Dijital dayanıklılığı artırmak işletmeler için neden önemli? Liderlerin "sadece siber güvenlik"ten "dijital dayanıklılığa" geçişi nasıl sağlanabilir?
Elinizdeki kaynaklarla nasıl en dayanıklı hale gelebilirsiniz? En az parayla nasıl en dayanıklı hale gelebilirsiniz?
Kendinizi nasıl daha küçük bir hedef haline getirebilirsiniz?
Daha küçük hedef ölçütleri, bazılarının "temel" dediği şeye uyuyor. Ancak "temel" hijyen aslında birçok kişi için çok zor. Bunu başarmak için gerçekten işe yarayan en önemli 3 hijyen ipucunuz nedir?
Kaynakları yetersiz kuruluşlardan bahsediyoruz, ancak bazıları çok daha fazla kaynak yetersizliğine sahip, güvenlik kaynakları açısından aşırı eksiklik yaşayanlara tavsiyeniz nedir?
Tedarikçi güvenliğinin değerlendirilmesi - 2025'te bugün dikkate alınması gereken en önemli şey nedir? Tedarikçiniz aracılığıyla saldırıya uğramamak için ne yapmalısınız?
Google Cloud Güvenlik Podcast'ine ve bahsi geçen kaynaklara buradan erişebilirsiniz. Buraya Tıkla
2024'te siber güvenlik, birden fazla yüksek profilli saldırı ile sağlık sektörü için büyük bir zorluktu. Rekor kıran 100 milyon Amerikalının verilerini ifşa eden bir saldırı, Errol Weiss'e göre sağlık sektörünün ne kadar birbirine bağlı olduğunu vurgulayan bir "dönüm noktası olayı"ydı. Sağlık Bilgi Paylaşım ve Analiz Merkezi.
Diğer üç trend hakkında daha fazla bilgi edinmek için Danışma Kurulu makalesini okuyabilirsiniz. Buraya Tıkla
Uzmanlar, yapay zeka düzenlemesinin şeklinin bu yıl Trump yönetimi altında belirsiz olacağını, sağlık şirketlerinin artan saldırılara karşı koymak için siber savunmalarını güçlendirmeye devam edeceğini söylüyor.
Siber suçlular sağlık sektörünü hedef almaya devam ediyor
Siber güvenlik, 2024 yılında sağlık sektörü için büyük bir zorluk olduğunu kanıtladı ve uzmanlar kuruluşların buna dikkat ettiğini söylüyor. Ancak sektörün siber korumalarını yeterli düzeye getirmek zaman alacak ve bilgisayar korsanlarının sağlık şirketlerini hedef almayı bırakması pek olası değil.
Sektör, birden fazla yüksek profilli saldırının yaşandığı bir yıldan çıkıyor. 2024'ün başlarında, tüm sağlık ekosistemi, sektör devi UnitedHealth'e ait bir teknoloji firması ve talep işlemcisi olan Change Healthcare'e yönelik siber saldırının sonuçlarını yönetmekte zorlandı.
Saldırı — verileri ifşa etti rekor kıran 100 milyon Amerikalı — sektörün birbirine bağlı yapısını vurgulayan bir "dönüm noktası olayı" olduğunu söyledi Errol Weiss, baş güvenlik görevlisi Sağlık Bilgi Paylaşım ve Analiz Merkezi veya kısaca Health-ISAC.
Weiss, "Sanırım o an, tedarikçilerin sağlık hizmetlerinin sunumunda tek bir noktadan kaynaklanan bir başarısızlığa neden olabildiğinin farkına varılmasıyla başladı" dedi.
Makalenin tamamını Healthcare Dive'da okuyun. Buraya Tıkla
New York Kan Merkezi (NYBC), operasyonlarını aksatan ve bazı operasyonlarını yeniden planlamak zorunda bırakan bir fidye yazılımı saldırısına uğradığını açıkladı.
Kan bağışı merkezlerine yönelik siber saldırılar, Sağlık Bilgi Paylaşımı ve Analiz Merkezi (Sağlık-ISAC)) ve Amerikan Hastane Birliği (AHA) bir ortak tehdit bülteni Potansiyel tedarik zinciri kesintilerine karşı uyarı.
“New York Blood Center’a (NYBC) yönelik son fidye yazılımı saldırısı, özellikle sağlık hizmetleri gibi kritik hizmetler sunan sektörlerdeki kuruluşlar için bir uyarı niteliğindedir” dedi. Mitiga"Dünyanın en büyük bağımsız kan toplama ve dağıtım organizasyonlarından biri olarak, bu olay yalnızca operasyonel kapasitelerini zayıflatmakla kalmıyor, aynı zamanda potansiyel olarak halk sağlığını da tehlikeye atıyor."
Makalenin tamamını CPO Dergisi’nde okuyabilirsiniz. Buraya Tıkla
Girişim, AB Üye Hastanelerinin ve Sağlık Hizmeti Sağlayıcılarının Güvenliğini Artırmayı Amaçlıyor
Errol Weiss, baş güvenlik görevlisi Sağlık-ISAC ABD'de AB Komisyonu'nun eylem planının, sağlık kuruluşlarının ağlarını düzgün bir şekilde savunmak için yeterli fon elde etme konusunda hala mücadele ettiği bir zamanda geldiğini söyledi.
"Sorun AB'de, ABD'de ve küresel olarak görülüyor. Sağlık kuruluşlarının kaynaklara ihtiyacı var - sadece bu ağları korumak için gereken teknolojiye değil, aynı zamanda bu sistemleri çalıştıracak deneyimli bilgi güvenliği profesyonellerine de," dedi. "Komisyonun ISAC'ların kuruluşları korumak ve bilgi paylaşımı ve iş birliği yoluyla güvenliği iyileştirmek için sağladığı değeri kabul etmesinden memnunum," dedi.
Weiss, dijital altyapılarını korumakla görevli olanların, bilgi paylaşarak yalnızca kendilerini korumakla kalmayıp aynı zamanda tüm dijital ekosistemin güvenliğini de güçlendirdiklerinin farkında olduklarını söyledi.
Sağlık-ISAC'ın 2023 yılında Avrupa Sağlık ISAC ile ortaklık kurarak, 140'tan fazla ülkede tehditlerin görünürlüğünü sağlayarak Sağlık-ISAC üyeliğinin "küresel gücünü", Avrupa Sağlık ISAC'ın topluluk ve yerel bakış açıları gücüyle birleştirerek değerlendireceğini söyledi.
"Siber tehditlere karşı birleşmemiz ve uyanık kalmamız gerekiyor," dedi. "Health-ISAC ve European Health ISAC'ın AB'de birlikte çalışmasıyla, sağlık kuruluşlarının tehditlerin ve güvenlik açıklarının daha iyi görünürlüğünden yararlandığı, ayrıca en iyi uygulamaların ve nihayetinde hasta güvenliğini iyileştiren diğer önemli içgörülerin paylaşılmasından yararlandığı daha güvenli bir topluluk yaratabiliriz."
Makalenin tamamını Data Breach Today'de okuyun. Buraya Tıkla
Sağlık Bilgi Paylaşımı ve Analiz Merkezi'nde tıbbi cihaz güvenliği başkan yardımcısı olan Phil Englert, HSCC'nin "Sağlık Endüstrisi Siber Güvenliği - Eski Teknoloji Güvenliğinin Yönetimi" - veya HIC-MaLTS - kılavuzunun, kuruluşlara eski tıbbi teknolojilerin siber risklerini yönetmek için kullanılabilecek en iyi uygulamaları sunduğunu söyledi.
HIC-MaLTS, yaygın sağlık siber güvenliği zorluklarını üstleniyor. Örneğin, "birçok farklı tıbbi cihaz türü ve bunların kullanıldığı çeşitli yerler benzersiz risk profillerine sahiptir ve hastanelerde, kliniklerde ve diğer klinik dışı ve evde sağlık hizmeti ortamlarında kullanılabilen teşhis, tedavi, giyilebilir, implante edilebilir ve tıbbi cihaz olarak yazılım gibi özellikler içerir" dedi.
Bu yazıda ayrıca:
tıbbi cihazların dört yaşam döngüsü aşaması
segmentasyon ve ağ erişim kontrolleriyle birleştirilmiş "sistem görünümü" envanterleri
HSCC'nin Medikal Teknoloji Siber Güvenliği için Model Sözleşme Dili
Makaleyi Healthcare Infosecurity'de buradan okuyabilirsiniz. Buraya Tıkla
Makalenin tamamını Information Security Buzz'da okuyun. Buraya Tıkla
1996'dan bu yana Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası (HIPAA) hasta gizliliğinin temel taşı olmuştur. Yasa, sağlık kuruluşlarının hasta verilerini nasıl ele aldığı ve paylaştığı konusunda standartlar belirleyerek gizliliğin sağlanması için bir çerçeve oluşturmuştur.
Ancak sağlık hizmetleri manzarası önemli ölçüde değişti ve bununla birlikte riskler de çoğaldı. Ortaya çıkan siber tehditler ve karmaşık güvenlik açıkları, HIPAA'nın korumalarındaki kritik boşlukları ortaya çıkardı. Buna karşılık, yasa koyucular sağlık hizmetleri kuruluşlarını artan siber saldırı dalgasına karşı güçlendirmeyi amaçlayan yeni mevzuatlar geliştiriyor.
Geçtiğimiz yıl, kanun koyucular hassas sağlık verilerine yönelik korumaları modernize etmeyi amaçlayan iki yasa tasarısı sundular - 2024 Sağlık Siber Güvenlik Yasası ve 2024 Sağlık Altyapısı Güvenlik ve Hesap Verebilirlik Yasası (HISAA). Bu önlemler önemli bir adım ileriyi temsil etse de, yasama sürecinde tıkanmış durumdalar ve henüz yasalaşmadılar.
Ve, yürürlüğe girseler bile, bu yasa tasarılarında özetlenen sınırlı kapsam ve uygulama mekanizmaları, giderek dijitalleşen sağlık sistemimizi etkileyen artan siber tehditleri ele almakta yetersiz kalabilir. Daha kapsamlı ve agresif bir yaklaşım olmadan, bu girişimler acil ve kararlı eylem gerektiren bir mücadelede sembolik jestler olarak görülme riskiyle karşı karşıyadır.
Her iki yasa tasarısını da içeren tam bir anlayışa sahip olmak için okumaya devam edin
Phil Englert ve sunucumuz Chris Blask, yazılım malzeme listesi (SBOM) paylaşımı üzerine bir CISA çalışma grubuna eş başkanlık ediyor. Çalışma grubu, ISAC'ların ve benzer kuruluşların üyeleri arasında SBOM'ların dağıtımını yönetmek için gerekli kontrol mimarisini belirlemelerine yardımcı olmak için bir süreç geliştirdi.
Kaçınılmazlık Eğrisi podcast'inin 14. bölümünü buradan dinleyin. Buraya Tıkla
Her şekil ve büyüklükteki sağlık kuruluşu, 2025'ten itibaren önerilen yeni kurallarla daha sıkı bir siber güvenlik standardına tabi tutulacak, ancak hepsinin bunun için bütçesi yok.
HIPAA, başlangıcından bu yana sağlık sektörü için siber güvenliği belirleyen en iyi ancak yetersiz düzenleme olmuştur.
"HIPAA'nın 1990'ların ortalarında düzenlenme şekli nedeniyle odaklanmanın yanlış yerde olduğu bir geçmiş var" diyor Errol Weiss, Sağlık Bilgi Paylaşımı ve Analiz Merkezi'nin (Health-ISAC) baş bilgi güvenliği görevlisi (CISO). “O zamanlar, tıbbi ve sağlık kayıtlarını elektronik ortama aktarmak için büyük bir baskı vardı. Ve HIPAA düzenlemelerinin ortaya çıkmasıyla, her şey hasta gizliliğini korumakla ilgiliydi, ancak bu kayıtları güvence altına almakla ilgili değildi.”
HIPAA'nın gizliliğe odaklanması, 2010'larda daha çeşitli siber güvenlik tehditlerini, özellikle de fidye yazılımlarını ele alma yeteneğini sınırladı. Bu arada, bunu sağlam bir güvenlik duruşu geliştirmek için bir temel olarak kullanmak yerine, kuruluşlar HIPAA'yı daha çok işaretlenecek bir kutu seti olarak ele alma eğilimindeydi. "Sonunda Bütçeleri uyumluluğa doğru yönlendirmek, mutlaka güvenliğe değilWeiss, "Ve son beş altı yılda, düzgün bir şekilde güvence altına alınmamış, düzgün bir şekilde bağlanmamış, düzgün bir şekilde yedeklenmemiş bir ortamda fidye yazılımlarına maruz kaldıklarında neler olduğunu gördük" diyor.
Dispersive'den Pingree, "Zaten tüm NIST kontrollerini uyguluyor olsalar bile," yeni HIPAA güvenlik kurallarını uygulamanın "küçük bir doktor muayenehanesi için 100,000 dolar kadar düşük bir maliyete mal olabileceğini veya büyük bir tıbbi grup iseniz milyonlarca dolara mal olabileceğini" tahmin ediyor.
Weiss'a göre, zor durumdaki sağlık kuruluşlarının tüm bu yeni kurallar ve ilişkili maliyetler arasında yol alabilmesinin olası bir yolu, dış kaynaklı, sanal bir baş bilgi güvenliği görevlisi (vCISO) kullanmaktır. Çünkü "sadece teknolojiyi satın almakla ilgili değil. Aynı zamanda, işletmeniz için ihtiyaç duyduğunuz siber güvenlik uzmanlığını işe almak ve elde tutmakla da ilgili" diyor.
"Bu kuruluşlar nereden başlayacaklarını bilmiyorlar," diye devam ediyor. "Siber güvenlik pazarı çok kafa karıştırıcı. Çok sayıda oyuncu var. Çok sayıda çözüm var. Yani siber güvenliğe harcayacak 100 dolarınız varsa, bunu nereye harcarsınız? Tüm bunları çözebilmek için yardıma ihtiyaçları var. Ve sanal bir CISO gibi bir şeyin bir stratejiyi uygulamaya yardımcı olabileceğini ve ardından sanal olarak etrafta olabileceğini düşünüyorum - kontrol etmek, soruları olduğunda ve yardıma ihtiyaç duyduklarında bu kuruluş için bir kaynak olmak. Tam zamanlı bir CISO'yu haklı çıkaramayan veya işe alamayan bu küçük kırsal hastaneler için iyi bir model gibi görünüyor."
Yazının tamamını Dark Reading'te okuyabilirsiniz. Buraya Tıkla
Uzmanlar: Yeni Görevler Birçok Kurum İçin Zor ve Maliyetli Olabilir
Uzmanlar, sağlık sektörüne yönelik federal siber güvenlik düzenlemelerinde önerilen revizyonun birçok kuruluş için zor ve masraflı bir yük anlamına gelebileceğini söyledi.
"Bu hükümleri yerine getirmenin maliyeti çok büyük olacak" dedi Errol WeissSağlık Bilgi Paylaşımı ve Analiz Merkezi'nin baş güvenlik görevlisi. "Bütün bunları ödemek için para nereden geliyor? Kaçınılan ihlal cezalarından gelecekteki tasarruflardan olamaz. Mali açıdan sıkıntıda olan sağlık hizmeti sağlayıcıları, özellikle küçük kırsal hastaneler, bu yeni önerileri destekleyecek kaynaklara sahip değil" dedi.
Weiss, bunun gibi düzenleyici gerekliliklerin, sağlık hizmeti sağlayıcılarının uygun teknolojiyi edinebilmeleri ve daha da önemlisi ağlarını yeterli şekilde koruyabilmek için deneyimli siber güvenlik uzmanlarını işe alıp ellerinde tutabilmeleri için finansman desteğiyle birlikte gelmesi gerekeceğini söyledi.
Makalenin tamamını Bank InfoSecurity'de okuyun. Buraya Tıkla
Google, kırsal sağlık sistemleri için yenilikçi eğitim programları, siber güvenlik istihbarat programları ve diğer kaynakları sunmak amacıyla Health-ISAC ile ortaklık kuruyor.
Sağlık kuruluşlarına yönelik siber saldırılar, faaliyet gösterme yeteneklerini bozar ve hasta bakımını tehlikeye atar. ABD'deki kırsal sağlık sistemleri 60 milyon kişiye hizmet veriyor ve sayısız topluluğun merkezinde yer alıyor. Siber olaylar nedeniyle kritik sağlık bilgi sistemleri kullanılamadığında, bir topluluktaki herkesin güvenliği tehdit altına girer.
Google, savunmasız sağlık sistemlerinin siber saldırılara karşı dayanıklılıklarını güçlendirmelerine yardımcı olmaya kendini adamıştır. Hizmetlerimizi, desteğimizi ve teknolojilerimizi sunmak için hükümet ve endüstriyle ortaklık kuruyoruz ve sistemlerin hasta bakımına odaklanmasını sağlıyoruz.
Güvenliği artırmak için özel bir girişim
Kırsal hastaneler için tasarlandı
Kırsal sağlık sistemleri ve hastaneler hizmet verdikleri toplulukların benzersizliğini yansıtır ve teklifimiz de öyle. Erişim ve işbirliği, danışmanlık ve destek hizmetleri ve güvenlik eğitimi kaynakları için güvenli tasarıma sahip büyüyen bir Google teknolojisi seti sunar ve bunları indirimli veya ücretsiz olarak sunar. Çözüm, her kırsal sağlık kuruluşunun ihtiyaçlarına göre uyarlanmıştır. Sağlık tesisi, kırsal olarak belirlenen bir ilçede veya bölgede bulunmalıdır. Sağlık Kaynakları ve Hizmet Yönetimi (İHDK).
Siber saldırılara karşı savunma ve yanıt verme konusunda etkili iş birliği, sağlık hizmetlerinin güvenliğini sağlamak için hayati öneme sahiptir. Google, büyükelçi ortak Sağlık Bilgi Paylaşımı ve Analiz Merkezi'ne (Health-ISAC). Health-ISAC'ın misyonu, üyelerin sağlık iyileştirmeye ve hayat kurtarmaya odaklanabilmeleri için siber güvenlik ve fiziksel güvenlik olaylarını önlemeye, tespit etmeye ve bunlara yanıt vermeye yardımcı olmak üzere küresel sağlık sektöründe güvenilir ilişkiler kurmaktır. Google, kırsal sağlık sistemleri için yenilikçi eğitim programları, siber güvenlik istihbarat programları ve diğer kaynakları sunmak üzere Health-ISAC ile ortaklık kurmaktadır.
Program teklifleri
Bunların çoğu, birçok kırsal sağlık sisteminin karşılaştığı mali kısıtlamaları kabul ederek ücretsiz veya önemli indirimlerle sunulacaktır. Ek olarak, uygun kuruluşlara uygulama hizmetleri ve destek sağlayacağız. Bu teklifler şu anda yalnızca ABD'de mevcuttur.
Bankacılık, hükümet ve sağlık sektörlerini kapsayan 25 yıllık kariyerini konuşmak ve 2025 ve sonrasında sağlık sektörünü etkileyecek en büyük siber güvenlik tehditlerini ve trendlerini belirlemek için Health-ISAC Baş Güvenlik Sorumlusu Errol Weiss ile bir araya geldik.
71. bölümü buradan dinleyebilirsiniz: Burayı dinle
Sağlık Siber Güvenliğinde Benzersiz Zorluklar
Weiss, sağlık kuruluşlarının finansal hizmetlere kıyasla karşılaştığı benzersiz zorlukları anlattı. Sağlık sistemleri genellikle modern bulut tabanlı sistemler, eski cihazlar (güncel olmayan işletim sistemlerine sahip MRI makineleri gibi) ve çeşitli tıbbi cihaz ekosistemleri dahil olmak üzere karmaşık altyapıları yönetir. Bu karmaşıklık, kaynakların tarihsel olarak gizlilik ve uyumluluğa (örneğin, HIPAA düzenlemeleri) sağlam güvenlik önlemleri yerine tahsis edilmesiyle siber güvenliğe uzun süredir yapılan yetersiz yatırımla daha da karmaşık hale geliyor.
Sağlık hizmetlerinde yetersiz finansman ve özel Baş Bilgi Güvenliği Görevlilerinin (CISO) eksikliğinin bu ortamları etkili bir şekilde korumayı zorlaştırdığını vurguladı. Ancak fidye yazılımı saldırıları gibi olaylar, son on yılda sağlık siber güvenliğine yönelik farkındalığı ve yatırımı artırdı.
