Neredeyse her gün finansal kayıpların yaşandığı onlarca fidye saldırı haberi alıyoruz. Ancak aşağıda paylaştığım iki haber maalesef fidye saldırılarının insan sağlığına nasıl direkt etkilerinin olabileceğini gösteriyor. Üzücü ve can sıkıcı haberler olmasına rağmen özellikle sağlık sektöründe faaliyet gösteren kuruluşların siber güvenlik konusunda farkındalıklarının artırılması açısından paylaşmanın önemli olduğunu düşünüyorum.
İlk haber, 17 Eylül 2020 tarihinde Düseldorf üniversite hastanesine düzenlenen bir fidye saldırısı ile ilgili. Saldırı sırasında hastanenin bir çok sunucusu şifrelenerek operasyon dışında kalmış olması sebebi ile hastanenin acil hastaları kabul edemediği belirtiliyor. Bu sırada hastaneye gelen bir kadın hastanın kabul edilemeyerek 32 km mesafede farklı bir hastaneye yönlendirilmesi sonucunda kadın hastanın yolda öldüğü belirtiliyor. Düseldorf polisinin saldırganlarla iletişime geçtiği ve saldırganların aslında üniversiteyi hedef aldığı belirtiliyor. Saldırganlar durumu fark edince saldırılarını geri çekerek şifrelenen sunucuların anahtarlarını yetkililere iletmişler. Alman makamları hala bu kadının ölümünü araştırıyor. Ölümünden başka bir hastaneye yönlendirilmesinin sorumlu olduğu tespit edilirse, polis siber saldırıyı cinayet olarak değerlendirebilir. Haberin detayına bu adresten ulaşabilirsiniz.
Ikinci haber 17 Temmuz 2019 tarihinde Amerika Alabama Springhill Tıp Merkezinde yaşanan bir olay. Alabama’lı bir kadın, bebeğin ölümünden kendisine haber verilmeyen bir siber saldırı sırasında hastanedeki bakım imkanlarının azalmasının sorumlu olduğunu öne sürerek, vefat eden kızının doğduğu hastane ve bebeği doğuran doktor hakkında dava açtığı belirtiliyor. Davayı açan Annenin, saldırı sırasında elektronik cihazların arızalanması sonucu, doktorun doğum sırasında çocuğun durumunu düzgün bir şekilde izleyemediğini ve bebeğinin bu nedenle öldüğünü iddia ettiği belirtiliyor. Haberlerde belirtilen diğer bir konuda hastane yönetiminin ilgili siber saldırıyı hastaları ile paylaşmamış olmaları. Eğer bu bilgi paylaşılmış olsa anne doğum için farklı bir hastaneye gidebileceğini belirtmiş. Haberin detayına bu adresten ulaşabilirsiniz.
Sağlık kuruluşlarının her iki olaydan çıkartacağı çok ders var. Her sağlık kuruluşu siber saldırılara karşı olmazsa olmaz almaları gereken önlemleri eksiksiz almış olmaları gerekiyor. Aldıkları bu önlemlerin yeterli olup olmadığını bağımsız bir kuruluşa mutlaka denetletmelidirler. Ayrıca resmi kuruluşların da etkin bir denetim mekanizması oluştururak bu önlemlerin etkinliğini mutlaka denetlemedirler.
Fidye saldırılarından korunmak için öneriler;
- Kuruluşun kritik verilerinin en az üç kopya yedeği alınmalı. Bu yedeklerin en az bir kopyası kuruluş dışında uzak bir lokasyonda saklanmalı ve düzenli olarak bu yedeklerden dönüş testleri yapılmalı.
- Fidye saldırılarının izlediği iki temel yol var. Bir tanesi internet tarayıcıları diğer elektronik postalar. Sağlık kuruluşu çalışanları internet erişimlerinde mutlaka tarayıcı izolasyonu kullanılmalıdır. Bağlantı adresini verdiğim daha önce hazırladığım yazıda detayı yer almaktadır.
- Fidye saldırılarında kullanılan en yaygın yöntem oltalama mesajlarıdır. Kullanıcılar kendilerine gelen elektronik posta ekinde bulunan zararlı dosyaları açmaları sonucu ilgili zararlı, kuruluş bilgisayar altyapısına yerleşir. Sonrasında zararlı, kuruluşun tüm bilgisayar altyapısına sızarak kritik verileri keşfedip sonrasında şifreler! Radikal önlem kuruluş içi elektronik posta kullanılmaması! Peki elektronik posta olmazsa nasıl haberleşeceğiz? Burada kurumsal uygulamalar ve uygulama içi anlık mesajlaşma imkanlarının değerlendirilebilir. Kullanıcılar mutlaka elektronik posta kullanmaları gerekiyor ise tarayıcı izolasyonu gibi bir yöntemle elektronik posta izolasyonu uygulanabilir.
- Sağlık kuruluşunda bulunan tıbbi cihazlar (Radyoloji cihazları,…), BT altyapı kaynakları (sunucular, ağ cihazları, uygulamalar,…) direkt internete açılmamalıdır!
- Bir çok sağlık kuruluşu tıbbi cihazlarda olabilecek arızalar için cihaza destek veren firmaların erişimleri için VPN hesapları vermektedir. VPN teknolojisi bir çok zafiyete sahip olması nedeni ile bunun yerine Zero Trust prensiplerinde çalışan SDP (software defined perimeter) çözümleri tercih edilmelidir.
- Benzer şekilde sağlık kuruluşları kendi çalışanlarının güvenli uzaktan erişimleri için VPN yerine SDP çözümlerini tercih etmelidirler.
- Sürekli sızma testi hizmeti alınmalıdır. Burada sürekli sızma testi yapan araçlar kullanılabileceği gibi bünyesinde yüzlerce siber güvenlik analisti ile bugbounty hizmeti veren şirketlerden de destek alınabilir.
Her sağlık kuruluşu gelirinin belirli bir oranını siber güvenlik harcamalarına ayırmalıdır. Bu oran kuruluşun büyüklüğü, altyapısında kullanılan teknoloji kullanım yoğunluğu ile doğru orantılıdır. Ülkemizde bu istatistikleri bulmak mümkün olmasa da Avrupa ve Amerika da yapılan araştırmalarda ortalama bir sağlık kuruluşunun BT harcama oranı yıllık toplam gelirinin %3-%6 aralığında değiştiği belirtiliyor. Bu harcamanın da en az %5-%10 aralığındaki kısmı Siber Güvenlik için harcanmalıdır.
%100 güvenliğin olmadığı bilinci ile özellikle insan sağlığını tehlikeye atacak ve veri kayıplarına sebep olacak siber saldırılar için önlemlerinizi olabildiğince almanızı ve bu önlemlere hiç ihtiyacınızın olmamasını dilerim.
