Kalp pilleri ve insülin pompaları siber saldırı riski altında…

Uluslararası pazarda çok satılan bir insülin pompasında Ağustos 2021’de keşfedilen güvenlik açıkları, siber saldırganların hastalara uzaktan çift doz ilaç vermelerini mümkün kıldığını ortaya çıkardı. Bu olay, endüstri genelinde tıbbi cihaz güvenliğindeki büyük boşlukları gözler önüne serdi.

Kalp pilleri, insülin pompaları gibi İnternet’e bağlı olarak çalışan tıbbi cihazların kullanımı giderek yaygınlaşıyor. Bu cihazlar; hastalara daha güvenli ve uygun tedavi fırsatı sunuyor, hastalığın seyrinin takibi açısından da önemli avantajlar sağlıyor. Ancak bu cihazlar ve üzerinde çalıştıkları ağlar, siber güvenlik açısından yeterli önlem alınmadığı takdirde; kimlik bilgilerinin çalınmasından tedavi süreçlerinin kesintiye uğramasına kadar uzanabilen pek çok kritik süreci de beraberinde getirebiliyor. Bilişim Uzmanı Can Sobutay, “Sağlık kuruluşlarının özellikle altyapıyı güvenceye almak, güvenlik açıklarını yamalamak ve sistemleri güncellemek için siber güvenlik yatırımlarını artırmaları şart. Ayrıca siber güvenlik bilincini artırarak personellerinin bu konudaki eğitim düzeyini yükseltmeleri kritik öneme sahip” dedi.

CİHAZLAR HER DAİM BAĞLANTIDA

Kalp pilleri, insülin pompalarının da aralarında bulunduğu İnternet’e bağlı olarak çalışan pek çok farklı tıbbi cihazın büyük bir çoğunluğu yazılım içeriyor; bilgi paylaşmak için İnternet’e, hastane ağlarına, cep telefonuna veya diğer cihazlara bağlanabiliyor. Bu cihazların kablosuz ya da kablolu bir bağlantıya bağlı olduğu her durum; siber güvenlik saldırısı ihtimalini de ortaya çıkarabiliyor.

İnternet’e bağlı tıbbi cihazların arkasındaki yazılım, özellikle cihaz eskiyse ve siber güvenlik düşünülerek oluşturulmadıysa, siber tehditlere karşı savunmasız olabiliyor. Böylece “daha fazla cihaz”, hasta bakımında tavizlerden veya kesintilerden kaçınmak için güvence altına alınması gereken “daha fazla saldırı yüzeyi” anlamına geliyor. Sağlık hizmetlerinin siber güvenlik açısından güçlenmemesi durumunda; hastaların kimlik bilgilerinin çalınmasından tedavi süreçlerinin kesintiye uğramasına kadar uzanabilen  pek çok kritik süreç ortaya çıkabiliyor.

GÜVENLİK HUSUSLARI EN BAŞINDAN İTİBAREN ÜRÜNÜN MERKEZİNDE OLMALI

İnternet’e bağlı tıbbi cihazlar nedeniyle ortaya çıkabilecek güvenlik sorunlarına dikkat çeken Bilişim Uzmanı Sobutay, “Kimlik avı, fidye yazılımı, üçüncü taraf riskleri ve tıbbi cihaz güvenlik açıkları, yakın gelecekte sağlık sektöründe devam eden tehditler olacak. Ancak bu durum; kuruluşların riskleri azaltmak ve 2021’deki sayısız siber güvenlik olayından ders çıkarmak için yapabilecekleri hiçbir şey olmadığı anlamına gelmiyor” diye konuştu.

Yazılım ve güvenlik araçlarının tasarım gereği güvenli olması gerekir. Bu; güvenlik hususlarını en başından itibaren ürünün merkezine koymak anlamına gelir. Çoğu zaman güvenlik seçenekleri son adım olarak eklenir, bu da doğal zayıflıkları ve boşlukları gözden kaçırmalarına sebep oluyor. Sağlık kuruluşlarının özellikle altyapıyı güvenceye almak, güvenlik açıklarını yamalamak ve sistemleri güncellemek için siber güvenlik yatırımlarını artırmaları şart. Ayrıca siber güvenlik bilincini artırarak personellerinin bu konudaki eğitim düzeyini yükseltmeleri kritik öneme sahip.

2025’E KADAR YÜZDE 42 BÜYÜME

Yapılan araştırmalara göre; İnternet’e bağlı tıbbi cihazların 2025 yılına kadar yüzde 42 oranında büyümesi bekleniyor. Yeni teknolojiler; implant edilebilir, giyilebilir, evde ya da sağlık bakım ortamlarında kullanılan farklı türdeki cihazlara uygulanabiliyor. Örneğin, implante edilmiş bir kalp cihazı olan hastalar uzaktan izlenebilir, bu da potansiyel olarak doktor muayenehanesine yapılan ziyaretlerin sayısını azaltabiliyor. Şeker ölçüm cihazları ve insülin pompaları da birbirleriyle haberleşebildiğinden, diyabetli kişiler kan şekeri düzeylerini yönetmek için yeni seçeneklere sahip olabiliyor.

SAĞLIK SEKTÖRÜNDEKİ SALDIRILAR 2021’DE YÜZDE 40 ORANINDA ARTTI

Geçen yıl yapılan bir araştırma ise; sağlık kuruluşlarının yüzde 80’inden fazlasının son 18 ayda IoT teknolojisi (Internet of Things-Nesnelerin İnterneti) odaklı güvenlik olaylarıyla karşılaştığını gözler önüne seriyor. Sağlık sektöründeki siber saldırıların 2021 yılında yaklaşık yüzde 40 oranında artışa geçtiği belirtiliyor.

TIBBİ CİHAZ GÜVENLİĞİNDE BÜYÜK BOŞLUKLAR VAR

Bir başka araştırmaya göre; 2021 yılında hasta güvenliğini potansiyel olarak etkileyebilecek önemli tıbbi cihaz güvenlik risklerinin olduğu belirlendi. Bu kapsamda uluslararası pazarda çok satılan bir insülin pompasında Ağustos 2021’de keşfedilen güvenlik açıklarının, siber saldırganların hastalara uzaktan çift doz ilaç vermelerini mümkün kıldığını ortaya çıkardı. Bu olay, endüstri genelinde tıbbi cihaz güvenliğindeki büyük boşlukları gözler önüne serdi.

Ayrıca 2021 yılında dört farklı sağlık tesisinde radyasyon tedavisi gören kanser hastalarının, dış bir satıcının onkoloji bulut hizmetine yapılan siber saldırının neden olduğu bir yazılım kesintisinden sonra randevularını yeniden planlamak zorunda kalması ile ilgili olay da tıbbi cihaz güvenliğindeki kritik önemi ortaya koydu. Sağlık kuruluşlarının uğradıkları bu tür saldırılar hastalar için son derece önemli olan elektronik sağlık kayıtlarına erişimi devre dışı bırakmakla kalmıyor, bu tür olaylar hastaların tıbbi cihazdan belirli bir tedaviyi alamamasına neden olacak şekilde bir kesintinin ortaya çıkabileceğini de gözler önüne seriyor.