Bonn – Federal Bilgi Güvenliği Dairesi (BSI), doktor muayenehaneleri, hastaneler ve bakım yazılımlarındaki hassas sağlık verilerinin daha iyi korunması çağrısında bulunuyor. Ofis, sağlık sektöründeki yazılım ürünlerinin BT güvenliğinin “geliştirilebilir” olduğunu söyledi.
Federal Ofis, “Tıbbi tesisler siber suçlular için cazip hedefleri temsil ediyor” uyarısında bulunuyor. Çalınan veya şifrelenen hasta verileri, büyük miktarlarda parayı gasp etmek için potansiyel olarak kullanılabilir.
Ayrıca siber saldırılar sıklıkla tıbbi tedavilerin uzun süre aksamasına, operasyonların iptal edilmesine veya ertelenmesine, yetersiz acil bakıma, veri kaybına ve yüksek düzeyde sağlık ve mali hasara neden oldu.
Federal Ofise göre Almanya'da 120'den fazla muayenehane yönetim sistemi (PVS) satılmaktadır. BSI, heterojen alana rağmen Almanya'daki PVS'deki BT güvenliğinin durumu hakkında daha derin bir fikir edinebilmek için örnek bir güvenlik araştırmasının parçası olarak dört ürünü test etti.
Güvenlik uzmanları, “Farklı teknolojilere ve test koşullarına rağmen, PVS'de bir dizi benzer güvenlik açığı tespit edildi” diyor. Bu güvenlik açıkları, güncel olmayan şifreleme algoritmalarının kullanımını ve iletilen veya depolanan verilerin şifrelenmemesini içerir.
Çeşitli yerlerdeki dosya eklerinin güvenli olmayan şekilde işlenmesi de yinelenen bir bulguydu. BSI'ya göre, İnternet'ten gelen saldırılar genellikle birkaç güvenlik açığının birbirine bağlanmasıyla mümkün oluyor. BSI'nin vardığı sonuç, güvenlik araştırmalarının “PVS'de BT güvenliği alanında eyleme ihtiyaç olduğunu” gösterdiğidir.
Genel bakışta ofis, PVS'de daha fazla veri güvenliği için hangi adımların gerekli olduğunu özetlemektedir. BSI'ya göre bireysel önlemler yeterli değil; ihtiyaç duyulan şey üreticiler, operatörler ve kullanıcılar arasında koordineli bir etkileşimdir.
Temel olarak, BSI gereklilikleri, geliştirme sırasında ve operasyonda standart olarak güvenlik hususlarını sabitlemeyi amaçlamaktadır (“Tasarımdan Doğan Güvenlik” ve “Varsayılandan Güvenlik”). Bu, başlangıçta etkili erişim kontrollerinin tutarlı bir şekilde uygulanmasını içerir. Sistem içindeki her eylem, ideal olarak çok katmanlı bir mimari aracılığıyla kimlik doğrulama ve yetkilendirmeye bağlanmalıdır.
PVS, güçlü parolaların kullanımını etkin bir şekilde uygulamalı ve böylece kolayca tahmin edilebilecek erişim verilerinin hassas bilgilerin korunmasını zayıflatmasını önlemelidir. Ayrıca dosyalara erişimi sınırlayan mekanizmalara ihtiyaç vardır.
Ayrıca verilerin güvenli bir şekilde saklanması da önemlidir. Bu, hassas bilgilerin hem beklemedeyken hem de veri ortamında depolandığında, örneğin sabit sürücü şifreleme yoluyla şifrelenmesini içeriyordu.
Mevcut kriptografik prosedürlerin kullanılması da önemlidir; BSI'ya göre verilerin okunmasını veya manipüle edilmesini önlemek için yalnızca depolama konumları değil, aynı zamanda iletişim kanalları da aktarım şifrelemesi ile tutarlı bir şekilde güvence altına alınmalıdır.
PVS'ye benzer şekilde Federal Ofis de dijital hemşirelik dokümantasyon sistemlerinin BT güvenliğini inceledi. Üç örnek ürünü test ederken, iletişim şifreleme, kimlik doğrulama ve yazılım güncellemelerini kontrol etme konusundaki güvenlik açıkları özellikle dikkat çekiciydi. Güvenli ve etkili kullanıcı yetkilendirmesini imkansız hale getiren mimari güvenlik açıkları da fark edildi.
Bir yanıt yazın