SEKTÖR / NİSAN 2016
Bir Kaspersky Lab Global Araştırma ve Analiz Ekibi uzmanı, güvenlik açıklarını ve bunların nasıl giderileceğini keşfetmek için özel bir klinikte gerçek bir saha araştırması yürüttü. Tıbbi cihazlarda hastaların kişisel verilerinin çalınmasının yanı sıra tibbi cihazların kullanımına yönelik de riskler yaratabilecek çok ciddi açıklar bulundu. Kaspersky’den yapılan açıklamada şu uyarılarda bulunuldu:
“Klinikler hastaları hakkında kişisel bilgiler saklar. Ayrıca, çok pahalı ve tamir etmesi ve değiştirmesi güç olan ekipman kullanmaları, şantaj ve veri hırsızlığı için boy hedef haline gelmelerine neden olabilir.
• Tıbbi bir kuruluşa yönelik başarılı bir siber saldırının sonuçları detaylarda değişebilir ancak her zaman tehlikeli bir durumdur. Burada aşağıdakiler söz konusu olabilir:
• Hasta kişisel verilerinin hırsızlık amacıyla kullanılması: bilgilerin üçüncü taraflara satılması veya klinikten hastalarla ilgili hassas bilgilerin iadesi için fidye istenmesi;
• Hastalarla ilgili analiz sonuçlarının ve teşhislerin kasıtlı olarak çarpıtılması;
• Tıbbi cihazlarda oluşabilecek hasar; bu, hastalara fiziksel olarak zarar verebileceği gibi kliniğin de büyük mali kayıplara uğramasına yol açar;
• Shodan arama motoru üzerinden internete bağlı cihazlar üzerinde yapılan hızlı bir tarama MRI tarayıcılarından kardiyoloji ekipmanına, radyoaktif tıbbi ekipmandan diğer kayıtlı ilgili cihazlara yüzlerce cihazı ortaya çıkardı. Bu bulgu, kaygı verici bazı sonuçlar doğuruyor: bu cihazlardan bazıları hala Windows XP gibi kapatılmamış açıkları olan eski işletim sistemlerinde çalışıyor, bazılarınınsa herkese açık kılavuzlardan kolayca bulunabilecek öndeğer parolaları var. Bu açıklardan yararlanan suçlular, bir cihazın arayüzüne erişip cihazın çalışma biçimini etkileyebilir.
Klinikler artık yalnızca doktorlar ve tıbbi cihazlardan oluşmuyor; BT hizmetlerini de kapsıyor. Bir kliniğin dahili güvenlik hizmetlerinin işlerliği, hasta verilerinin güvenliğini ve cihazların çalışırlığını etkiliyor. Tıbbi yazılım ve ekipman mühendisleri, hastaların hayatını kurtaracak ve koruyacak yararlı tıbbi cihazlar tasarlamak için büyük çaba harcıyor, ancak bazen bu cihazları yetkisiz erişimden korumayı tamamen unutabiliyorlar. İş yeni teknolojilere geldiğinde, güvenlik sorunları araştırma ve geliştirme (ARGE) sürecinin daha ilk aşamasında ele alınmalı.
NE YAPMALI?
Kaspersky Lab uzmanları, klinikleri yetkisiz erişimden korumak için aşağıdaki önlemlerin hayata geçirilmesini öneriyor:
Tüm dış bağlantı noktalarını korumak için güçlü parolalar kullanın;
BT güvenlik politikalarını güncelleyin: zamanında yazılım düzeltmesi yükleme yönetimi ve güvenlik açığı değerlendirmeleri geliştirin;
Yerel ağdaki tıbbi cihaz uygulamalarını, güvenilen bölgeye yetkisiz erişim durumundan korumak için parolalarla koruyun;
Altyapıyı sağlam güvenlik çözümleriyle kötü amaçlı yazılım ve hekleme saldırıları gibi tehditlerden koruyun;
Kritik bilgileri düzenli aralıklarla yedekleyin ve çevrimdışı bir yedek kopyası tutun.”
