Kritik altyapılar için siber güvenliği artırmaya yönelik AB direktifinin (NIS2) revizyonu, siber güvenlik konusunu birçok sağlık tesisinde daha da odağa getirdi. Çünkü özellikle korunmaya değer görülüyorlar.
Verilerin gizliliği, bütünlüğü ve kullanılabilirliği sağlık sektöründe merkezi öneme sahiptir. Terapi planları da dahil olmak üzere tüm sağlık süreçlerinin ve teşhislerinin belgelendiği yer burasıdır. Her güvenlik açığı, ilaç planlarının manipüle edilmesi veya bilgilerin üçüncü şahısların eline geçmesi riskini taşıdığından siber güvenlik çok önemlidir. Soest'teki bir hastaneye yapılan son saldırının da gösterdiği gibi, hassas veriler suçlular için son derece popüler bir hedef. Sektörün karşılaştığı zorluk: İlerleyen dijitalleşme nedeniyle, tıbbi cihazlar artık giderek daha fazla ağa bağlanıyor ve veriler giderek daha fazla elektronik olarak saklanıyor ve aktarılıyor. Bu, siber suçluların potansiyel saldırı yüzeyini artırır. Yasama organı, şirketlerdeki siber güvenlik gereksinimlerini artırarak bu gelişmeyi NIS2 aracılığıyla ele alıyor. Axians IT-Security'de Satış - Özel Operasyonlar OT ve BT Güvenliği Müdürü Ingoschulenberg, direktiften etkilenen sağlık tesislerinin nasıl ilerlemesi gerektiğine dair dört ipucu veriyor.
Siber Güvenlik Değerlendirmesi
Hastanelerdeki ekipman envanteri genellikle zaman içinde büyümüştür ve giderek daha fazla birbirine bağlıdır. BT güvenliğini verimli bir şekilde artırmak için mevcut güvenlik önlemlerinin değerlendirilmesi en uygun başlangıç noktasıdır. Burada uzmanlar kurulu ortamın güvenliğini kontrol ediyor, mevcut cihazlardaki güvenlik açıklarını ve yeni cihazlar için hangi güvenlik gereksinimlerinin mevcut olduğunu belirliyor. Şirkette hangi alanların birbirleriyle iletişim kurması gerektiğinin belirlenmesi de çok önemlidir. Özellikle sağlık tesislerinde, örneğin hepsinin aynı ağa bağlanmaması gereken önemli makineler ve cihazlar sıklıkla bulunur. Siber güvenlik değerlendirmesinde kuruluşlar, güvenlik stratejilerinde önceliklendirmek ve uygun şekilde güvence altına almak için hangi varlıkların özellikle kritik ve korunmaya değer olduğunu belirler. Güvenlik değerlendirmesi sırasında, Axians gibi deneyimli ICT hizmet sağlayıcıları, BT altyapısının güvenlik düzeyini doğru bir şekilde değerlendirmenize ve ardından bütünsel bir güvenlik stratejisi oluşturmanıza yardımcı olabilir.
Siber güvenlik eğitimi
Diğer sektörlerde olduğu gibi sağlık sektöründe de en büyük güvenlik riski insanlardır. Bilgisayar korsanları için popüler bir hedef olmaya devam ediyor. İyi hazırlanmış kimlik avı saldırılarıyla siber suçlular, çalışanları kandırarak oturum açma bilgilerini vermelerini veya İnternet'ten kötü amaçlı yazılım indirmelerini sağlayabilir. Yanlış yönlendirilmiş yardım isteği (örneğin, çalışanların sahibini bulmak için USB çubuklarını iş bilgisayarlarına bağlamaları) genellikle büyük hasara yol açar. Özel cep telefonlarının USB bağlantı noktasına sahip tıbbi cihazlarla şarj edilmesi, güvenliği ihlal edilmiş cihazlar nedeniyle sağlık tesisleri için de potansiyel bir risk oluşturmaktadır. Şirketler, tüm çalışanlarına güvenlik risklerini daha iyi anlamaları için eğitim vererek bunu önlemelidir. Bu önemlidir çünkü sağlık kuruluşlarındaki çalışanlar genellikle zaman baskısı altında çalışır ve yüksek iş yüküne sahiptir. Stresli günlük yaşamda hedefli phishing saldırılarına kurban gitmemek için düzenli güvenlik eğitimleri ve farkındalık eğitimleri şarttır.
Siber Güvenlik En İyi Uygulamaları
Etkin bir siber güvenlik oluşturmak için kurumların öncelikle teknik temelleri uygulamaya koyması gerekiyor. Sağlık sektöründe buna dahili güvenlik duvarlarıyla ağ bölümlemesi de dahildir. Ağ bölümlendirmesi, tıbbi cihazların ana ağdan ayrılmasını mümkün kılar. Makineler ve cihazlar genellikle güvenlik açıkları düzeltilemeyen eski işletim sistemlerine sahiptir, aksi takdirde onaylarını kaybederler. Yeniden sertifikalandırma bir seçenek değilse, bu cihazlar güvenli ağ segmentlerine kilitlenebilir ve bu cihazlarla iletişim IPS aracılığıyla düzenlenebilir ve izlenebilir. Temel koruma daha sonra bütçe dahilinde modüler prensibe göre sürekli olarak genişletilebilir. Tehdit ortamı giderek daha karmaşık hale geldiğinden, önleyici tedbirlerin sürekli olarak keskinleştirilmesi gerekiyor.
SOC ve ISMS ile temel bilgileri genişletin
Acil bir durumda anında müdahale edebilmek için tehditlerin günün her saati ve gerçek zamanlı olarak tanımlanması gerekir. Bu nedenle hastane gibi sağlık kuruluşlarının Güvenlik Operasyon Merkezi (SOC) kurması tavsiye edilir. Tüm siber güvenlik konuları SOC'de bir araya geliyor; burası hastanenin BT güvenlik altyapısının en son teknolojiyi kullanan uzmanlar tarafından 24 saat izlendiği, saldırıların anında tespit edildiği ve savunmanın başlatıldığı yerdir. Kazanılan deneyim, savunma stratejisinin kalıcı olarak uyarlanmasını mümkün kılar. Sağlık tesislerinin kendilerinin bir SOC işletmesi gerekmez ancak yönetilen bir hizmet sağlayıcıdan destek alabilirler.
Güvenlik temellerine ek olarak bir bilgi güvenliği yönetim sisteminin (BGYS) kurulması tavsiye edilir. Bu, fiziksel bir sistem değil, bir şirketteki bilgi güvenliğini kalıcı olarak tanımlayan, kontrol eden, kontrol eden, sürdüren ve sürekli geliştiren yönergelerle tanımlanmış bir prosedürdür. BGYS bir şirket için ayrı ayrı uygulanır ve uygulanır.
Güvenliği kademeli olarak artırın
Sağlık sektöründeki şirket ve kurumları siber saldırılara karşı başarılı bir şekilde korumak için donanım ve yazılıma yatırım yapmaktan daha fazlası gerekiyor. Hedef, adım adım hayata geçirilebilecek kapsamlı bir siber güvenlik stratejisi olmalıdır. Kuruluşlar öncelikle güvenlik denetimleri yaparak başlayabilir ve buna dayanarak iç ve dış güvenlik duvarları, izinsiz giriş önleme, ağ bölümlendirme, BGYS ve SOC'ler gibi teknik çözümleri uygulamaya koyabilir. Aynı zamanda çalışanların farkındalığını artırmaya yönelik farkındalık eğitimleri de sonuç veriyor. Şirketler bu en iyi uygulamaları takip ettikleri sürece sistemlerinin ve dolayısıyla hasta verilerinin güvenliğini sürekli olarak artırırlar. Harici ortaklarla işbirliği yapmak ve yönetilen hizmetleri kullanmak, sağlık tesislerindeki BT departmanları üzerinde ek yük oluşmasını önlemeye yardımcı olabilir.
Daha fazlası Axians.com'da
Axisliler Hakkında
Almanya'daki Axians şirketler grubu, VINCI Energies'in BİT çözümleri için küresel marka ağının bir parçasıdır. Grup, bütünsel bir BİT portföyüyle şirketleri, belediyeleri ve kamu kurumlarını, ağ operatörlerini ve hizmet sağlayıcılarını dijital altyapılarını ve çözümlerini modernleştirme konusunda destekliyor.
Konuyla ilgili makaleler