Trace Id is missing

ABD Sağlık Sektörü risk altında: Fidye yazılımı saldırılarına karşı dayanıklılığı güçlendirmek

Paylaş
Tablete bakan bir grup sağlık uzmanı

Sağlık sektörü hızla artan bir dizi siber güvenlik tehdidiyle karşı karşıyadır ve fidye yazılımı saldırıları bunların en önemlilerinden biri olarak ortaya çıkmaktadır. Değerli hasta verileri, birbirine bağlı tıbbi cihazlar ve az sayıdaki BT/siber güvenlik operasyonları personeli sebebiyle kaynakların yetersiz dağılımı gibi faktörlerin birleşimi sağlık kuruluşlarını tehdit aktörleri için birincil hedef haline getirebilir. Sağlık hizmetleri operasyonları elektronik sağlık kayıtlarından (EHR) teletıp platformlarına ve ağa bağlı tıbbi cihazlara kadar giderek dijitalleştikçe, hastanelerin saldırı yüzeyi daha karmaşık hale geliyor ve saldırılara karşı zafiyetleri daha da artıyor.

Aşağıdaki bölümlerde sağlık sektöründeki mevcut siber güvenlik ortamına genel bir bakış sunulmakta, sektörün önemli bir hedef olduğu, fidye yazılım saldırılarının artan sıklığı ve bu tehditlerin maliyet ve hasta bakımında yol açtığı ciddi sonuçlar vurgulanmaktadır.

Microsoft Tehdit Analizi Stratejisi Direktörü Sherrod DeGrippo tarafından yönetilen bir video tartışması, tehdit aktörleri, kurtarma stratejileri ve sağlık hizmetlerindeki güvenlik açıkları hakkında uzmanlardan görüşler sunarak bu kritik konuları daha fazla irdeliyor.

Microsoft Tehdit Analizi Bilgilendirmesi: Sağlık Hizmetleri

Microsoft Tehdit Analizi için Tehdit Analizi Direktörlüğü yapmakta olan Sherrod DeGrippo, tehdit istihbaratı ve sağlık hizmetleri güvenliği uzmanları ile sağlık hizmetlerini fidye yazılımı saldırılarına karşı özel olarak hassas kılan şeylerin neler olduğunu, tehdit aktör gruplarının hangi taktikleri kullandığını, nasıl dirençli kalınabileceğini ve daha fazlasını inceleyen canlı bir yuvarlak masa tartışmasına liderlik ediyor.
  • Microsoft Tehdit Analizi'ne göre, sağlık hizmetleri/toplum sağlığı sektörü 2024'ün ikinci çeyreğinde en çok etkilenen ilk 10 sektörden biri oldu.1
  • Hizmet olarak fidye yazılımı (RaaS) teknik uzmanlıktan yoksun saldırganlar için giriş engellerini azaltırken, Rusya fidye yazılımı grupları için güvenli bir liman sağlıyor. Bunun sonucu olarak, fidye yazılımı saldırıları 2015'ten bu yana %300 oranında artış göstermiştir.2
  • Bu mali yılda, 389 ABD sağlık kurumu fidye yazılımlarından etkilendi ve bu ağların kapanmasına, sistemlerin çevrimdışı kalmasına, kritik tıbbi prosedürlerde gecikmelere ve randevuların yeniden planlanmasına neden oldu3. Bu saldırıların yüksek maliyetini gösteren sektör raporlarından birine göre, sağlık kuruluşları yalnızca kesinti süreleri nedeniyle günde 900.000 ABD dolarına kadar zarar etmektedir.4
  • Fidye ödediğini itiraf eden ve ödediği fidyeyi açıklayan 99 sağlık kuruluşunun ortanca ödeme miktarı 1,5 milyon ABD Doları, ortalama ödeme miktarı ise 4,4 milyon ABD Doları olmuştur.5

Hasta bakımı üzerindeki vahim etki

Bir fidye yazılımı saldırısının sağlık hizmetleri operasyonlarında yol açtığı aksama, yalnızca etkilenen hastanelerde değil, aynı zamanda acil servis hasta hacminin yer değiştirdiği yakın bölgelerdeki hastanelerde de hastaları etkili bir şekilde tedavi etme kabiliyetini ciddi ölçüde etkileyebilir.6

Dört hastaneye (ikisi saldırıya uğramış ve ikisi etkilenmemiş) yönelik bir fidye yazılımı saldırısının, etkilenmemiş iki komşu hastanede acil servis hasta hacminin artmasına, daha uzun bekleme sürelerine ve özellikle inme tedavisi gibi zamana duyarlı vakalarda kaynaklar üzerinde ek baskıya yol açtığını gösteren yakın tarihli bir çalışmanın bulgularını göz önüne alın.7
İnme vakalarında artış: Fidye yazılımı saldırısı, etkilenmeyen hastanelerin etkilenmeyen hastanelerden gelen hastaları kabul etmek zorunda kalması nedeniyle genel sağlık ekosistemi üzerinde önemli bir baskı oluşturdu. Yakındaki hastanelerde inme kodu aktivasyonları neredeyse iki katına çıkarak 59'dan 103'e yükselirken, teyit edilmiş inme vakaları %113,6 oranında artarak 22'den 47'ye çıktı.
Kalp durmalarında artış: Saldırı, etkilenmeyen hastanedeki kalp durması vakalarının %81'lik bir artışla 21'den 38'e yükselmesiyle sağlık sistemini zora soktu. Bu durum, bir tesisin tehlikeye girmesinin, yakındaki hastaneleri daha kritik vakaları ele almaya zorlayan zincirleme etkisini yansıtmaktadır.
Nörolojik sonuçların olumlu olduğu sağkalımlarda azalma: Hastane dışı kalp durmalarında nörolojik sonuçların olumlu olduğu sağkalım oranı, saldırıdan etkilenmeyen hastaneler için saldırı öncesinde %40 iken saldırı aşamasında %4,5'e düşerek büyük ölçüde azalmıştır.
Gelen ambulans sayısındaki artış: Saldırı aşamasında “etkilenmeyen” hastanelere acil sağlık hizmetleri (EMS) varışlarında %35,2'lik bir artış olmuştur; bu da etkilenen hastanelerden fidye yazılımı kaynaklı kesinti nedeniyle ambulans trafiğinde önemli bir yönlendirme olduğunu göstermektedir.
Hasta hacmindeki artışlar: Saldırı bölgedeki dört hastaneyi (ikisi saldırıdan etkilenen, ikisi etkilenmeyen) tehlikeye attığı için, etkilenmeyen hastanelerin acil servisleri (ED) önemli bir hasta akınına uğramıştır. Etkilenmeyen bu hastanelerdeki günlük hasta sayısı, saldırı öncesi döneme kıyasla saldırı döneminde %15,1 oranında artmıştır.
Bakım hizmetlerinde ek aksaklıklar: Saldırılar sırasında, etkilenmeyen hastanelerde hastaların doktora görülmeden ayrılması, bekleme odası süreleri ve kabul edilen hastaların toplam kalış sürelerinde kayda değer artışlar olmuştur. Örneğin, ortanca bekleme odası süresi saldırı öncesinde 21 dakika iken saldırı sırasında 31 dakikaya çıkmıştır.

Fidye yazılımı vaka çalışmaları

Sağlık sektöründeki fidye yazılımı saldırıları, yalnızca hedef alınan kuruluşlar için değil, aynı zamanda hasta bakımı ve operasyonel istikrar için de yıkıcı sonuçlar doğurabilir. Aşağıdaki vaka çalışmaları, fidye yazılımlarının büyük hastane sistemlerinden küçük kırsal polikliniklere kadar farklı sağlık kuruluşları üzerindeki geniş kapsamlı etkilerini göstermekte, saldırganların ağlara sızma yollarını ve bunun sonucunda temel sağlık hizmetlerinde meydana gelen aksaklıkları vurgulamaktadır.
  • Saldırganlar, çok faktörlü kimlik doğrulaması olması olmayan, zafiyetli bir uzaktan erişimli ağ geçidi üzerinden ağa erişmek için ele geçirilmiş kimlik bilgilerini kullandılar. Kritik altyapıyı şifreleyip, hassas verileri çifte şantaj planıyla dışarı sızdırarak, fidye ödenmediği takdirde bu verileri serbest bırakmakla tehdit ettiler.

    Etkisi:     Saldırı, sağlık hizmeti sağlayıcılarının ve eczanelerin %80'inin sigorta doğrulaması yapmasını veya talepleri işleme koymasını engelleyerek aksamalara neden oldu. 
  • Saldırganlar, hastanenin yamalanmamış eski yazılımındaki bir güvenlik açığından yararlanarak, hasta planlamasına ve tıbbi kayıtlarına sızmak için yatay hareket ettiler. Çifte şantaj taktiği kullanarak hassas verileri dışarı sızdırdılar ve fidye ödenmediği takdirde bunları serbest bırakmakla tehdit ettiler.

    Etkisi: Saldırı, faaliyetleri sekteye uğratarak randevuların iptal edilmesine, ameliyatların ertelenmesine ve manuel süreçlere geçilmesine neden olmuş, personeli zorlamış ve bakımı geciktirdi. 
  • Saldırganlar hastane ağına erişmek için kimlik avı e-postaları kullandılar ve EHR ve hasta bakım sistemlerini şifreleyerek fidye yazılımını konuşlandırmak için yamalanmamış güvenlik açıklarından yararlandılar. Çifte şantaj taktiğiyle, hassas hasta verilerini ve finansal verileri dışarı aktardılar ve fidye ödenmediği takdirde bunları sızdırmakla tehdit ettiler. 

    Etkisi:     Saldırı dört hastaneyi ve 30'dan fazla kliniği sekteye uğratarak tedavileri geciktirdi ve acil hastaları başka yerlere yönlendirdi. 
  • Şubat 2021'de bir fidye yazılımı saldırısı, 44 yataklı bir kırsal hastanenin bilgisayar sistemlerini felce uğratarak hastaneyi üç ay boyunca manuel operasyonlara zorladı ve sigorta taleplerini ciddi şekilde geciktirdi.

    Etkisi:     Hastanenin ödemeleri zamanında tahsil edememesi mali sıkıntıya yol açtı ve yerel kırsal halkı kritik sağlık hizmetlerinden yoksun bıraktı. 

Amerikan sağlık sektörü, geniş saldırı yüzeyi, eski sistemleri ve tutarsız güvenlik protokolleri nedeniyle mali motivasyona sahip siber suçlular için cazip bir hedef teşkil etmektedir. Sağlık hizmetlerinin dijital teknolojilere olan bağımlılığı, hassas verileri ve birçok kuruluşun karşılaştığı kaynak kısıtlamalarının (genellikle çok düşük marjlar nedeniyle) birleşimi, siber güvenliğe tam olarak yatırım yapma yeteneklerini sınırlayabilir ve bu da onları özellikle savunmasız hale getirebilir. Buna ek olarak, sağlık kuruluşlarının her ne pahasına olursa olsun hasta bakımına öncelik vermeleri, kesintileri önlemek için fidye ödemeye istekli olmalarına yol açabilir.

Fidye ödemekle bilinmek

Fidye yazılımlarının sağlık sektörü için bu kadar belirgin bir sorun haline gelmesinin bir nedeni de sektörün fidye ödemeleri konusundaki sicilidir. Sağlık kuruluşları hasta bakımına her şeyden daha fazla öncelik verir ve aksaklıkları önlemek için milyonlarca dolar ödemeleri gerekiyorsa, genellikle bunu yapmaya gönüllüdürler.

Öyle ki, 402 sağlık kuruluşuyla yapılan bir ankete dayanan yakın tarihli bir rapora göre, kuruluşların %67'si geçtiğimiz yıl bir fidye yazılımı saldırısına maruz kalmıştır. Bu kuruluşlardan %53'ü, 2023 yılındaki %42'ye göre artış göstererek, 2024'te fidye ödediğini itiraf etmiştir. Raporda ayrıca, itiraf edilen ortalama fidye ödemesinin 4,4 milyon ABD Doları tutarında olmasının ortaya koyduğu finansal etkiye de dikkat çekiliyor.12

Sınırlı güvenlik kaynakları ve yatırımları

Bir diğer önemli zorluk ise sağlık sektörü genelinde siber güvenlik için ayrılan bütçe ve kaynakların sınırlı olmasıdır. CSC 2.0 (kongre tarafından zorunlu kılınan Siber Uzay Solaryum Komisyonu'nun çalışmalarını sürdüren bir grup) tarafından kısa süre önce yayınlanan Sağlık Hizmetleri Siber Güvenliğinin Check-Up'a İhtiyacı Var raporuna13 göre, "bütçelerin kısıtlı olması ve hizmet sağlayıcıların temel hasta hizmetlerine öncelik vermesi nedeniyle, siber güvenlik genellikle yetersiz finanse edilmiş ve bu da sağlık kuruluşlarını saldırılara karşı daha savunmasız bırakmıştır."

Ayrıca, sorunun ciddiyetine rağmen, sağlık hizmeti sağlayıcıları siber güvenliğe yeterince yatırım yapmamaktadır. Genellikle acil klinik ihtiyaçların siber güvenlik gibi daha az görünür yatırımlara göre önceliklendirilmesine yol açan bir dolaylı ödeme modeli de dahil olmak üzere bir dizi kompleks faktör nedeniyle, sağlık hizmetleri son yirmi yılda siber güvenliğe önemli ölçüde yetersiz yatırım yapmıştır.10

Ayrıca, Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA), veri gizliliğine yönelik yatırımlara öncelik verilmesine yol açmış ve genellikle veri bütünlüğü ve kullanılabilirliğini ikincil kaygılar olarak bırakmıştır. Bu yaklaşım, özellikle Kurtarma Süresi Hedeflerinin (RTO) ve Kurtarma Noktası Hedeflerinin (RPO) düşürülmesi noktasında kurumsal esnekliğe odaklanmanın azalmasına neden olabilir.

Eskimiş sistemler ve altyapı zafiyetleri

Siber güvenliğe yeterince yatırım yapılmamasının bir sonucu, istismar için birincil hedef haline gelen süresi geçmiş, güncellenmesi zor eskimiş sistemlere bel bağlanmasıdır. Buna ek olarak, birbirinden farklı teknolojilerin kullanılması, güvenlik açıkları olan yamalı bir altyapı oluşturarak saldırı riskini artırmaktadır.

Bu zafiyetli altyapı, sağlık sektörünün son zamanlarda konsolidasyona yönelmesiyle daha da karmaşık hale gelmiştir. Yükselişte olan hastane birleşmeleri (2022'ye göre %23 artarak 2020'den bu yana en yüksek seviyelerde14), birden fazla konuma yayılmış karmaşık altyapılara sahip kuruluşlar yaratıyor. Siber güvenliğe yeterli yatırım yapılmadığı takdirde, bu altyapılar saldırılara karşı son derece zafiyetli hale gelmektedir.

Genişleyen saldırı yüzeyi

Birbirine bağlı cihazlar ve tıbbi teknolojilerden oluşan, klinik olarak bütünleşik bakım ağları hasta sonuçlarını iyileştirmeye ve hayat kurtarmaya yardımcı olsa da aynı zamanda dijital saldırı yüzeyini de genişleterek tehdit aktörlerinin giderek daha fazla yararlandığı bir şey haline geldi.

Hastaneler, CT tarayıcıları, hasta izleme sistemleri ve infüzyon pompaları gibi kritik tıbbi cihazları ağlara bağlayarak her zamankinden daha fazla çevrimiçi hale geldiler, ancak hasta bakımını ciddi şekilde etkileyebilecek güvenlik açıklarını belirlemek ve azaltmak için gereken görünürlük düzeyine her zaman sahip değiller.

California Üniversitesi San Diego Sağlık Siber Güvenlik Merkezi'nin Eş-Direktörleri ve Kurucu Ortakları Doktor Christian Dameff ve Jeff Tully, bir hastanenin uç noktalarının ortalama %70'inin bilgisayar değil cihazlar olduğunu belirtiyor.   
Tıbbi ekipman, beyaz bir çekmece ve mavi bir perde bulunan bir hastane odası.

Sağlık kuruluşları ayrıca devasa miktarlarda veri iletimi yapmaktadır. Sağlık Bilişimi Ulusal Koordinatörü Ofisi'nin verilerine göre, hastanelerin %88'inden fazlası hasta sağlık bilgilerini elektronik olarak gönderip aldığını ve %60'ından fazlası bu bilgileri elektronik sağlık kayıtlarına (EHR'ler) entegre ettiğini bildirmiştir.15

Küçük, kırsal poliklinikler kendilerine özgü zorluklarla karşı karşıyalar

Kırsal kesimdeki kritik erişimli hastaneler, güvenlik risklerini önlemek ve düzeltmek için genellikle sınırlı araçlara sahip olduklarından, fidye yazılımı olaylarına karşı özellikle savunmasızdır. Bu durum bölge halkı için bir felaket olabilir, zira bu hastaneler genellikle hizmet verdikleri bölge halkına kilometrelerce uzaklıktaki tek sağlık hizmeti seçeneğidir.

Dameff ve Tully'ye göre, kırsal kesimdeki hastaneler genellikle daha büyük, kentsel muadilleriyle aynı düzeyde siber güvenlik altyapısına veya uzmanlığına sahip değiller. Ayrıca, bu hastanelerin birçoğunun iş sürekliliği planlarının güncel olmayabileceğini veya fidye yazılımı gibi modern siber tehditleri ele almada yetersiz kalabileceğini belirtiyorlar.

Birçok küçük veya kırsal hastane, çok düşük kar marjlarıyla çalışarak önemli mali kısıtlamalarla karşı karşıya kalmaktalar. Bu finansal gerçeklik, sağlam siber güvenlik önlemlerine yatırım yapmalarını zorlaştırıyor. Bu tesisler genellikle tek bir BT uzmanına, yani günlük teknik sorunları yönetme konusunda yetkin ancak siber güvenlik konusunda uzmanlık bilgisine sahip olmayan birine güvenmekteler.

Sağlık ve İnsan Hizmetleri Bakanlığı Sağlık Sektörü Siber Güvenlik Görev Gücü tarafından 2015 Siber Güvenlik Yasası kapsamında hazırlanan bir rapor, kırsal kesimdeki kritik erişimli hastanelerin önemli bir kısmının siber güvenliğe odaklanmış tam zamanlı bir çalışanı olmadığını vurgulamakta ve daha küçük sağlık hizmeti sağlayıcılarının karşılaştığı daha geniş kaynak zorluklarının altını çizmektedir.

“Genellikle sadece ağ ve bilgisayar yönetimi konusunda uzman olan bu BT genel uzmanları, 'Yazdıramıyorum, oturum açamıyorum, şifrem ne?” gibi şeylerle uğraşmaya alışkındır,” diye açıklıyor Dameff. “Siber güvenlik uzmanı değiller. Personelleri yok, bütçeleri yok ve nereden başlayacaklarını bile bilmiyorlar.”

Bir siber suçlunun saldırı süreci tipik olarak iki adımlı bir yaklaşım izler: genellikle kimlik avı veya güvenlik açıklarından yararlanma yoluyla ağa ilk erişimin sağlanması ve ardından kritik sistemleri ve verileri şifrelemek için fidye yazılımının konuşlandırılması. Meşru araçların kullanımı ve RaaS'ın yaygınlaşması da dahil olmak üzere bu taktiklerin evrimi, saldırıları daha erişilebilir ve sık hale getirmiştir.

Bir fidye yazılımı saldırısının ilk aşaması: Sağlık hizmetleri ağına erişim kazanma

Daha önce Microsoft'ta kurumsal e-posta tehdit analizi ve tespit mühendisliğine odaklanan bir ekibi yöneten Jack Mott, "E-postanın fidye yazılımı saldırıları için kötü amaçlı yazılım ve kimlik avı saldırılarının iletilmesinde en büyük vektörlerden biri olmaya devam ettiğini belirtiyor.”16

Microsoft Tehdit Analizi tarafından yapılan taşra hastaneleri de dahil olmak üzere birden fazla operasyonu temsil eden 13 hastane sistemine yönelik bir analizde, gözlemlenen kötü niyetli siber faaliyetlerin %93'ü kimlik avı kampanyaları ve fidye yazılımlarıyla ilişkiliydi ve çoğu faaliyet e-posta tabanlı tehditlerle temsil ediliyordu.17
"E-postalar, fidye yazılımı saldırıları için kötü amaçlı yazılım ve kimlik avı saldırılarının iletilmesinde en büyük vektörlerden biri olmaya devam etmektedir."
Jack Mott 
Microsoft Tehdit Analizi

Sağlık kuruluşlarına yönelik faaliyetlerde sıklıkla son derece spesifik yemler kullanılmaktadır. Mott, örnek olarak, tehdit aktörlerinin güvenilirliklerini artırmak ve sağlık çalışanlarını başarılı bir şekilde kandırmak için otopsi raporlarına atıfta bulunmak gibi sağlık hizmetlerine özgü jargon içeren e-postaları nasıl oluşturduklarını vurguluyor. 

Bu gibi sosyal mühendislik taktikleri, özellikle sağlık hizmetleri gibi yüksek stresli ortamlarda, sağlık çalışanlarının sıklıkla hissettiği aciliyetten faydalanarak potansiyel güvenlik açıklarına yol açmaktadır. 

Mott ayrıca saldırganların yöntemlerinde giderek daha sofistike hale geldiklerini, tespit edilmekten kaçınmak için genellikle "gerçek isimler, meşru hizmetler ve BT departmanlarında yaygın olarak kullanılan araçlar (ör. uzaktan yönetim araçları)" kullandıklarını belirtiyor. Bu taktikler, güvenlik sistemlerinin kötü niyetli ve meşru faaliyetler arasında ayrım yapmasını zorlaştırıyor. 

Microsoft Tehdit Analizi verileri de saldırganların genellikle kuruluşun yazılım veya sistemlerinde geçmişte tespit edilmiş bilinen güvenlik açıklarından faydalandığını göstermektedir. Bu Yaygın Güvenlik Açıkları ve Korunma Gerektiren Durumlar (CVE'ler), iyi belgelenmiştir, yamaları veya düzeltmeleri mevcuttur ve saldırganlar genellikle bu eski güvenlik açıklarını hedef alırlar çünkü birçok kuruluşun bu zayıflıkları henüz ele almadığını bilirler.18 

İlk erişimi elde ettikten sonra saldırganlar genellikle ağ keşfi yaparlar ve bu keşif olağandışı tarama faaliyetleri gibi göstergelerle tespit edilebilir. Bu eylemler, tehdit aktörlerinin ağın haritasını çıkarmasına, kritik sistemleri belirlemesine ve saldırının bir sonraki aşaması olan fidye yazılımını konuşlandırmaya hazırlanmasına yardımcı olur.

Bir fidye yazılımı saldırısının son aşaması: Kritik sistemleri şifrelemek için fidye yazılımı konuşlandırma

Genellikle kimlik avı veya e-posta yoluyla gönderilen kötü amaçlı yazılımlar aracılığıyla ilk erişim sağlandıktan sonra, tehdit aktörleri ikinci aşamaya geçer: fidye yazılımının konuşlandırılması.

Jack Mott, RaaS modellerinin yükselişinin sağlık sektöründe fidye yazılımı saldırılarının sıklığının artmasına önemli ölçüde katkıda bulunduğunu açıklıyor. Mott,"RaaS platformlarının sofistike fidye yazılımı araçlarına erişimi genele yaygınlaştırdığını ve minimum teknik beceriye sahip olanların bile son derece etkili saldırılar başlatmasına olanak sağladığını" belirtiyor. Bu model, saldırganlar için giriş eşiğini düşürerek fidye yazılımı saldırılarını daha erişilebilir ve etkili hale getiriyor.
"RaaS platformları sofistike fidye yazılımı araçlarına erişimi genele yaygınlaştırıyor ve minimum teknik beceriye sahip olanların bile son derece etkili saldırılar başlatmasına olanak sağlıyor.” 
Jack Mott 
Microsoft Tehdit Analizi

Mott, RaaS'ın nasıl çalıştığını daha da detaylandırıyor ve şöyle diyor: "Bu platformlar fidye ödemelerini müzakere etmek için genellikle şifreleme yazılımı, ödeme işlemleri ve hatta müşteri hizmetleri de dahil olmak üzere kapsamlı bir araç paketi içerir. Bu anahtar teslim yaklaşım, daha geniş bir yelpazedeki tehdit aktörlerinin fidye yazılımı kampanyaları yürütmesine olanak tanıyarak saldırıların sayısında ve şiddetinde artışa yol açıyor."

Ayrıca Mott, bu saldırıların koordineli bir şekilde gerçekleştiğinin altını çizerek, "Fidye yazılımları bir kez konuşlandırıldıktan sonra saldırganların genellikle birkaç saat içinde kritik sistemleri ve verileri şifrelemek için hızlı bir şekilde hareket ettiğini vurguluyor. Hasta kayıtları, teşhis sistemleri ve hatta faturalandırma işlemleri gibi temel altyapıyı hedef alarak sağlık kuruluşları üzerindeki etkiyi ve fidye ödeme baskısını en üst düzeye çıkarıyorlar."

Sağlık hizmetlerinde fidye yazılımı saldırıları: Başta gelen tehdit aktörü gruplarının profili

Sağlık sektöründeki fidye yazılımı saldırıları genellikle son derece organize ve uzmanlaşmış tehdit aktörü grupları tarafından gerçekleştiriliyor. Hem mali motivasyona sahip siber suçluları hem de sofistike ulus-devlet tehdit aktörlerini içeren bu gruplar, ağlara sızmak, verileri şifrelemek ve kuruluşlardan fidye talep etmek için gelişmiş araçlar ve stratejiler kullanıyor.

Bu tehdit aktörleri arasında, otoriter uluslardan devlet destekli hackerların fidye yazılımları kullandığı ve hatta casusluk amacıyla fidye yazılım gruplarıyla işbirliği yaptığı bildirilmiştir. Örneğin, Çin hükümetinin tehdit aktörlerinin fidye yazılımlarını casusluk faaliyetleri için bir kılıf olarak giderek daha fazla kullandıklarından şüpheleniliyor.19

2024 yılında sağlık kuruluşlarını hedef alma konusunda en aktifleri İranlı tehdit aktörleri olarak görünüyor.20 Nitekim Ağustos 2024'te ABD Hükümeti, Lemon Sandstorm olarak bilinen İran merkezli bir tehdit aktörü hakkında sağlık sektörüne yönelik bir uyarı yayınladı. Bu grup “görünüşe göre Rusya'ya bağlı fidye yazılımı çetelerinin gelecekteki fidye yazılımı saldırılarını kolaylaştırmak, yürütmek ve bunlardan kâr elde etmek için sağlık kuruluşları da dahil olmak üzere ABD kuruluşlarına yetkisiz ağ erişiminden faydalanıyordu.”21

Aşağıdaki profiller, sağlık sektörünü hedef alan en kötü şöhretli finansal motivasyonlu fidye yazılımı gruplarından bazılarına ilişkin bilgiler sunmakta, yöntemlerini, motivasyonlarını ve faaliyetlerinin sektör üzerindeki etkisini detaylandırmaktadır.
  • Lace Tempest, sağlık hizmetlerini hedef alan ve sıklıkla eylem gerçekleştiren bir fidye yazılımı grubudur. Bir RaaS modeli kullanarak, ortaklarının fidye yazılımlarını kolayca dağıtmalarına olanak sağlarlar. Grup, hastane sistemlerine yönelik kritik hasta verilerini şifreleyen ve fidye talep eden yüksek etkili saldırılarla ilişkilendirilmiştir. Çifte şantaj yapmalarıyla tanınan bu kişiler sadece verileri şifrelemekle kalmıyor, aynı zamanda fidye ödenmediği takdirde hassas bilgileri sızdırmakla tehdit ederek verileri dışa aktarıyorlar.
  • Sangria Tempest, sağlık kuruluşlarına yönelik gelişmiş fidye yazılımı saldırılarıyla ünlüdür. Gelişmiş şifreleme kullanarak, fidye ödemeden veri kurtarmayı neredeyse imkansız hale getiriyorlar. Ayrıca, hasta verilerini dışa aktarıp, sızdırmakla tehdit ederek çifte şantaj uyguluyorlar. Saldırıları geniş çaplı operasyonel aksaklıklara yol açarak sağlık sistemlerini kaynaklarını başka yöne aktarmaya zorluyor ve bu da hasta bakımını olumsuz etkiliyor.
  • Dağıtık hizmet engelleme (DDoS) saldırılarıyla tanınan Cadenza Tempest, giderek artan bir şekilde sağlık hizmetlerine ilişkin fidye yazılımı operasyonlarına yönelmeye başladı.  Rusya yanlısı bir hacktivist grup olarak tanımlanan bu grup, Rus çıkarlarına düşman bölgelerdeki sağlık sistemlerini hedef alıyor. Saldırıları hastane sistemlerinin aşırı zorlanmasına neden olarak kritik operasyonları sekteye uğratıyor ve özellikle fidye yazılımı kampanyalarıyla birleştiğinde kargaşa yaratıyor.
  • Temmuz 2022'den bu yana aktif olan Vanilla Tempest adlı finansal motivasyona sahip grup, son zamanlarda ABD sağlık hizmetlerini hedef almak için RaaS sağlayıcıları aracılığıyla tedarik edilen INC fidye yazılımını kullanmaya başladı. Kimlik bilgilerini çalmak, yatay hareket etmek ve fidye yazılımı konuşlandırmak için özel komut dosyaları kullanıyor, güvenlik açıklarından ve standart Windows araçlarından faydalanıyorlar. Ayrıca, sistemlerin kilidini açmak ve çalınan verilerin yayınlanmasını önlemek için fidye talep ederek çifte şantaj uyguluyorlar.

Giderek daha sofistike hale gelen fidye yazılımı saldırıları karşısında sağlık kuruluşları siber güvenlik konusunda çok yönlü bir yaklaşım benimsemelidir. Hasta bakımının sürekliliğini korurken siber olaylara karşı dayanıklı olmaya, bunlara yanıt vermeye ve bunlardan toparlanmaya hazırlıklı olmalılardır.

Aşağıdaki kılavuz, dayanıklılığı artırmak, hızlı bir kurtarma sağlamak, güvenlik öncelikli bir işgücünü teşvik etmek ve sağlık sektörü genelinde bir işbirliğini teşvik etmek için kapsamlı bir çerçeve sunmaktadır.

İdare: Hazırlıklılık ve dayanıklılığın sağlanması

Bulutlu mavi bir gökyüzünün altında çok sayıda penceresi olan bir bina

Sağlık hizmetleri siber güvenliğinde fidye yazılımı saldırılarına hazırlanmak ve bunlara yanıt vermek için etkili bir idare esastır. UC San Diego Sağlık Hizmetleri Siber Güvenlik Merkezi'nden Dameff ve Tully, net roller, düzenli eğitim ve disiplinler arası işbirliği ile sağlam bir idare çerçevesi oluşturulmasını öneriyorlar. Bu, sağlık kuruluşlarının fidye yazılımı saldırılarına karşı dayanıklılıklarını artırmalarına ve önemli kesintiler karşısında bile hasta bakımının sürekliliğini sağlamalarına yardımcı oluyor.

Bu çerçevenin önemli bir yönü, uyumlu olay müdahale planları geliştirmek için klinik personel, BT güvenlik ekipleri ve acil durum yönetimi uzmanları arasındaki engelleri yıkmayı içeriyor. Bu departmanlar arası işbirliği, teknoloji sistemleri tehlikeye girdiğinde hasta güvenliğini ve bakım kalitesini korumak için hayati önem taşıyor.

Dameff ve Tully ayrıca olay müdahale planlarını gözden geçirmek ve güncellemek için düzenli olarak toplanan özel bir idari organa veya konseye sahip olmanın gerekliliğini vurguluyor. Bu idari organların gerçekçi simülasyonlar ve tatbikatlar yoluyla müdahale planlarını test etmelerini ve kağıt üzeri kayıtlara aşina olmayabilecek genç klinisyenler de dahil olmak üzere tüm personelin dijital araçlar olmadan etkin bir şekilde çalışmaya hazır olmalarını sağlamalarını tavsiye ediyorlar.

Ayrıca, Dameff ve Tully dışa dönük işbirliğinin önemini vurguluyor. Büyük ölçekli olaylar sırasında hastanelerin birbirlerini desteklemelerine olanak tanıyan bölgesel ve ulusal çerçeveleri savunmakta ve tehlikeye giren sistemlerin yerini geçici olarak alabilecek "stratejik bir ulusal teknoloji stokuna" duyulan ihtiyacı yineliyorlar.

Dayanıklılık ve stratejik yanıtlar

Sağlık hizmetleri siber güvenliğinde dayanıklılık, sadece verileri korumanın ötesine geçer; tüm sistemlerin saldırılara dayanabilmesini ve saldırılardan toparlanabilmesini sağlamayı içerir. Dayanıklılığa yönelik kapsamlı bir yaklaşımın önemi büyüktür; yalnızca hasta verilerinin korunmasına değil, aynı zamanda sağlık operasyonlarını destekleyen tüm altyapının güçlendirilmesine de odaklanılmalıdır. Buna sistemin tamamı, yani ağ, tedarik zinciri, tıbbi cihazlar ve daha fazlası dahildir.

Katmanlı bir güvenlik duruşu oluşturmak ve fidye yazılımı saldırılarını etkili bir şekilde engellemek için derinlemesine bir savunma stratejisi benimsemek kritik öneme sahiptir.

Katmanlı bir güvenlik duruşu oluşturmak ve fidye yazılımı saldırılarını etkili bir şekilde engellemek için derinlemesine bir savunma stratejisi benimsemek kritik öneme sahiptir. Bu strateji, ağdan uç noktalara ve buluta kadar sağlık altyapısının her katmanının güvence altına alınmasını içerir. Sağlık kuruluşları, birden fazla savunma katmanının devrede olduğundan emin olarak başarılı bir fidye yazılımı saldırısının riskini azaltabilir.

Microsoft müşterilerine yönelik bu katmanlı yaklaşımın bir parçası olarak, Microsoft Tehdit Analizi ekipleri saldırgan davranışları etkin bir şekilde izler. Böyle bir faaliyet tespit edildiğinde doğrudan bildirim yapılır.

Bu ücretli veya kademeli bir hizmet değildir; her büyüklükteki işletmeye aynı ilgi gösterilir. Buradaki amaç, fidye yazılımları da dahil olmak üzere potansiyel tehditler tespit edildiğinde derhal uyarı sağlamak ve kuruluşu korumak için adım atılmasına yardımcı olmaktır.

Bu savunma katmanlarının devreye sokulmasının yanı sıra, etkili bir olay müdahale ve tespit planına sahip olmak da hayati önem taşımaktadır. Bir plana sahip olmak yeterli olmaz; sağlık kuruluşları, gerçek bir saldırı sırasında hasarı en aza indirmek ve hızlı bir kurtarma sağlamak için bunu etkili bir şekilde uygulamaya hazır olmalıdır.

Son olarak, sürekli izleme ve gerçek zamanlı tespit kabiliyetleri, potansiyel tehditlerin derhal belirlenerek onlara müdahale olanağı sağlayan sağlam bir olay müdahale çerçevesinin temel bileşenleridir.

Sağlık hizmetlerinde siber dayanıklılık hakkında daha fazla bilgi edinmek için Sağlık ve İnsan Hizmetleri Bakanlığı (HHS), sağlık kuruluşlarının yüksek etkili siber güvenlik uygulamalarının uygulanmasına öncelik vermelerine yardımcı olmak amacıyla gönüllü sağlık hizmetlerine özel Siber Güvenlik Performans Hedefleri (CPG'ler) yayınladı.

Ortak endüstri siber güvenlik çerçeveleri, yönergeleri, en iyi uygulamaları ve stratejilerini kullanarak iş birliğine dayalı bir kamu/özel sektör ortaklığı süreciyle oluşturulan CPG'ler , sağlık kuruluşlarının siber hazırlığı güçlendirmek, siber dayanıklılığı artırmak ve hasta sağlık bilgilerini ve güvenliğini korumak için kullanabilecekleri siber güvenlik uygulamalarının bir alt kümesini oluşturmaktadır.

Saldırı sonrası operasyonları hızla onarmak ve güvenliği güçlendirmek için adımlar

Fidye yazılımı saldırısından kurtulmak, gelecekteki olayların önlenmesini sağlarken normal operasyonlara hızla dönülmesini garanti altına almak için sistematik bir yaklaşım gerektirir. Hasarı değerlendirmeye, etkilenen sistemleri geri yüklemeye ve güvenlik önlemlerini güçlendirmeye yardımcı olacak uygulanabilir adımlar aşağıda belirtilmiştir. Sağlık kuruluşları bu yönergeleri izleyerek bir saldırının etkisini azaltabilir ve gelecekteki tehditlere karşı savunmalarını güçlendirebilirler.
Oluşan etkiyi değerlendirin ve saldırıyı kontrol altına alın

Daha fazla yayılmayı önlemek için etkilenen sistemleri derhal izole edin.
Bilinen sorunsuz yedekleri kullanarak onarın

Operasyonları onarma işlemlerine başlamadan önce temiz yedeklemelerin mevcut olduğundan ve doğrulandığından emin olun. Fidye yazılımı şifrelemesinden kaçınmak için çevrimdışı yedeklemeler bulundurun.
Sistemleri yeniden oluşturun

Kalıcı kötü amaçlı yazılımları ortadan kaldırmak için yama uygulamak yerine, tehlike altındaki sistemleri yeniden oluşturmayı düşünün. Sistemleri güvenli bir şekilde yeniden oluşturma konusunda Microsoft Olay Yanıtlama ekibinin rehberliğinden yararlanın. 
Saldırı sonrası güvenlik kontrollerini güçlendirin

Saldırı sonrası güvenlik duruşunuzu, güvenlik açıklarını gidererek, sistemleri yamalayarak ve uç nokta algılama araçlarını geliştirerek güçlendirin.
Olay sonrası inceleme yapın

Dışarıdan bir güvenlik sağlayıcısıyla çalışarak saldırıyı analiz edin, zayıf noktaları belirleyin ve gelecekteki olaylara karşı savunmanızı iyileştirin.

Güvenliği ön planda tutan bir iş gücü oluşturmak

Bir kadının yüzüne bakan bir erkek ve bir kadın.

Güvenliği ön planda tutan bir iş gücü oluşturmak, disiplinler arası sürekli iş birliği gerektirir.

Güvenliği ön planda tutan bir iş gücü oluşturmak, disiplinler arası sürekli iş birliği gerektirir. Tutarlı olay müdahale planları geliştirmek için BT güvenlik ekipleri, acil durum yöneticileri ve klinik personel arasındaki engelleri ortadan kaldırmak önemlidir. Bu işbirliği olmadan hastanenin geri kalanı siber bir olay sırasında etkili bir şekilde yanıt vermek için yeterli hazırlıklara sahip olmayabilir.

Eğitim ve farkındalık

Etkili eğitim ve güçlü bir raporlama kültürü, bir sağlık kuruluşunun fidye yazılımlarına karşı savunmasının temel bileşenleridir. Sağlık çalışanları genellikle hasta bakımına öncelik verdikleri için siber güvenliğe her zaman aynı derecede dikkat etmeyebilirler ve bu da onları siber tehditlere karşı daha savunmasız hale getirebilir.

Bu sorunu çözmek için, kimlik avı e-postalarının nasıl tespit edileceği, şüpheli bağlantılara tıklamanın nasıl önleneceği ve yaygın sosyal mühendislik taktiklerinin nasıl tanınacağı gibi siber güvenliğin temellerini içeren devamlı bir eğitim verilmelidir.

Microsoft'un Siber Güvenlik Farkındalığı kaynakları bu konuda yardımcı olabilir.

Microsoft'tan Mott, "çalışanları suçlanma korkusu olmadan güvenlik sorunlarını bildirmeye teşvik etmenin önemli olduğunu" bildiriyor. "Bir şeyi ne kadar erken bildirirseniz o kadar iyidir. Eğer tehlikesizse, bu en iyi ihtimaldir."

Düzenli tatbikatlar ve simülasyonlar, kimlik avı veya fidye yazılımı gibi gerçekteki saldırıları da taklit etmeli ve personelin kontrollü bir ortamda yanıt verme pratiği yapmasına yardımcı olmalıdır.

Bilgi paylaşımı, işbirliği ve kolektif savunma

Fidye yazılımı saldırılarının sıklığı genel olarak arttığından (Microsoft, müşterilerimiz arasında yıllık bazda 2,75'lik bir artış gözlemliyor16), kolektif bir savunma stratejisi vazgeçilmez hal alıyor. Sağlık hizmetleri operasyonlarının ve hasta güvenliğinin güvence altına alınması için dahili ekipler, bölgesel ortaklar ve daha geniş ulusal/global ağlar arasındaki iş birliği hayati öneme sahiptir.

Bu grupları bir araya getirerek kapsamlı olay müdahale planları tasarlamak ve uygulamak, saldırılar sırasında operasyonel kargaşanın önlenmesini sağlayabilir.

Dameff ve Tully, doktorlar, acil durum yöneticileri ve BT güvenlik personeli gibi genellikle izole bir şekilde çalışan dahili ekipleri birleştirmenin önemini vurguluyor. Bu grupları bir araya getirerek kapsamlı olay müdahale planları tasarlamak ve uygulamak, saldırılar sırasında operasyonel kargaşanın önlenmesini sağlayabilir.

Bölgesel düzeyde, sağlık kuruluşları, sağlık tesislerinin kapasite ve kaynak paylaşımına olanak tanıyan ortaklıklar kurmalı ve bazı hastaneler fidye yazılımlarından etkilendiğinde bile hasta bakımının devam etmesini sağlamalıdır. Bu tür bir kolektif savunma, aynı zamanda hasta yoğunluğunun yönetilmesine ve yükün sağlık hizmeti sağlayıcıları arasında dağıtılmasına da yardımcı olabilir.

Bölgesel iş birliklerinin ötesinde, ulusal ve küresel bilgi paylaşım ağları da hayati önem taşımaktadır. Health-ISAC gibi ISAC'ler (Bilgi Paylaşım ve Analiz Merkezleri), sağlık kuruluşlarının önemli tehdit analizlerini paylaşmaları için platform görevi görmektedir. Health-ISAC'nin Baş Güvenlik Sorumlusu Errol Weiss, bu kuruluşları, üye kuruluşların saldırılar ve kanıtlanmış azaltma teknikleri hakkında ayrıntıları hızla paylaşabildiği "sanal mahalle bekçisi programlarına" benzetiyor. Bu istihbarat paylaşımı, başkalarının benzer tehditlere karşı hazırlanmasına veya onları ortadan kaldırmasına yardımcı olarak, kolektif savunmayı daha geniş ölçekte güçlendirir.

  1. [1]
    Microsoft iç tehdit analizi verileri, 2. çeyrek, 2024
  2. [2]
    (CISO'lar için Yönetici Özeti: Mevcut ve Ortaya Çıkmakta Olan Sağlık Siber Tehdit Tablosu; Health-ISAC ve Amerikan Hastane Birliği (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    TRANSKRİPT: Microsoft'un Siber Güvenlik Eksikliklerini Değerlendirmek İçin Temsilciler Meclisi Komitesi Oturumu, Tech Policy Press, 15 Haziran 2024
  4. [4]
    "Sağlık kuruluşları ortalama olarak fidye yazılımı saldırılarından kaynaklanan kesintiler nedeniyle günde 900.000 ABD doları kaybediyor", Comparitech, 6 Mart 2024
  5. [5]
    Sağlık Hizmetleri Fidye Yazılımı Saldırıları Sayı ve Ciddiyet Açısından Artmaya Devam Ediyor,” HIPAA Journal, Eylül 2024
  6. [6]
    Hacked to Pieces? Fidye Yazılımı Saldırılarının Hastaneler ve Hastalar Üzerindeki Etkileri; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Fidye Yazılımı Saldırısı ABD'de Yakın Mesafedeki Acil Servislerdeki Aksaklıklarla İlişkilendirildi; Fidye Yazılımı Saldırısı ABD'de Yakın Mesafedeki Acil Servislerdeki Aksaklıklarla İlişkilendirildi | Acil Tıp | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    "Ascension Fidye Yazılımı Saldırısı Finansal Toparlanmaya Zarar Veriyor" The HIPPA Journal, 20 Eylül 2024
  10. [10]
    "UC San Diego Health'e Yönelik Kimlik Avı Saldırısında Hasta Verileri İfşa Oldu," The HIPPA Journal, 13 Mart 2024
  11. [11]
    Kırsal Illinois Hastanesini Kapatma Kararında Fidye Yazılımı Saldırısı Temel Faktör,” The HIPPA Journal, 14 Haziran 2023
  12. [12]
    Sağlık Hizmetleri Fidye Yazılımı Saldırıları Sayı ve Ciddiyet Açısından Artmaya Devam Ediyor,” HIPAA Journal, Eylül 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    2023'te daha fazla hastane birleşmesi gerçekleşti ve mali sıkıntılar daha hastaneyi anlaşmaya güdüyor (chiefhealthcareexecutive.com)
  15. [15]
    2021'de Hastaneler Arası İş Birliği ve Değişim Yöntemleri | HealthIT.gov
  16. [16]
    Microsoft Dijital Savunma Raporu 2024 Microsoft, sayfa 27
  17. [17]
    Microsoft Tehdit Analizi telemetrisi, 2024
  18. [18]
    Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu,” CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Microsoft Tehdit Analizi’nin Sağlık Sektörü siber tehditlerine ilişkin verileri, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Fidye yazılımı Siber suç

Güvenlik hakkında daha fazlası

Siber Destek Hijyen Kılavuzu

Temel siber hijyen, hala bir kurumun kimliklerini, cihazlarını, verilerini, uygulamalarını, altyapısını ve ağlarını tüm siber tehditlerin %98'ine karşı korumanın en iyi yoludur. Bu kapsamlı kılavuzda pratik ipuçlarını keşfedin.
Daha fazla bilgi edinin

Hastaneleri sekteye uğratan ve hayatları tehlikeye atan hackerlarla mücadelenin içinden

Microsoft tehdit verileri ve araştırmalarından en son ortaya çıkan tehditler hakkında bilgi edinin. İlk savunma hattınızı güçlendirmek için trend analizleri ve eyleme geçirilebilir rehberlik alın.
Daha fazla bilgi edinin

Güven ekonomisinden beslenmek: sosyal mühendislik dolandırıcılığı

Güvenin hem bir değer hem de güvenlik açığı olduğu gelişen dijital ortamı keşfedin. Siber saldırganların en çok kullandığı sosyal mühendislikle dolandırıcılık taktiklerini keşfedin ve insan doğasını manipüle etmek için tasarlanmış sosyal mühendislik tehditlerini belirlemenize ve alt etmenize yardımcı olabilecek stratejileri gözden geçirin.
Daha fazla bilgi edinin

Microsoft Güvenlik'i takip edin