Saldırganlar, hastanelerdeki IoT cihazlarıyla ilgileniyor. Sektörden bağımsız olarak uzmanlar, ilgili IoT güvenlik açıkları konusunda yıllardır uyarıda bulunuyor. WatchGuard Teknik Güvenlik Operasyonları Müdürü Marc Laliberte tarafından yapılan bir analiz.
Ocak 2021'den bu yana Alman federal hükümeti, Hastanenin Geleceği Yasası kapsamında hastanelerin dijitalleştirilmesi için üç milyar avro sağlıyor. Diğer 1,3 milyar federal eyaletlerden geliyor. Amaç: modern acil durum kapasiteleri, sayısallaştırma ve son olarak BT güvenliğini artırmaya yönelik önlemler için kapsamlı bir yatırım programı. Özellikle son noktada, harekete geçmenin aciliyeti açıktır, çünkü klinikler hangi ülke olursa olsun bilgisayar korsanları tarafından giderek daha fazla hedef alınmaktadır.
Hastanelerde IoT hedeflerdir
Bu bağlamda saldırganlar IoT cihazlarıyla giderek daha fazla ilgileniyor. Nedeni: Nesnelerin İnterneti, pratik olarak miras kalan bir güvenlik sorununa sahiptir. Sektör ne olursa olsun, uzmanlar yıllardır ilgili güvenlik açıkları konusunda uyarıda bulunuyor. 2016'da Netflix, Twitter ve Reddit gibi internet devlerinin tökezlemesine neden olan Mirai botnet'ten, hastanelerde ve diğer yerlerde kullanılan Verkada güvenlik kameralarının ele geçirilmesine kadar artık bu tür saldırı senaryolarının pek çok örneği var. 2021 baharında.
Giderek daha fazla tehdit altında: Sağlık hizmetlerinde IoT cihazları
Sağlık hizmetlerinde IoT uygulamalarına yönelik ilgili saldırıların gelecekte artmaya devam edeceği kuvvetle varsayılabilir. Neticede, diyagnostik veri alışverişi için ağa bağlı sensörlerin muazzam faydası tartışılmaz. Pazar gözlemcileri, sağlık hizmetlerinde IoT'nin benimsenmesinin 2028'e kadar yüzde 25,9'luk bileşik yıllık büyüme oranına (CAGR) ulaşacağını tahmin ediyor. Ancak bu, saldırı yüzeyini otomatik olarak artırır.
Tıbbi cihazların yüksek güvenlik açığı
Tıbbi teknolojideki teknik sorunlar yaşamı tehdit eden durumlara yol açabileceğinden, hastaneler ve klinikler gibi sağlık hizmeti sağlayıcıları genellikle pahalı, son derece özelleştirilmiş uygulamalara ve cihazlara güvenir. Bununla birlikte, kullanılan bileşenlerin işlevselliğini sınırlayabileceği korkusuyla, bunlar genellikle güncellemeler ve yamalar sağlamaya isteksizdir. Burada geleneksel Nesnelerin İnterneti ile paralellikler var. Özel yazılımlar genellikle birkaç yıllık bir Linux varyantında çalışırken, tıbbi IoT cihazları genellikle Microsoft Windows ve Windows Server'ın eski sürümlerini kullanır. Örneğin, geçen yıl araştırmacılar, tıbbi cihazların yüzde 45'inin kritik BlueKeep Windows güvenlik açığına karşı savunmasız olduğunu buldu. Microsoft bunu o kadar ciddi buldu ki, işletim sisteminin yıllardır desteklenmeyen sürümleri için eski yamalar bile yayınladı.
Temel olarak, tüm IoT güvenlik sorunları üç ihmale kadar izlenebilir:
- geliştirme sırasında güvenlik hususlarının eksikliği
- IoT'yi benimseyenlerin yanı sıra bilgi boşlukları ve şeffaflık eksikliği
- dağıtımdan sonra cihaz güncellemelerinin yönetiminin olmaması
IoT: aynı zamanda ucuz ve güvenli mi?
Geliştirme sırasında BT güvenliğinin ikincil olarak ele alınması olan ilk sorun, çoğu IoT kullanıcısının fiyata göre yönlendirilmesi gerçeğiyle büyük ölçüde açıklanabilir. Bununla birlikte, bir çözümün yalnızca temel teknik gereksinimleri karşılayıp karşılamadığı ve aynı zamanda satın almanın ucuz olup olmadığına odaklanılırsa, üreticiler ürünlerinin güvenliğini artırmak için ek kaynaklara yatırım yapmak için teşvikten yoksun kalırlar. Sonuç olarak, cihazlar zayıf ve sabit kodlanmış parolalarla, eski yazılımları ve temel korumalardan bile yoksun işletim sistemlerini çalıştırarak gönderilir. Bu, kelimenin tam anlamıyla siber suçluları ahır kapısı büyüklüğündeki güvenlik açıklarından yararlanmaya davet ediyor. Örneğin, 2016'nın Mirai botnet'i, IoT kameralarındaki karmaşık bir sıfır gün güvenlik açığından yararlanarak gelişmedi. Bunun yerine, cihaz üreticisi tarafından güvence altına alınmamış bir yönetim arabiriminde 61 yaygın kullanıcı adı ve paroladan oluşan bir listeyi denemek yeterliydi - burada herhangi bir çaba söz konusu olamaz.
Sıfır güven yaklaşımını IoT'ye genişletin
Şirketlerin IoT'yi kullanmadan önce bu teknolojiyi nasıl ve ne ölçüde kullanmak istediklerini iyi düşünmeleri gerekiyor. Burada Sıfır Güven yaklaşımını takip etmek faydalı olabilir: Esasen bu güvenlik kavramı, ağdaki hiçbir cihaza güvenmemek ve her birini yeniden kontrol etmekle ilgilidir. Dahili ağı otomatik olarak "güvenli sığınak" olarak kabul etmekten kaçınan herkes zaten doğru yoldadır. Bunu göz önünde bulundurarak, halihazırda ağda bulunan kötü niyetli bir kullanıcının veya uç noktanın neden olduğu riski yönetmek için hangi güvenlik önlemlerinin gerekli olduğunu düşünün.
Ağ segmentlerini özellikle IoT için kullanın
Nesnelerin İnterneti için bu, ilgili cihazların büyük ölçüde diğer sistemlerden ve özellikle en önemli kaynaklardan kapsüllenmiş ağ segmentlerinde kullanıldığı anlamına gelir. Potansiyel olarak güvensiz, yama uygulanmamış bir sistemi tutmak için teknik nedenler varsa, işlevi için kesinlikle gerekli olan belirli bağlantı noktalarına ve protokollere erişimi kısıtlayarak sistemi ağ düzeyinde korumak önemlidir. Ağ saldırılarını ve kötü amaçlı yazılımları erken bir aşamada tespit edebilmek için bu tür bağlantıların potansiyel anormallikler açısından da sürekli olarak kontrol edilmesi gerekir. Aynı zamanda, ağdaki tüm IoT cihazları için düzenli güvenlik açığı taramaları ve güvenlik değerlendirmeleri oluşturmak önemlidir. Şirketler ancak o zaman kendilerini neye karşı korumaları gerektiğini bilirler ve şimdiye kadar fark edilmeyen bir şey karşısında şaşırmazlar.
Daha fazlası WatchGuard.com'da
WatchGuard Hakkında WatchGuard Technologies, BT güvenliği alanında lider sağlayıcılardan biridir. Kapsamlı ürün portföyü, son derece gelişmiş UTM (Birleşik Tehdit Yönetimi) ve yeni nesil güvenlik duvarı platformlarından çok faktörlü kimlik doğrulamaya ve kapsamlı WLAN koruması ve uç nokta korumasına yönelik teknolojilerin yanı sıra BT güvenliği ile ilgili diğer özel ürünler ve akıllı hizmetlere kadar uzanır. Dünya çapında 250.000'den fazla müşteri, kurumsal düzeyde gelişmiş koruma mekanizmalarına güveniyor,