Ağa bağlı kalp pili ve insülin pompalarında güvenlik açığı
İnternete bağlı tıbbi cihazlarda artan siber güvenlik tehditlerine dikkat çeken uzmanlar, kalp pilleri ve insülin pompalarındaki açıkların altını çizerek, "Yaşanan örnekler siber saldırganların, hastalara uzaktan çift doz ilaç verebildiğini bile gösterebiliyor" uyarısında bulundu.
Uluslararası pazarda çok satılan bir insülin pompasında Ağustos 2021’de keşfedilen güvenlik açıklarının, siber saldırganların hastalara uzaktan çift doz ilaç vermelerini mümkün kıldığını ortaya çıkardı. Bu olay, endüstri genelinde tıbbi cihaz güvenliğindeki büyük boşlukları gözler önüne serdi.
Kalp pilleri, insülin pompaları gibi internete bağlı olarak çalışan tıbbi cihazların kullanımı giderek yaygınlaşıyor. Bu cihazlar; hastalara daha güvenli ve uygun tedavi fırsatı sunuyor, hastalığın seyrinin takibi açısından da önemli avantajlar sağlıyor. Ancak bu cihazlar ve üzerinde çalıştıkları ağlar, siber güvenlik açısından yeterli önlem alınmadığı takdirde; kimlik bilgilerinin çalınmasından tedavi süreçlerinin kesintiye uğramasına kadar uzanabilen pek çok kritik süreci de beraberinde getirebiliyor.
Konu hakkında açıklamalarda bulunan İnfrasis Siber Mühendislik Genel Müdürü Can Sobutay, “Sağlık kuruluşlarının özellikle altyapıyı güvenceye almak, güvenlik açıklarını yamalamak ve sistemleri güncellemek için siber güvenlik yatırımlarını artırmaları şart. Ayrıca siber güvenlik bilincini artırarak personellerinin bu konudaki eğitim düzeyini yükseltmeleri kritik öneme sahip” dedi.
AĞA BAĞLI CİHAZLAR SALDIRI İHTİMALİNİ ARTIRIYOR
Teknoloji alanında yaşanan gelişmelere bağlı olarak sürekli yenilenen internete bağlı tıbbi cihazların kullanımı artıyor. Kalp pilleri, insülin pompalarının da aralarında bulunduğu internete bağlı olarak çalışan pek çok farklı tıbbi cihaz, sağlık hizmeti sonuçlarının iyileşmesine katkıda bulunuyor. Büyük bir çoğunluğu yazılım içeren bu cihazlar; bilgi paylaşmak için internete, hastane ağlarına, cep telefonuna veya diğer cihazlara bağlanabiliyor. Bu cihazların kablosuz ya da kablolu bir bağlantıya bağlı olduğu her durum; siber güvenlik saldırısı ihtimalini de ortaya çıkarabiliyor.
İnternete bağlı tıbbi cihazların arkasındaki yazılım, özellikle cihaz eskiyse ve siber güvenlik düşünülerek oluşturulmadıysa, siber tehditlere karşı savunmasız olabiliyor. Böylece “daha fazla cihaz”, hasta bakımında tavizlerden veya kesintilerden kaçınmak için güvence altına alınması gereken “daha fazla saldırı yüzeyi” anlamına geliyor. Sağlık hizmetlerinin siber güvenlik açısından güçlenmemesi durumunda; hastaların kimlik bilgilerinin çalınmasından tedavi süreçlerinin kesintiye uğramasına kadar uzanabilen pek çok kritik süreç ortaya çıkabiliyor.
GÜVENLİK ÜRÜNÜN MERKEZİNDE OLMALI
İnternete bağlı tıbbi cihazlar nedeniyle ortaya çıkabilecek güvenlik sorunlarına dikkat çeken İnfrasis Siber Mühendislik Genel Müdürü Can Sobutay, “Kimlik avı, fidye yazılımı, üçüncü taraf riskleri ve tıbbi cihaz güvenlik açıkları, yakın gelecekte sağlık sektöründe devam eden tehditler olacak. Ancak bu durum; kuruluşların riskleri azaltmak ve 2021’deki sayısız siber güvenlik olayından ders çıkarmak için yapabilecekleri hiçbir şey olmadığı anlamına gelmiyor” diye konuştu.
“Yazılım ve güvenlik araçlarının tasarım gereği güvenli olması gerekir” ifadelerini kullanan Sobutay, “Bu; güvenlik hususlarını en başından itibaren ürünün merkezine koymak anlamına gelir. Çoğu zaman güvenlik seçenekleri son adım olarak eklenir, bu da doğal zayıflıkları ve boşlukları gözden kaçırmalarına sebep oluyor. Sağlık kuruluşlarının özellikle altyapıyı güvenceye almak, güvenlik açıklarını yamalamak ve sistemleri güncellemek için siber güvenlik yatırımlarını artırmaları şart. Ayrıca siber güvenlik bilincini artırarak personellerinin bu konudaki eğitim düzeyini yükseltmeleri kritik öneme sahip” açıklamasını yaptı.
KALP CİHAZI OLAN HASTALAR UZAKTAN İZLENEBİLİR
Yapılan araştırmalara göre; internete bağlı tıbbi cihazların 2025 yılına kadar yüzde 42 oranında büyümesi bekleniyor. Yeni teknolojiler; implant edilebilir, giyilebilir, evde ya da sağlık bakım ortamlarında kullanılan farklı türdeki cihazlara uygulanabiliyor.
Örneğin, implante edilmiş bir kalp cihazı olan hastalar uzaktan izlenebilir, bu da potansiyel olarak doktor muayenehanesine yapılan ziyaretlerin sayısını azaltabiliyor. Şeker ölçüm cihazları ve insülin pompaları da birbirleriyle haberleşebildiğinden, diyabetli kişiler kan şekeri düzeylerini yönetmek için yeni seçeneklere sahip olabiliyor.
SALDIRILAR YÜZDE 40 ARTTI
Geçen yıl yapılan bir araştırma ise; sağlık kuruluşlarının yüzde 80’inden fazlasının son 18 ayda IoT teknolojisi (Internet of Things-Nesnelerin İnterneti) odaklı güvenlik olaylarıyla karşılaştığını gözler önüne seriyor. Sağlık sektöründeki siber saldırıların 2021 yılında yaklaşık yüzde 40 oranında artışa geçtiği belirtiliyor.
Farklı bir diğer araştırmaya göre; 2021 yılında hasta güvenliğini potansiyel olarak etkileyebilecek önemli tıbbi cihaz güvenlik risklerinin olduğu belirlendi. Bu kapsamda uluslararası pazarda çok satılan bir insülin pompasında Ağustos 2021’de keşfedilen güvenlik açıklarının, siber saldırganların hastalara uzaktan çift doz ilaç vermelerini mümkün kıldığını ortaya çıkardı. Bu olay, endüstri genelinde tıbbi cihaz güvenliğindeki büyük boşlukları gözler önüne serdi.
Ayrıca 2021 yılında dört farklı sağlık tesisinde radyasyon tedavisi gören kanser hastalarının, dış bir satıcının onkoloji bulut hizmetine yapılan siber saldırının neden olduğu bir yazılım kesintisinden sonra randevularını yeniden planlamak zorunda kalması ile ilgili olay da tıbbi cihaz güvenliğindeki kritik önemi ortaya koydu.
Sağlık kuruluşlarının uğradıkları bu tür saldırılar hastalar için son derece önemli olan elektronik sağlık kayıtlarına erişimi devre dışı bırakmakla kalmıyor, bu tür olaylar hastaların tıbbi cihazdan belirli bir tedaviyi alamamasına neden olacak şekilde bir kesintinin ortaya çıkabileceğini de gözler önüne seriyor.