“Utanç Duvarı” olarak da bilinen ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın Halen İncelenmekte Olan Vakalar son 24 ayda Amerika Birleşik Devletleri’ndeki sağlık kuruluşları tarafından bildirilen yüzlerce ihlalin ayrıntılarını veriyor. Tehditlerin sayısı ve bu tehditlerin maliyeti artmaya devam ediyor.
Sağlık sektörü kuruluşları, federal milletvekilleriyle birlikte çalışırken hükümetin kritik sağlık altyapısına yönelik amansız siber güvenlik saldırılarını ele almasına yardımcı olacak yollarendüstri aşağıdaki gibi konulara aşırı odaklanmıştır: üçüncü taraf siber güvenlik konusunda iğne nasıl hareket ettirilirişbirliği yapmak siber hazırlığı geliştirmek ve başlatmak için en iyi uygulamalar siber suç soruşturmaları. Burada Sağlık Bilişim Haberleri2022’nin en çok okunan gizlilik ve siber güvenlik hikayeleri.
EHR satıcısı, veri ihlalinin ardından dava açtı. Ocak ayında, EHR ve muayenehane yönetimi yazılımı sağlayan Tennessee merkezli QRS, Ağustos 2021’de hasta portalına yönelik bir veri ihlalinden kaynaklanan siber saldırıları önlemek ve tespit etmek için önerilen tehdit önlemlerini uygulamamakla suçlandı. Davacı, “QRS, korunan sağlık bilgilerini ve hasta portalında saklanan kişisel olarak tanımlanmış bilgileri makul bir şekilde güvence altına almakta, izlemekte ve sürdürmekte başarısız olmuştur” dedi.
Fidye yazılımı saldırısı onaylandıktan sonra CommonSpirit hala EHR sistemlerini geri yüklemek için çalışıyor. Ekim ayındaki siber saldırı, birkaç eyaletteki CommonSpirit hastanelerinde ve tıbbi tesislerde yaygın bir kesintiye neden oldu. Sonra 2017 birleşmesi DignityHealth ve Katolik Sağlık Girişimlerinin bir araya gelmesiyle sistem, ülke çapında 350’den fazla hastaneyle kar amacı gütmeyen ikinci en büyük hastane zinciri haline geldi. Tıbbi kayıtlara ve hasta portallarına erişimin kaybedilmesi, geciken tıbbi prosedürler, iptal edilen randevular ve diğer kesintiler, 140’tan fazla tesisteki operasyonları rahatsız etti. Sonrasında daha fazla araştırmaCommonSpirit, ihlalin Virginia Mason Franciscan Health tarafından tutulan korunan verileri de açığa çıkardığını keşfetti.
PATCH Yasası, tıbbi cihazlar ve IoT ağları için güvenliği artırmayı amaçlıyor. Nisan ayında, Sens. Tammy Baldwin, D-Wisconsin ve Dr. Bill Cassidy, R-Louisiana, tıbbi cihaz ve ağ güvenliği için bir dizi yeni gereksinimi uygulamak üzere Siber Sağlığı Koruma ve Dönüştürme Yasasını tanıttı. Gıda, İlaç ve Kozmetik Yasasını değiştirecek olan PATCH Yasası bu yıl kabul edilmese de, FDA Nisan ayında tıbbi cihaz siber güvenlik kılavuzu taslağını yayınladı ve bir olaya hazırlık ve müdahale taktik kitabı yayınlamak için MITRA ile birlikte çalıştı.
FBI, modası geçmiş tıbbi cihazların siber güvenlik risklerine ışık tutuyor. Federal Soruşturma Bürosu, insülin pompaları, intrakardiyak defibrilatörler, mobil kardiyak telemetri, kalp pilleri ve intratekal ağrı pompaları gibi aktif tıbbi cihazlardaki bir dizi siber güvenlik açığını gidermek için öneriler yayınladı. Ajans, tıbbi cihaz başına ortalama 6,2 güvenlik açığı buldu ve kullanım ömrünün sonundaki tıbbi cihazların %40’ında güvenlik yamaları veya yükseltmeleri çok az veya hiç yok. hastaneler
FBI ve CISA, sağlık hizmetlerini hedef alan Zeppelin fidye yazılımı konusunda uyardı. Ağustos ayında FBI ve İç Güvenlik’in Siber Güvenlik ve Altyapı Güvenliği Ajansı, Delphi tabanlı Vega kötü amaçlı yazılım ailesinin bir türevi olan Zeppelin fidye yazılımının sağlık kuruluşlarına yönelik siber saldırılarda kullanıldığına dair ortak bir uyarı yayınladı. CISA’ya göre siber suçlular, 2019’dan bu yana çok çeşitli kritik altyapı kuruluşlarına karşı Zeppelin’i konuşlandırdı ve bitcoin cinsinden yüksek fidye ödemeleri ve veri sızdırma talep etti. Uyarı, taktikleri, teknikleri ve prosedürleri ve sonuç veren olayları ve ayrıca hastanelerin ve sağlık sistemlerinin risklerini azaltmasına yardımcı olacak önerileri özetledi.
Siber güvenlik olayı, Tenet hastanelerindeki operasyonları aksatıyor. Nisan ayında, Dallas merkezli Tenet Healthcare Corporation, Massachusetts’te ambulansların geri çevrilmesi ve Florida’da EHR’lere erişimin kaybedilmesi dahil olmak üzere 550’den fazla akut bakım operasyonunun bazılarında aksamalar yaşadı. Şirket, siber ihlal sonucunda faaliyetlerini durdurdu ve bir hafta sonra yaptığı duyuruda birkaç ayrıntı verdi.
Kaiser Permanente çalışanının EHR’yi ihlal ettiği iddia edildi. Kasım ayında, Orta Atlantik Devletleri Kaiser Vakfı Sağlık Planı, çalışanlarından birinin hastalara ait tıbbi kayıtların bazı bölümlerine uygunsuz bir şekilde erişerek, hastaların demografisini ve fotoğraflar da dahil olmak üzere tıbbi bilgilerini ifşa ettiğini duyurdu. hakkında tartışmalar sırasında Son HIMSS 2022 Siber Güvenlik Forumunda içeriden gelen tehditlerbirçok sağlık BT uzmanı erişim yönetimiyle ilgili endişelerini dile getirdi.
Hastanelerin IoT cihazlarında hala bir kolu yok. Yıl ortasından hemen sonra yayınlanan Cynerio ve The Ponemon Institute’un HealthCare’de Bağlantılı Cihazların Güvensizliği 2022 raporu, yaygın ve tekrarlanan saldırılar, milyonlarla ölçülen mali kayıplar ve temel siber güvenlik önlemlerinin sık sık alınmasındaki başarısızlıklar dahil olmak üzere sağlık hizmetlerine yönelik bazı endişe verici eğilimleri ayrıntılı olarak açıkladı.
FDA, tıbbi cihaz siber güvenlik taslağı kılavuzunu yayınladı. 2018’de yayınlanan kılavuzun yerini alan FDA, pazarlanan tıbbi cihazların siber güvenlik tehditlerine karşı yeterince dayanıklı olmasını sağlamaya yardımcı olmak için Nisan ayında taslak yönergeler yayınladı. Ajans, Temmuz ayına kadar “Tıbbi Cihazlarda Siber Güvenlik: Kalite Sistemi Hususları ve Pazar Öncesi Sunumların İçeriği” hakkındaki yorumları kabul etti.
Rapora göre hastane siber saldırıları ile hasta ölümleri arasındaki doğrudan hat. 640’tan fazla BT ve güvenlik lideriyle yapılan bir ankete dayanarak, Ponemon Enstitüsü, ankete katılan kuruluşların %89’unun geçen yıl boyunca ortalama 43 saldırı yaşadığını ve her hafta ortalama olarak neredeyse bir saldırı yaşadığını tespit etti. Eylül raporu, en yaygın dört siber saldırı türüne maruz kalan sağlık sistemlerinin %20’sinin daha sonra hasta ölüm oranlarında artış yaşadıklarını belirtti.
Andrea Fox, Healthcare IT News’in kıdemli editörüdür.
E-posta: afox@himss.org
Healthcare IT News, bir HIMSS yayınıdır.