Sağlık hizmetlerinde daha güvenli bir IoT için alınması gereken önlemler

HPE Aruba Ülke Müdürü Ersin Uyar; tehditleri en aza indirgemek için yapılması gerekenleri açıkladı.

Nesnelerin interneti cihazları sağlık hizmetlerinde eşi benzeri görülmemiş faydalar sunabilir. Hasta sonuçlarının iyileştirilmesi, personel verimliliği ve operasyonel maliyet tasarrufu sağlanırken, yeni güvenlik riskleri de beraberinde gelebilir. Uzmanlar, sağlık kurumlarının kötü amaçlı saldırganlardan kurtulmak için ellerinden gelen her şeyi yapmalarının bir zorunluluk olduğunu kaydederken, bu tehditleri en aza indirgemek için çok katmanlı bir güvenlik yaklaşımı gerektirdiğini belirtiyorlar.

HPE Aruba Ülke Müdürü Ersin Uyar; tehditleri en aza indirgemek için yapılması gerekenleri şöyle sıraladı:

Ağınızı hem içeriden hem de dışarıdan tanıyın

"Networkünüze bağlı nesnelerin interneti altyapısını güvenceye almak için, tam olarak neyin yürürlükte olduğunu bilmeniz gerekir. Daha fazla çalışan ve kullanıcı network hakkında bilgi sahibi oldukça, bu kişilerin ağa bağlı olup olmadıklarını kontrol etmek zorlaşıyor. Böylece isteyen herkes ağa giremeyecek. Bunun da ötesinde, hangi veri ve uygulamaya kimin erişebileceği ve kimlerin bu ağ ve cihazları yönetip koruyabileceğini belirleyen izinleri de koymaları mümkün. Bu çözümler, ağdaki bağlantıları otomatik olarak izler ve IT personelinin karantina aksiyonu almasına gerek kalmadan ayrıştırabilir. Atanmış IT personeli, şüpheli kötü niyetli olaylara karşın aksiyon almaları için bilgilendirilecektir.

Kullanıcılar, cihazlar ve nesnelerin görevlerini bilin

Networkün verimli çalışmasından emin olmak için, sayısız cihazın taşıdığı verilerin iletimi, networkteki konumlanmaları ve hem birleşik hem de yenilikçi bir deneyim için nasıl kullanıldıklarını değerlendirmek önemlidir. Sağlık hizmetlerinde, ameliyat odasında fiziksel olarak bulunmadan, hastanın kalp atış hızı gibi yaşamsal faaliyetler takip edilebilir. Bu beceri, olası bir sorunu tıbbi görevlilere gerek kalmadan hızlıca tespit etmek ve harekete geçmek (örneğin, yakınlardaki hemşireyi uyarmak) için kritik olabilir. Açıkça görülüyor ki bu tip kullanımlar sağlık kurumlarının güvenli ve verimli çalışması için ayrılmaz bir unsur. Aynı zamanda, bu kurumların halihazırdaki ekipmanlarını daha iyi kullanmalarını sağlayarak, nesnelerin internetinin sağlık hizmetlerinin bir parçası haline gelmesine neden olacaktır.

Değişiklikleri takip etmek için yapay zekayı kullanın

Cihazların network üzerinde tek bir yönetim platformunda bir araya getirilmesi ile güvenlik personeli elindeki ekipmanları bütüncül bir şekilde ele alıp daha akıllıca güvenlik politikaları tesis etmeye başlar. Fakat gerçek şudur ki, bir ağı güvenceye almak için ne kadar planlı ve sabırlı olunsa bile, tehditler yine de bir yolunu bulabilir. Neyse ki en yüksek becerileriyle mücadele etmek isteyen kuruluşlar için yapay zeka tabanlı makine öğrenimi, erken ve orta derece tehdit senaryoların tanınmasına yardımcı olma adına daha sofistike bir hale bürünüyor.

Sofistike siber saldırılar birkaç ay içerisinde zamanla kendini gösterir ama analitiğin devreye girmesiyle bu teknoloji genellikle kullanıcı cihazının profilinde kalıplara uymadığını gösteren davranış değişikliklerini tespit edebilir. Nitekim yakın tarihli bir rapor, güvenlik ihlallerinin üçte ikisinin dahili güçler tarafından değil, içerideki aktörler aracılığıyla gerçekleştiğini gösterdi. Yapay zeka ile birlikte güçlü bir erişim kontrol çözümünün bir araya getirilmesi, şüpheli cihazların veya çalışanların güvenlik ekiplerinin özellikle ilişkili anormallikleri analiz etmeye odaklanmalarını sağlamak için geçici olarak karantinaya alınmalarını sağlar. Bu yolla elde edilen tasarruflar, IT ekiplerinin güvenlikte daha proaktif bir pozisyon almaları için iş yüklerini dengelenmesine izin veriyor.

Ağınızı daha iyi bir güvenlikle şekillendirin

Siber saldırıların küresel yükselişiyle beraber, network ve güvenlik ekipleri arasındaki bağlantı artık kesilemez. Birincil güvenlik ögeleri, daha sofistike güvenlik politikalarının network geçidini sağlamak veya bant genişliğine erişim izni vermek için ağa gömülmelidir. Bununla ilgili karşılaşılabilecek zorluk, tarihsel olarak bazı özelliklerin standart olarak değil, isteğe bağlı olarak yerleştirilmesidir. Bu yüzden, cihazlar ve uygulamalar, network tasarımındaki risk unsuru oluşturabilecek kusurları pas geçebilir. Günümüzde hem kablosuz hem de kablolu networklerde gömülü güçlü güvenlik özellikleri, nesnelerin interneti ve mobiliteyle beraber saldırı yüzeyinin katlanarak büyüyen bir dünyada güvenlik ekiplerinin bunu yapabilmesini sağlar. Bu, güvenlik stratejisine içeriden bir yaklaşım gerektirir.

Sadece varsayılan ayarları kullanmayın

Varsayılan kimlik bilgileri ve parolaları değiştirmemenin bir sonucu olarak ortaya çıkan ihlallerin ne kadar sık yaşandığını duymak şaşırtıcı olabilir. Gerçek şu ki, bugüne kadarki nesnelerin interneti ile ilişkili ihlaller, kurumların güncelleme yapmaması nedeniyle mağduriyetle sonuçlandı. Tedarikçiler, şimdilerde daha da akıllandılar; şaşırtıcı bir şekilde, internette sergilenen standart yönetici ve parola varsayımlarından daha farklı seçenekler sunmaya başladılar. Yine de, bu internete bağlı her cihaz için özel kimlik bilgisini gerektirmez. Bunun yerine, rol bazlı güvenlik tavsiyelerine bağlı kalan karakter uzunlukları ve kombinasyonları bütün cihazlar için uygulanabilir.

Sağlık hizmetlerinde bu görev biçilen tüm kapı kilitlerinin ya da kalp ritmini ölçen ekranların, benzersiz kimlik bilgilerine sahip olabileceği anlamına gelir. Doğru kimlik bilgilerini giren çalışanlar, konumlarına, cihaz tiplerine ve kurumsal yönetişime bağlı olarak belli başlı uygulamalara erişebilirler. Bu, güvenlik ekiplerine çoklu kimlik doğrulamasından, bir güvenlik yazılımı güncellemesi ya da daha fazla denetimin sağlandığı karantina sürecine kadar uzanan ölçekte gerçekleştirilen bir dizi eylem değişikliğinde kuralları koyabilecek parametreleri kullanma şansı verir.

Güvenlikte en zayıf halka çoğu zaman insanlardır

Halihazırdaki teknolojiden ya da yürürlükte verilen izinlerden bağımsız olarak, cihazları kullanan ve erişen bireyleri eğitmek, bilgilendirmek ve izlemek kritik öneme sahiptir. Bilindiği üzere, güvensiz uygulamalar genellikle zayıf bir anlayışın sonucudur. Organizasyonun güvenliğini sürdürme yolunda, yürürlükteki protokollerin anlaşılması için tüm personeli düzenli olarak gözden geçirmek ve yeniden onay sürecine almak kritik önem taşır. Parola koruması ve istemi ile bir dizi süreç ve alıştırma oluşturarak, çalışanlar, networkün güvenli kalmasını sağlamak adına kendilerine düşenleri yapabilirler. Bireylere özgü parola istemi, herkesin sahip olduğu sağlam bir koruyucu çeper inşa etmek hem kendi kimlik bilgilerini hem de nihayetinde networkü korumak için anahtar görevi görür.

Yeniden değerlendirme ve gözden geçirme

Ağın güvenliğini sağlamak için ne kadar çaba sarf edilirse edilsin, yapılacaklar hiçbir zaman tam olarak bitmez. Bunun yerine organizasyonların, yeni teknolojiler ve öneriler ortaya çıktığı müddetçe uygulamalarını dönüştürmek ve geliştirmek için çaba harcamaları gerekir. Bu, herkesin güvenlik konusunda uzman olması anlamına gelmez. Tam tersine, yeniliği takip etmeleri ve sektörü geliştirmeleri için kurumların, tedarikçilerini ve iş ortaklarını gözden geçirmeleri anlamına gelir. Tüm bu adımları atmak güvenliği garanti etmez fakat güvenlik konusunu ciddiye alan sağlık kuruluşları, insandan, süreçten ya da teknolojiden doğan zayıflıkların büyük bir kısmını önleyeceklerdir".