Geçtiğimiz günlerde İngiltere'de hastanelere düzenlenen siber saldırı sağlık hizmetlerini aksatırken, başkent Londra'da ameliyatların iptal edildiği bildirildi. Peki sağlık hizmetlerinde bu sorun ne kadar büyük?
İngiltere'nin başkenti Londra'daki büyük hastanelere laboratuvar hizmetleri sağlayan patoloji hizmet sağlayıcısı Synnovis'e yapılan fidye yazılımı saldırısı, test sonuçları gibi hizmetleri olumsuz etkileyerek kan nakli ve ameliyatların ertelenmesine neden oldu.
Synnovis'ten yapılan açıklamada, söz konusu saldırının “önemli bir etkiye” sahip olduğu ve “bu tür bir saldırının herhangi bir zamanda herkesin başına gelebileceğinin açık bir hatırlatıcısı” olduğu belirtildi.
Öte yandan NHS, olayın veriler üzerindeki etkisini henüz tam olarak belirleyemedi.
Bir NHS yetkilisi Perşembe günü yaptığı açıklamada, “Tüm acil servisler her zamanki gibi açık ve ayakta tedavi hizmetlerinin çoğu normal şekilde devam ediyor” dedi.
“Ne yazık ki, patoloji hizmetleriyle daha yakından ilişkili bazı operasyonlar ve prosedürler ertelendi” dedi ve acil durumlarda kan testlerine öncelik verildikçe diğer randevuların iptal edildiğini belirtti.
Bir bilgisayardaki veya ağdaki dosyaları şifreleyen ve bunların şifresini çözmek için fidye talep eden bir tür kötü niyetli bilgisayar saldırısı olan fidye yazılımı saldırısı, genellikle ciddi hasara ve ciddi veri kaybına neden olabilir. Uzmanlar, bu saldırıların sağlık hizmetleri siber olaylarında artan bir eğilimi yansıttığını söylüyor.
Bilgisayar korsanlarının gözü Avrupa sağlık sektöründe
Avrupa Siber Güvenlik Ajansı (ENISA) sözcüsü Laura Heuvinck, Euronews Health'e şunları söyledi: “Dijitalleşmenin saldırı yüzeyini genişletmesi ve kimlik avı ve fidye yazılımı saldırılarında artışa yol açması nedeniyle sağlık sektörü giderek daha fazla hedef alınıyor.”
Fidye yazılımı saldırıları, Ocak 2021'den Mart 2023'e kadar sektördeki siber olayların %54'ünü oluşturdu ve geçen yıl yayınlanan ENISA raporuna göre “sağlık sektöründeki en büyük tehdit” olarak kabul ediliyor. Buna rağmen kurum, 2023 yılında sağlık kuruluşlarının yalnızca %23'ünün özel bir fidye yazılımı programına sahip olduğunu belirtti.
Sağlık sektörünün ana hedef olduğu COVİD-19 salgını döneminin bir bölümünü kapsayan rapor, fidye yazılımı saldırılarının ardındakilerin çoğunun mali kazanç elde ettiğini ortaya çıkardı.
Bir kurum sözcüsü, “Saldırılar genellikle elektronik sağlık kayıtları gibi hasta verilerini hedef alıyor ve bu veriler daha sonra dolandırıcılık, kimlik hırsızlığı veya hassas verileri gasp etmek için kullanılıyor” dedi.
AB sağlık çalışanları ve hastaneleri, sağlık otoriteleri ve ilaç endüstrisine kıyasla saldırılardan özellikle etkilendi.
Fransız Dijital Sağlık Ajansı'nın geçen ay yayınladığı raporda, 2023 yılında sağlık sektöründe 581 siber saldırının rapor edildiği ve bunların en az yarısının kötü niyetli olduğu belirtilmişti. Ancak aynı zamanda yılın “büyük olaylarda önemli bir azalma ve hasta bakımını etkileyen olayların sayısında istikrar” ile karakterize edildiğini de belirttiler.
Kuruluşların yaklaşık %53'ü bir siber olayın operasyonları üzerinde hiçbir etkisi olmadığını söylerken analistler, bilgi sistemlerinin proaktif olarak izlenmesinin siber saldırıların etkisini zayıflatmaya yardımcı olduğunu belirtti.
Yazılım şirketi Emsisoft'un bu yıl yayınladığı rapora göre, 2023 yılında Amerika Birleşik Devletleri'ndeki (ABD) hastanelere yönelik fidye yazılımı saldırılarında artış yaşandı.
Emsisoft, fidye yazılımı saldırılarının geçen yıl 140'tan fazla hastaneyi kapsayan 46 ABD hastane sistemine saldırdığını ve en az 32 hastane sisteminden sağlık verilerinin çalınmasıyla sonuçlandığını söyledi.
Sağlık sektörü neden hedefleniyor?
İngiltere'deki Surrey Üniversitesi'nden siber güvenlik uzmanı Alan Woodward, hastanelerin sistemlerini daha “açık” hale getirdiğini, çünkü “çok sayıda tedarikçiyle iletişim kurmayı amaçladıklarını” ve bu nedenle risk altında olabileceklerini söyledi.
Uzmana göre, bağlantı sayısı arttıkça saldırı alanı da genişliyor ve suçluların sisteme sızma fırsatları da artıyor.
“Bir hastane ile sakinleri arasında her gün gidip gelen e-postaların sayısını düşünün. Kötü amaçlı yazılım içeren tek bir e-posta yeterli olur ve bu e-posta yayılır” dedi.
REKLAMBenzer bir saldırı 2017 yılında İngiltere'de yaşanmıştı. WannaCry olarak bilinen küresel yazılım saldırısından 80 hastane tesisi etkilenmişti.
Imperial College London tarafından yapılan analiz, bu büyük siber saldırının, iptal edilen randevular ve hastaların hayat kurtarıcı tedavilerindeki gecikmeler nedeniyle NHS'ye yaklaşık 6 milyon £'a (7 milyon Euro) mal olduğunu ortaya koyuyor.
Woodward, “Sonuç olarak suçlular umursamıyor. Kimi vurduklarını gerçekten umursamıyorlar” dedi. “Sanırım akıllarındaki düşüncenin bir kısmı şu: Eğer kritik şeylere saldırırsak, insanlar buna sahip olmak zorunda oldukları için ödeme yapma olasılıkları daha yüksek olabilir…”
Sorunun bir diğer boyutu ise hastane kaynaklarının şu anda sınırlı olmasıdır.
Hastanelerin en güncel yazılıma sahip olmak için zaman ve kaynak bulmakta zorlandıklarına dikkat çeken uzman, “Bilgi teknolojisi onların ana işi değil ama ona oldukça bağımlılar” dedi.
REKLAMHastaneler saldırıları önlemek için neler yapabilir?
Woodward, çoğu hastanenin artık saldırıya uğrayıp uğramayacağının değil, “ne zaman” saldırıya uğrayacaklarının gerçekliğine hazırlandığını belirtiyor.
İnsanların bir siber saldırı durumunda kimi arayacaklarını ve hangi eylemleri gerçekleştireceklerini bilmeleri gerekiyor.
Fidye yazılımlarının genellikle “birilerini kandırarak” sisteme girdiğini kaydeden Woodward, şöyle konuştu: “Siber güvenlik söz konusu olduğunda kimse mağduru suçlamamalı. Kuruluşların asıl yapması gereken şey, bunun nasıl olabileceğine dair defalarca farkındalık eğitimleri vermektir”.
Bu eğitimlerle siber saldırı durumunda nelere dikkat edilmesi gerektiğinin öğrenilebileceğini belirten uzman, tüm giriş süreçlerinde çok faktörlü kimlik doğrulamanın yapılması gerektiğini ve eğitimin şifre hijyenini de içermesi gerektiğini vurguladı.
Uzmanlar, siber saldırı durumunda fidye ödememenin önemli olduğunu söylüyor ve bu tür ödemelerin uluslararası alanda yasaklanması için baskı yapıyor.
REKLAMSophos'un 2022 yılında 31 ülkede gerçekleştirdiği araştırmaya göre sağlık sektörü en çok fidye ödeyen sektör ama aynı zamanda en az ödeyen sektör.
Emsisoft'ta tehdit analisti olan Brett Callow, bu yılın başlarında bir blog yazısında şöyle yazmıştı: “Tek çözüm, tazminat ödemelerini tamamen yasaklayarak saldırganları finansal olarak caydırmaktır. Bu noktada işe yaraması muhtemel tek yaklaşım, yasaklamadır.”
Woodward fidyeyi ödememenin önemini de vurgulayarak şunları ekledi: “Tavsiyemiz lütfen ödeme yapmayın, çünkü bunu yapmak suçluları cesaretlendirecek ve verilerinizin kurtarılmasını garanti etmeyecektir.”
