanenin laboratuvar bilgi sistemini hedef aldı ve yaklaşık 84.000 kişinin kişisel verilerini tehlikeye attı. DPC'nin nihai kararı, olayla ilgili resmi soruşturmanın sonuçlandığını gösteriyor ve kamu sağlık kuruluşlarına siber güvenliği bir BT sonradan düşüncesi olarak değil, temel bir operasyonel sorumluluk olarak ele almaları yönünde artan düzenleyici baskının sinyalini veriyor.

HSE Fidye Yazılımı Saldırısı Hastane Siber Güvenliği Hakkında Neleri Ortaya Çıkardı

Tullamore olayı, HSE bünyesinde münferit bir vaka değil. İrlanda sağlık hizmeti, Mayıs 2021'de, yaygın bir fidye yazılımı saldırısının HSE'yi ülke çapında düzinelerce hastanede tüm BT altyapısını kapatmaya zorladığı, Avrupa'nın en hasar verici kamu sektörü siber saldırılarından birini yaşadı. Conti fidye yazılımı grubuna atfedilen bu saldırı, hasta bakımında haftalarca süren aksamalara neden oldu ve iyileştirme maliyeti yüz milyonlarca Avro'yu buldu.

Tullamore ihlali, kapsam olarak daha dar olsa da, fidye yazılımı operatörlerinin her zaman tam ağ ele geçirmeyi hedeflemediğini gösteriyor. Tek bir laboratuvar bilgi sistemini hedeflemek, geniş çaplı bir ağ kapatmaya kıyasla tespit edilmesi daha zor olmakla birlikte, yine de muazzam hacimlerde hassas veri elde edilmesini sağlayabilir. DPC'nin resmi bir soruşturma başlatma ve önemli bir para cezası verme kararı, düzenleyici kurumun HSE'nin bu belirli sistemi koruma biçiminde, yalnızca tek seferlik bir teknik arızadan ziyade, sistematik eksiklikler bulduğunu gösteriyor.

Avrupa genelindeki sağlık kuruluşları için bu dava net bir mesajı pekiştiriyor: Veri ihlallerine yönelik GDPR para cezaları artık teorik değil. Düzenleyiciler, kendileri de suç saldırılarının mağduru olsalar bile, kamu kurumlarını sorumlu tutmaya istekli.

84.000 Hastanın Laboratuvar Verisi Neden Özellikle Hassas

Tüm kişisel veriler eşit risk taşımaz. Laboratuvar verileri, kan testi sonuçları, tanısal belirteçler, genetik bilgiler, HIV veya CYBE durumu ve kronik hastalık göstergelerini içerebildiği için hassasiyet ölçeğinin en üst sıralarında yer alır. Sızdırılmış bir e-posta adresi veya telefon numarasının aksine, bu bilgiler değiştirilemez. Bir kez ifşa olduğunda, yıllarca sigorta ayrımcılığı, şantaj veya sosyal zarar için kullanılabilir.

Tullamore'da kayıtları etkilenen hastaların, verilerinin fidye yazılımı operatörlerinin erişebileceği bir ağa bağlı bir sistemde tutulduğundan haberi olmayabilir. Bu, İrlanda'nın çok ötesine uzanan yapısal bir sorundur. Hastaneler, ağ güvenliği düşünülerek tasarlanmamış eski sistemleri rutin olarak çalıştırır ve laboratuvar platformları bunun en iyi örneğidir. Genellikle bağımsız cihazlar olarak satın alınır, yıllar sonra daha geniş ağlara entegre edilir ve nadiren hasta odaklı sistemlerle aynı güvenlik incelemesinden geçerler.

Bu, finans ve perakende sektörlerindeki kuruluşlar savunmalarını önemli ölçüde güçlendirmiş olsa bile, sağlık hizmeti veri ihlallerinin hem sıklık hem de ciddiyet bakımından diğer sektörleri geride bırakmaya devam etmesinin nedenlerinden biridir.

Fidye Yazılımı Sağlık Ağlarını Nasıl Hedef Alır ve Hastaneler Neden Savunmasızdır

Fidye yazılımı operatörleri sağlık hizmetlerini birbiriyle örtüşen birkaç nedenden dolayı hedef alır. Veriler değerlidir. Kuruluşlar operasyonları hızla eski haline getirme baskısı altındadır, bu da onları ödeme yapmaya daha yatkın hale getirir. Ve kritik olarak, birçok hastane ağının güvenlik duruşu, depoladıkları şeyin hassasiyetine göre zayıf kalmaya devam etmektedir.

Hastane ağları, birçoğu güncel olmayan işletim sistemleri veya donanım yazılımı çalıştıran çok sayıda bağlı cihazla karakterize edilir. Tıbbi cihazlar, görüntüleme ekipmanları ve özel tanı sistemleri, satıcı müdahalesi veya klinik ekiplerin karşılayamayacağı ekipman kesintisi olmadan genellikle yamalanamaz. Bu, sofistike tehdit aktörlerinin, güvenlik araştırmacıları tarafından tespit edildikten çok sonra bile istismar edebileceği kalıcı güvenlik açıkları yaratır.

Kimlik avı, en yaygın ilk erişim vektörü olmaya devam etmektedir. Tek bir personelin bir e-postadaki zararlı bağlantıya tıklaması, bir saldırganın hasta veritabanları veya Tullamore'da olduğu gibi laboratuvar platformları gibi yüksek değerli sistemlere ulaşana kadar ağda yatay olarak hareket etmesi için gereken dayanağı sağlayabilir. Fidye yazılımının kurumsal ağlarda nasıl yayıldığını anlamak, sağlık BT ortamlarında çalışan veya bunları yöneten herkes için temel bir bağlamdır.

HSE'ye verilen DPC cezası, bu maruziyetin bir kısmının önlenebilir olduğunu zımnen kabul etmektedir. Soruşturmanın spesifik teknik bulguları tam olarak yayınlanmamış olsa da, düzenleyici kurumlar yaptırım eylemlerini tipik olarak erişim kontrolü, ağ bölümlendirmesi ve olay müdahale hazırlığındaki başarısızlıklara odaklar.

Bu Sizin İçin Ne Anlama Geliyor: Hastalar ve Sağlık Çalışanları İçin Pratik Adımlar

Eğer bir hastaysanız, en acil adım farkındalıktır. Midlands Bölge Hastanesi Tullamore'da bakım aldıysanız ve bu ihlal hakkında bilgilendirilmediyseniz, HSE'den gelecek tüm iletişimleri yakından takip edin. Sağlık geçmişinize atıfta bulunan sigortacılardan, işverenlerden veya bilinmeyen taraflardan gelen olağandışı temaslara karşı dikkatli olun, çünkü bu, verilerinizin kötü niyetle kullanıldığını gösterebilir.

Sağlık çalışanları için, özellikle klinik sistemlere birden fazla konumdan veya paylaşımlı ağlardan erişenler için risk yüzeyi çoğu insanın fark ettiğinden daha geniştir. Hastane veya klinik Wi-Fi ağlarında VPN kullanmak, bağlantınıza bir şifreleme katmanı ekleyerek kimlik bilgisi ele geçirme riskini azaltır. Bu, özellikle hasta yönetim veya laboratuvar sistemlerine uzaktan veya paylaşımlı terminaller aracılığıyla giriş yapan personel için geçerlidir.

Sağlık BT ekipleri ve yöneticileri için Tullamore vakası net bir öncelikler listesi sunuyor:

• Ağ bölümlendirmesi: Laboratuvar sistemlerinin ve diğer özel platformların, genel personel ağlarından doğrudan erişilemeyen izole ağ segmentlerinde yer almasını sağlayın.
• Erişim kontrollereri: En az ayrıcalık ilkesini uygulayın, yani kullanıcılar ve sistemler yalnızca gerçekten ihtiyaç duyduklarına erişebilmelidir.
• Yama yönetimi: Satıcı koordinasyonu gerektiğinde bile, tıbbi ve laboratuvar sistemlerindeki güvenlik açıklarını belirlemek ve ele almak için resmi bir süreç oluşturun.
• Olay müdahale planlaması: Tehlikeye giren sistemleri izole etmek ve GDPR'nin 72 saatlik penceresi içinde düzenleyicilere bildirimde bulunmak için test edilmiş, belgelenmiş bir plana sahip olun.
• Personel eğitimi: Düzenli, gerçekçi kimlik avı simülasyon eğitimi, ilk ele geçirme olasılığını azaltır.

HSE'ye verilen 300.000 Avro'luk para cezası ciddi bir yaptırımdır, ancak büyük bir sağlık hizmeti fidye yazılımı hasta verisi ihlalinin itibar ve operasyonel maliyetleri herhangi bir düzenleyici yaptırımın çok ötesindedir. Tullamore'da laboratuvar sonuçları ifşa olan 84.000 kişi için sonuçlar kişisel ve potansiyel olarak kalıcıdır.

Bir sağlık ortamında çalışıyorsanız veya düzenli olarak bulunuyorsanız, kendi veri hijyeni uygulamalarınızı gözden geçirmek için zaman ayırın. Eriştiğiniz herhangi bir hasta portalı veya klinik sistem için güçlü, benzersiz parolalar kullanın. Mümkün olan yerlerde iki faktörlü kimlik doğrulamayı etkinleştirin. Ve tamamen kontrol etmediğiniz herhangi bir ağa bağlanırken saygın bir VPN kullanmayı düşünün. Tutarlı bir şekilde uygulanan küçük alışkanlıklar, gerçek dünya güvenlik sonuçlarında anlamlı farklar yaratır.