Mühendislik ve Mimarlık Fakültesi - mmf@gelisim.edu.tr
Memnuniyet ve Şikayetleriniz için   İGÜMER
 Mühendislik ve Mimarlık Fakültesi - mmf@gelisim.edu.tr

Yazılım Mühendisliği








 Tıbbi Cihazlar Fidye Yazılım Saldırıları Riski Altında mı?


Mayıs 2017'de, ağ bağlantılı tıbbi ekipmanlara yönelik belgelenen ilk fidye yazılımı saldırısı gerçekleşti. Dünya çapındaki fidye yazılımı saldırısı WannaCry, yüksekliği sırasında birkaç hastanede radyolojik ve diğer enstrümanları tehlikeye attı; üçüncü taraf tedarikçisinin onkoloji bulut hizmetine yapılan bir siber saldırının neden olduğu bir yazılım hatasının ardından, dört sağlık kuruluşunda radyasyon tedavisi gören kanser hastaları randevularını yeniden planlamak zorunda kaldı.


Bu örnekler, siber saldırıların ve veri ihlallerinin, büyük ölçüde bağlantılı tıbbi ekipmana bağlı olan sağlık sektörünü nasıl önemli ölçüde etkileyebileceğini göstermektedir. Bu bağlı tıbbi cihazlarda yakalanan ve saklanan PHI (hasta sağlık bilgileri) güvenli hale getirilmelidir. PHI, sunucu tabanlı sistemler aracılığıyla bulut üzerinden aktarıldığından, bilgisayar korsanlarına karşı çok hassastır.
 
Sağlık uzmanlarına yönelik fidye yazılımı saldırıları son yıllarda daha yaygın, karmaşık ve şiddetli hale geldi. Bireysel kötü aktörler, organize suç çeteleri, ulus-devletler ve askeri gruplar tarafından ana failler olarak değiştirildi. Kolluk kuvvetleri ve hükümet, büyük çabalara rağmen hastane cihazlarına ve diğer önemli altyapılara yönelik artan saldırı dalgasını durduramadı. Sağlık kuruluşlarına yönelik fidye yazılımı saldırıları arttıkça, tıbbi cihaz güvenliği hastane siber güvenliğinin önemli bir parçası olacaktır.
 
Tıbbi Cihazlar Ölçekte Büyüdü.
Sabit, implante edilmiş veya giyilebilir olsun, harici tıbbi ekipmanın güvenliği, hastaların yaşamları ve esenliği için kritik öneme sahiptir. Hayat kurtaran tıbbi cihazlar arasında insülin pompaları, kalp defibrilatörleri, yapay kalp pilleri ve vantilatörler sayılabilir. Örnekler arasında yapay eklemler, MRI ve CT tarayıcılar, infüzyon pompaları, klinik programlama ve evde izleme yer alır.
 
Güvenlik kameraları, RFID okuyucular, satış noktası sistemleri ve misafir erişim kartları, bir hastane veya sağlık kuruluşundaki siber saldırılara ve güvenlik ihlallerine karşı korunmalıdır. Tıbbi ekipman sıklıkla bilgisayar sistemlerini ve ağlarını içerir.
 
Günümüz dünyasında, tıbbi ekipman, bir hastane veya tıbbi bakım kurumundaki diğer tüm bağlı cihazlara bağlıdır. Bağlantılı tıbbi ekipmandaki yerleşik sensörler, diğer cihazlara ve İnternete gönderilen verileri toplar. Bu gadget'lar ve bunların verileri, teşhise, izlemeye ve ilaç dağıtımına yardımcı olan Tıbbi Nesnelerin İnterneti'ni (IoMT) oluşturur.
 
Tıbbi cihazlara yönelik bu fidye yazılımı saldırıları, siber saldırıların ve veri ihlallerinin, bağlantılı tıbbi ekipmana büyük ölçüde bağımlı olan sağlık sektörü üzerindeki etkisini göstermektedir. Bu bağlantılı tıbbi cihazlarda kaydedilen ve saklanan Hasta Sağlık Bilgileri korunmalıdır. PHI, bulut üzerinden sunucu tabanlı sistemler aracılığıyla gönderilir ve bu da onu bilgisayar korsanlarına karşı oldukça savunmasız hale getirir.
 
Hasta bakımını önemli ölçüde iyileştiren ve daha iyi hasta sonuçları sağlayan bağlantılı tıbbi cihazlar, tasarım aşamasından sağlık kuruluşlarında veya evde kullanımlarına kadar hasta güvenliğini sağlamak için korunmalı ve yükseltilmelidir.
 
IoT Ekosistemi
IoT ekosistemi, tıbbi cihaz üreticileri, sağlayıcıları, sistem ve yazılım sağlayıcıları, sistem entegratörleri, bağlantı sağlayıcıları ve son kullanıcılardan oluşur. Siber güvenlik açıklarını ve bağlı tıbbi cihazların risklerini ele almak için paydaşlar arasında daha fazla işbirliği, siber saldırıların önlenmesine yardımcı olacaktır.
 
Sağlık kuruluşu ağlarına yönelik fidye yazılım saldırıları, hastaların hayatlarını riske atan tıbbi cihaz kesintilerini tetikliyor. Fidye yazılımı nedeniyle kullanılamıyorsa, güvenli ve işlevsel tıbbi ekipmana sahip olamazsınız. Cihazlara yönelik artan siber tehdidi belirlemek için son on yılda Medtech sektöründe önemli bir değişiklik oldu. Ulus devletler ve organize suç örgütleri, tıbbi ekipmanlara zarar vererek, sağlık hizmeti sağlayıcıları için güvenliklerini ve etkinliklerini tehlikeye atıyor.
 
Bir Ponemon Enstitüsü anketinde, sağlık hizmeti sunan işletmelerin dörtte biri, bir fidye yazılımı saldırısından sonra artan ölüm oranlarına tanık oldu. Sağlık sistemleri, bağlantılı tıbbi cihazlar daha yaygın olarak kullanılmaya başladığından, hasta bakımını olumsuz etkileme riski daha yüksektir. Sağlık kurumları ve MedTech sektörü için son konu, hasta güvenliğini tehdit eden artan siber tehditler karşısında tıbbi ekipmanın mevcudiyetini korumaktır.
 
Tıbbi cihazların, fidye yazılımı gibi sıradan tehditlere karşı bile güvenlik göz önünde bulundurularak tasarlanması gerekir. Halihazırda, cihaz üreticilerini siber güvenliği ele almaya açıkça zorlayan herhangi bir ön pazarlama veya satış sonrası yasal gereklilik bulunmamaktadır.
 
Bulutta güvenlik önlemleri
Veri ihlali durumunda bulut hizmetleri sağlayıcısı değil sağlık kuruluşu sorumludur. Öte yandan, Bulut sağlayıcıları katı güvenlik yönergelerine uymalıdır. FDA Siber Güvenlik Yönergeleri, bulut güvenliği mühendisliği en iyi uygulamaları, sık güvenlik denetimleri, olağanüstü durum kurtarma senaryoları ve iyi tanımlanmış bir güvenlik ve veri koruma olay yönetim sistemine dayalı eylemler bunun örnekleridir.
 
Tıbbi cihazlar veya ilgili yazılımlarla, gerçek zamanlı izleme, siber tehdit modelleme ve analizi, tehdit azaltma ve iyileştirmenin tümü ulaşılabilir olmalıdır. Düzenli kayıt tutma ve izleme sayesinde, her ihlal meydana gelir gelmez tespit edilir. Bir ihlalin erken tespiti, ihlalin ciddiyetinin belirlenmesine yardımcı olur ve düzeltilmesini sağlar.
 
Çoğu zaman modası geçmiş olan tıbbi cihazlar her zaman yükseltilebilir değildir. Tıbbi ekipmana minimum destekle yapılan saldırılar, hayati fonksiyonların bozulmasına ve hayatların tehlikeye girmesine neden olabilir. Tıbbi cihaz sahipleri, tıbbi ekipmanlarıyla ilgili herhangi bir bakım veya güncelleme sorunu yaşarlarsa, satıcı veya üretici ile önceden iletişime geçmelidir.
 
FDA, Tıbbi Cihaz Güvenliği Eylem Planına, tıbbi cihaz üreticilerini, artan tehlikeye yanıt olarak en başından itibaren güvenlik güncellemelerini ve yama özelliklerini ağa bağlı cihazlara yerleştirmeye zorlayan bir gerekliliği dahil etti.
 
Aynı zamanda, bu cihazlardaki herhangi bir arızanın halka açıklandıktan sonra ifşa edilmesine ilişkin prosedürleri de özetlemektedir. Bir tıbbi cihazın tehlikesini değerlendirirken mühendislerin siber güvenlik hususlarını dikkate alması giderek daha kritik hale geliyor. Fidye yazılımı/siber saldırı koruması, cihazın teknik özelliklerine dahil edilmelidir. Bu cihazlardan birini FDA'ya gönderiyorsanız, siber güvenlik sorunlarıyla nasıl başa çıktığınızla ilgili birçok soru sormalarını bekleyin.
 
Çözüm
Hasta bakımını önemli ölçüde iyileştiren ve hasta sonuçlarını iyileştiren bağlantılı tıbbi cihazlar, tasarım aşamasından sağlık kuruluşlarında veya evde kullanımlarına kadar, fidye yazılımı kesintilerine karşı hasta güvenliğini garanti etmek için uygun şekilde muhafaza edilmeli ve yükseltilmelidir.
 
Tıbbi cihaz üreticileri, tedarikçileri, sistem ve yazılım sağlayıcıları, sistem entegratörleri, bağlantı sağlayıcıları ve son kullanıcılar IoT ekosistemini oluşturur. Tüm paydaşlar bağlantılı tıbbi ekipmanın siber güvenlik açıklarını ve tehlikelerini ele almak için birlikte çalışırsa, siber saldırılardan kaçınmak daha kolay olacaktır.

KAYNAK