Tıbbi Cihazlarda Siber Güvenlik
Yazılımın kontrol edilemeyen güç olduğu bu zamanlarda, tıbbi cihaz sektöründeki firmalar için ürünlerin siber güvenliğini sağlamak gün geçtikçe zorlaşıyor. On yıldan fazla bir süredir sağlık hizmetleri, veri ihlallerinin en büyük hedefi olduğu için tıbbi cihazları korumaya yönelik alınan siber güvenlik önlemleri arttırılmalıdır.
Siber güvenlik tehditlerin nereden geldiği ve nasıl durdurulacağı hakkında daha fazla anlayışa ihtiyaç vardır. Sağlık sektörü; hasta sağlığı, ürün performansı veya aynı ağa bağlı diğer cihazlardan gelen veriler gibi çok sayıda sağlık bilgisine sahip olduğu için siber saldırıların birincil hedefi olmuştur. Tüm teknolojilerde olduğu gibi, bir tıbbi cihazın sahip olduğu yazılımdan dolayı siber tehditlere ve saldırılara karşı hazırlıklı olunmalıdır. Tıbbi cihazlar herhangi bir durumda kendini koruyabilecek alt yapıya sahip olacak şekilde yapılandırılmalıdır.
2017 yılında NHS’ye (Ulusal Sağlık Hizmeti) saldırılmasıyla tıbbi cihazlarda çok fazla önemsenmeyen siber güvenlik eksikliği ön plana çıkmış oldu. “WannaCry“ siber saldırısının NHS üzerindeki etkilerini saptamak için yapılan sistematik analizler sonucu, potansiyel olarak ciddi etkilere neden olduğu görüldü. Bazı kaynaklara göre, karmaşık olmayan bir saldırıydı. NHS tarafından temel BT güvenliği en iyi uygulamaları izlenerek önlenebilirdi.
Ulusal Denetim Ofisi başkanı Amyas Morse, “Ortada WannaCry’den daha karmaşık siber tehditler var. Bu nedenle, Bakanlık ile NHS, Ulusal Sağlık Hizmeti’nin gelecekteki saldırılara daha iyi karşı koyabilmesi için birlikte hareket etmeleri gerekiyor” dedi.
Yapılan bu siber saldırı Microsoft’un Windows sistemini, insanların verilerini şifreleyerek ve erişime izin vermeden önce kripto para birimi Bitcoin’de ödeme yapmalarını isteyerek bilgisayarları küresel olarak hedeflemek için kullandı. Bu gibi olayların görülme sıklığı gittikçe arttığı için FDA gibi düzenleyici kurumlar siber güvenlik konusunu artık daha ciddiye alıyor. Örneğin, 2019’da ABD Gıda ve İlaç Dairesi (FDA), düzinelerce implante edilebilir kardiyoverter defibrilatörü etkileyen iki güvenlik açığı hakkında bir uyarı yayınladı.
Amerikan Hastaneler Birliği’nin siber güvenlik ve risk kıdemli danışmanı; günümüzde hastanelerde kullanılan çoğu eski tıbbi cihazın güvenlik yamalarını ve güncellemelerini desteklemeyen sistemlerden oluştuğunu, güvenlik sistemlerinin gelişmiş olmadığını söyledi. Bu yüzden, fidye yazılımı saldırılarına karşı diğer cihazların yanında daha yüksek risk altında olduğunu belirtti.
Siber güvenlik konusunda sıkıntılı cihazların çoğu güncellenemeyecek kadar eski cihazlardan oluşmaktadır. Güncelleme yeteneği cihazın siber güvenliğini sağlamak için önemlidir. Bu nedenle, sağlık hizmetlerinde veri ihlallerini azaltmak için daha yeni cihazlara yatırım yapmak doğru bir adım olacaktır. Veri ihlallerinin nasıl mümkün olduğunu anlamanın yanı sıra, nereden geldiklerini bilmek de önemlidir.
Önceki yıllarda, Sağlık Hizmetleri Bilgi ve Yönetim Sistemleri Topluluğu’nun yaptığı bir anket sonucunda, hastanelerdeki ilk güvenlik ihlallerinin toplam %89’unun e-posta yoluyla gerçekleştiğini ve sağlık hizmetlerindeki siber saldırıların %57’sinin güvenilir kişiler aracılığıyla başladığı ortaya çıktı.
Siber güvenlik olaylarının engellenebilmesi için operasyonel ortamın karmaşıklığı iyi tanınmalı ve teknik güvenlik açıkları net bir şekilde kategorize edilmelidir. Siber güvenlik koruması teknik bir konudan ibaret değildir; çözülmesi daha karmaşık bir problemdir. Güvenlik açıklarının belirlenmesi ile potansiyel olarak güvensiz bu tür ortamların oluşmasına neden olan faktörlerin incelenmesi, bu güvenlik açıklarının neden devam ettiğini ve bu soruna nasıl bir çözüm üretilmesi gerektiğini anlamak daha önemlidir.
Yeterli koruma sağlanması ve hasta güvenliği açısından endişelerin giderilebilmesi için, siber güvenlik sorununa çok yönlü sistemik bir perspektiften bakılmalıdır. Bunun için teknik kontroller, yönetişim, dayanıklılık önlemleri, birleştirilmiş raporlama, bağlam uzmanlığı, düzenleme ve standartlar gerekir. Bu karmaşık zorlukla baş edebilmek için koordineli, proaktif bir yaklaşımın gerekli olduğu açıktır.
Tehditler ve güvenlik açıkları ortadan kaldırmak mümkün değildir ve siber güvenlik risklerini azaltmak özellikle zordur. Sağlık hizmeti ortamı karmaşıktır; üreticiler, hastaneler ve tesisler siber güvenlik risklerini yönetmek için birlikte çalışmalıdır.
Kaynakça
https://www.nature.com/articles/s41746-019-0161-6
https://www.healthcareitnews.com/news/fda-releases-medical-device-cybersecurity-draft-guidance
