Minnesota Üniversitesi Halk Sağlığı araştırmacıları liderliğindeki ABD Hastanelerine, Kliniklerine ve Diğer Sağlık Hizmeti Sunan Kuruluşlara Yönelik Fidye Yazılım Saldırılarındaki Eğilimler araştırması, 2016-2021 yılları arasında sağlık sektörüne yönelik fidye yazılımı saldırılarının sıklığını ve özelliklerini ölçtü.
NEDEN ÖNEMLİ
Fidye yazılımı grupları genellikle enerji, sağlık hizmetleri ve devlet gibi kritik altyapılarda saldırgandır. Hastanelere ve sağlık kuruluşlarına yönelik fidye yazılımı saldırılarının artan sıklığı ve şiddeti, operasyonları ve hasta erişimini haftalarca hatta aylarca kesintiye uğratabilir.
Vurulma riskleri, odak noktasını büyük ölçüde sağlık altyapısının savunmasına kaydırmış olan bir dizi sorunu (kritik sağlık verilerine erişim kaybı, siber saldırılara ve hasta güvenliğine yönelik tehditlere yanıt vermenin ve bunları önlemenin yüksek maliyetleri) birleştirir.
Araştırma için halk sağlığı araştırmacıları, fidye yazılımı saldırılarının tarihine, kamuya açık raporlamaya, kişisel sağlık bilgilerinin açığa çıkmasına, saldırının ardından şifrelenmiş/çalınan verilerin durumuna, etkilenen sağlık hizmeti sağlayan kuruluşun türüne ve bir saldırı sırasında operasyonel kesintiye baktı.
Önemli bulgulardan bazıları şunlardır:
- 2016’dan 2021’e kadar, yıllık fidye yazılımı saldırısı sayısı iki kattan fazla artarak 43’ten 91’e çıktı.
- Grubun neredeyse yarısı veya %44,4’ü sağlık hizmeti sunumunu aksattı.
- Otuz iki saldırı, ya da kohortun %8,6’sı, iki haftadan uzun süren operasyon kesintilerine yol açtı.
- Sağlık kuruluşlarının yaklaşık beşte biri (%20,6) verileri yedeklerden geri yükleyebildiğini bildirdi.
Yaygın kesintiler arasında %41,7 ile elektronik sistem kesintisi, %10,2 ile planlanmış bakımın iptal edilmesi ve %4,3 ile ambulans yönlendirmesi yer aldı.
Hastanelerin ve sağlık sistemlerinin HIPAA kapsamında hasta verilerini koruması gerektiğinden, bir olayın ardından verilerin açığa çıkması fidye yazılımı kurbanları için önemli bir endişe kaynağıdır.
Araştırmacılar, kohort olaylarının daha fazla hastanın PHI’sini ortaya çıkardığını söylüyor.
“59 fidye yazılımı saldırısında (%15,8), fidye yazılımı aktörlerinin çalınan PHI’nin bir kısmını veya tamamını, tipik olarak dark web forumlarında yayınlamak çalınan verilerin bir kayıt alt kümesi dahil edilerek satış için ilan edildiği yer”, JAMA özeti.
Araştırmacılar, çalışma süresi boyunca fidye yazılımı olaylarını bildirmede artan gecikmeler bulduklarını ve beş saldırıdan birinin ABD Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisi veritabanında bulunmadığını belirttiler.
Sonuç olarak, “bu makalede bildirilen istatistiklerin çoğu, eksik raporlama nedeniyle muhtemelen eksik tahminlerdir” dediler.
Bu eksiklik, HIPAA kapsamındaki kuruluşların ve bunların iş ortaklarının, PHI’ye maruz kalma olasılığının düşük olduğunu göstermeleri durumunda olayları bildirmeleri gerekmediğini belirten HHS rehberliğinde düşük PHI maruziyetinden kaynaklanıyor olabilir.
BÜYÜK TREND
Üniversite araştırmacıları, çalışma süresi boyunca fidye yazılımlarının birden çok tesise sahip büyük kuruluşları giderek daha fazla etkilediğini söyledi.
Ancak siber güvenlik uzmanları, son zamanlarda siber suçluların daha büyük kuruluşlar siber güvenlik korumalarına daha fazla para harcıyor ve bakıyorlar daha savunmasız olan daha küçük bütçeli daha küçük kuruluşlar istismarlarına.
Haziran 2022’de Sophos şunu buldu: Sağlık kuruluşlarına yönelik fidye yazılımı saldırıları 2020’den 2021’e iki katına çıktı 5.000’den fazla BT uzmanının katıldığı bir ankette.
Sophos araştırmacıları, “Sağlık hizmetleri, sırasıyla %57 ve %59’luk sektörler arası ortalamaya kıyasla siber saldırıların hacminde (%69) ve siber saldırıların karmaşıklığında (%67) en yüksek artışı gördü.”
“Bu siber saldırıların etkisi açısından sağlık sektörü, %53’lük küresel ortalamaya kıyasla en çok etkilenen ikinci sektör (%59) oldu.”
KAYITTA
Araştırmacılar, çalışma raporunda, “Fidye yazılımı saldırılarına ilişkin bu kohort çalışması, sıklıklarındaki ve karmaşıklıklarındaki artışı belgeledi” dedi.
“Fidye yazılımı saldırıları bakım hizmet sunumunu kesintiye uğratıyor ve bilgi bütünlüğünü tehlikeye atıyor. Mevcut izleme/raporlama çabaları sınırlı bilgi sağlıyor ve büyüyen bu siber suç formunun sağlık hizmeti sunumunu nasıl etkilediğine dair potansiyel olarak daha eksiksiz bir görüş sağlayacak şekilde genişletilebilir.”
Andrea Fox, Healthcare IT News’in kıdemli editörüdür.
E-posta: afox@himss.org
Healthcare IT News, bir HIMSS yayınıdır.