Siber Muhbir

OCR, 1996 tarihli Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası'nı (HIPAA) değiştirmeyi amaçlayan teklifin, kritik altyapının siber güvenliğini desteklemek için daha geniş bir girişimin parçası olduğunu söyledi.

Kural, HIPAA Güvenlik Kuralı'nın standartlarını "sağlık sektörüne yönelik sürekli artan siber güvenlik tehditlerini daha iyi ele almak" için güncelleyerek elektronik korumalı sağlık bilgileri (ePHI) için korumaları güçlendirmek için tasarlanmıştır.

Bu amaçla, teklif, diğer şeylerin yanı sıra, kuruluşların teknoloji varlık envanterini ve ağ haritasını gözden geçirmesini, elektronik bilgi sistemleri için tehdit oluşturabilecek potansiyel güvenlik açıklarını belirlemesini ve belirli ilgili elektronik bilgi sistemlerinin ve verilerinin kaybını 72 saat içinde geri yüklemek için prosedürler oluşturmasını gerektiriyor.

Diğer dikkate değer maddeler arasında en az 12 ayda bir uyumluluk denetimi yapılması, ePHI'nin beklemede ve aktarım sırasında şifrelenmesini zorunlu kılmak, çok faktörlü kimlik doğrulama kullanımını zorunlu kılmak, kötü amaçlı yazılımdan koruma sağlamak ve ilgili elektronik bilgi sistemlerinden yabancı yazılımları kaldırmak yer alıyor.

Önerilen Kural Koyma Bildirimi (NPRM) ayrıca sağlık kuruluşlarının ağ segmentasyonu uygulamasını, yedekleme ve kurtarma için teknik kontroller kurmasını ve ayrıca en az altı ayda bir güvenlik açığı taraması ve en az 12 ayda bir sızma testi yapmasını gerektirir.

Gelişme, sağlık sektörünün fidye yazılımı saldırılarıyla kazançlı bir hedef olmaya devam etmesi, yalnızca finansal risk oluşturmakla kalmayıp aynı zamanda teşhis ekipmanlarına ve hasta tıbbi kayıtlarını içeren kritik sistemlere erişimi kesintiye uğratarak hayatları riske atmasıyla ortaya çıktı.

Microsoft, Ekim 2024'te "Sağlık kuruluşları son derece hassas verileri toplar ve depolar, bu da muhtemelen tehdit aktörlerinin fidye yazılımı saldırılarında onları hedef almasına katkıda bulunur" dedi. "Ancak, bu tesislerin risk altında olmasının daha önemli bir nedeni, büyük finansal ödemeler potansiyelidir."

"Fidye yazılımlarından etkilenen hastanelerin yakınında bulunan sağlık tesisleri de etkileniyor çünkü bakıma ihtiyacı olan hastaların sayısında bir artış yaşıyorlar ve onları acil bir şekilde destekleyemiyorlar."

Siber güvenlik şirketi Sophos tarafından derlenen verilere göre, sağlık kuruluşlarının %67'si 2024'te fidye yazılımlarından etkilendi, bu oran 2021'de %34'tü. Bu olayların çoğunun arkasındaki temel neden, istismar edilen güvenlik açıklarına, güvenliği ihlal edilmiş kimlik bilgilerine ve kötü amaçlı e-postalara kadar uzanıyor.

Ayrıca, verileri şifrelenmiş sağlık kuruluşlarının %53'ü erişimi yeniden sağlamak için fidye ödedi. Ortalama fidye ödemesi 1,5 milyon dolardı.

Sağlık kuruluşlarına yönelik fidye yazılımı saldırılarının oranındaki artış, kurbanların yalnızca %22'sinin bir saldırıdan bir hafta veya daha kısa sürede tamamen iyileşmesiyle daha uzun kurtarma süreleriyle de tamamlandı ve bu 2022'deki %54'ten önemli bir düşüş.

"The highly sensitive nature of healthcare information and need for accessibility will always place a bullseye on the healthcare industry from cybercriminals," Sophos CTO John Shier said. "Unfortunately, cybercriminals have learned that few healthcare organizations are prepared to respond to these attacks, demonstrated by increasingly longer recovery times."

Last month, the World Health Organization (WHO), a United Nations agency focused on global public health, characterized the ransomware attacks on hospitals and healthcare systems as "issues of life and death" and called for international cooperation to combat the cyber threat.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.