NL Cyberattack’ten Çok Önce, Sistemdeki İşaretli Kusurları Bildirin


Newfoundland ve Labrador’un en büyük sağlık otoritesindeki bilgi güvenliği düzenlemelerini inceleyen İsrailli siber uzmanlar, ağ içinde ele alınması gereken “çok sayıda güvenlik açığı, güvenlik endişesi ve uyumluluk sorununu” doğruladı.

Ayrıntılar, Eylül 2020’de Eastern Health için hazırlanan ve CBC/Radio-Canada tarafından yakın zamanda elde edilen bir iş planında yer almaktadır.

Teklifte, “Yetenekli personel eksikliği, belirlenmiş süreçlerin eksikliği ve kaçınılmaz siber güvenlik tehditleri için uygun teknolojinin bulunmaması nedeniyle eyalet sistemi şu anda hiçbir bilgi veya yanıt vermeksizin siber güvenlik ihlalleri yaşıyor olabilir” dedi.

Rapor, geçen sonbahardaki siber saldırının eyaletin sağlık sistemini felç etmesinden bir yıldan fazla bir süre önce tamamlandı.

Tespit ettiği sorunlardan herhangi birinin geçen sonbahardaki ihlalle bağlantılı olduğuna dair hiçbir belirti yok.

Aslında, siber saldırıya neyin neden olduğu konusunda hiçbir kamuya açıklanma yapılmadı. Eyalet hükümeti yetkilileri, güvenlik nedenlerini öne sürerek saldırıyla ilgili soruları yanıtlamayı defalarca reddetti.

Eastern Health’in inovasyon ve kırsal sağlıktan sorumlu başkan yardımcısı Ronald Johnson, CBC/Radio-Canada’ya, iş planının eyalette bir siber güvenlik mükemmellik merkezi inşa etme sürecinin bir parçası olarak oluşturulduğunu söyledi.

Ancak raporda dile getirilen endişeleri gidermek için tam olarak ne yapıldığını söylemedi.

“Bu değerlendirmelerden bazı eylemler olabilirdi. Ancak yine de, bu değerlendirmelerin bu daha büyük proje için zemin hazırlaması gerekiyordu, ”dedi Johnson.

“Belirlenen bu sorunlar, bu daha büyük sorunlar, sağlık sistemi için zorluklar dediğim şeyler. Ve bu siber mükemmellik merkezi olan COE’nin amacı, bu zorlukların üstesinden gelmektir.”

NL siber saldırısından çok önce, sistemdeki işaretlenmiş kusurları bildirin |  CBC Haberleri
Ronald Johnson, Eastern Health, Newfoundland ve Labrador’un en büyük sağlık otoritesinde inovasyon ve kırsal sağlıktan sorumlu başkan yardımcısıdır. (Patrick Butler/Radyo-Kanada)

Johnson, çalışmanın ülke genelinde sağlık kuruluşlarını etkileyebilecek “küresel sorunları” tanımlamayı amaçladığını söyledi.

“Bu proje, uzun vadede siber güvenliği ele almaktır. Bu, kısa vadede gerçekleşecek herhangi bir şeyi mutlaka engellemez.”

Johnson, kısa vadeli çabaları tartışamayacağını söyledi.

Sağlık Bakanlığı, raporda dile getirilen endişeleri gidermek için herhangi bir kişiyi görüşme için uygun hale getirmeyi reddetti.

‘Kesinlikle bir uyarı olarak kabul edilebilir’

Eastern Health, 2019’dan beri mükemmellik merkezi konseptinde ortaklarıyla birlikte çalışmaktadır.

2020 iş planı, Kanada İsrail Teknoloji Çözümleri adlı Ottawa merkezli bir şirket tarafından hazırlandı.

Eyaletteki tüm sağlık yetkilileri için ağ güvenliğinden sorumlu olan Eastern Health ve Newfoundland ve Labrador Sağlık Bilgi Merkezi’ndeki BT sisteminin “maruziyetinin derinlemesine analizini” içeriyordu.

İsrailli şirket CyberMDX tarafından yapılan asıl analiz gizli kalıyor. Ancak bulgularının genel hatları 2020 iş teklifinde açıklanıyor.

CBC/Radio-Canada, yarım düzine siber güvenlik uzmanına bu 40 sayfalık belgeyi ele almaları için verdi.

İrlanda’daki University College Cork’taki Sağlık Bilgi Sistemleri Araştırma Merkezi müdürü Simon Woodworth, “Bence kesinlikle bir uyarı olarak kabul edilebilir” dedi.

“Ve bu açıdan, siber saldırının uyarıdan bir yıl sonra gerçekleşmiş olması önemli.”

Crypto Quebec’te çalışan bir gazeteci ve programcı olan Sam Harper, “Alarmlar [were] Ben okurken söndü.”

‘Yetersiz güvenlik analisti’

Raporun siber güvenlik ihtiyaçlarıyla ilgili bir bölümü, bir dizi olası soruna atıfta bulundu.

Bunlar, eski teknolojiden personel eksikliğine, varlıklarla ilgili bilgileri takip etmek için kullanılan yetersiz bir veri tabanına kadar uzanıyordu.

Rapora göre, bazı BT sistemlerinde uygun şekilde yönetilemeyen veya yama uygulanamayan ve büyük olasılıkla yükseltilmesi veya tamamen devre dışı bırakılması gereken eskimiş bileşenler vardı.

Belge, siber tehditleri belirlemek, yanıtlamak, azaltmak ve bunlara karşı savunmak için daha fazla güvenlik personeli önerdi.

Eastern Health ve NLCHI sistemleri en iyi uygulamalara ve güvenlik standartlarına göre inşa edilmiş olsa da, “tam uyumluluğu sağlayabilecek yetersiz güvenlik analistleri” olduğunu söyledi.

Sonuç olarak, belirli sayıda kritik güvenlik sistemi üzerinde yıllık olarak yalnızca kısmi denetim gerçekleştiriliyordu.

NL siber saldırısından çok önce, sistemdeki işaretlenmiş kusurları bildirin |  CBC Haberleri
Doğu Sağlık yetkilileri, potansiyel sorunları tespit eden 2020 raporunun, Newfoundland ve Labrador’da bir siber güvenlik mükemmellik merkezi inşa etmek için uzun vadeli bir sürecin parçası olarak oluşturulduğunu söyledi. (REUTERS/Kacper Pempel/Dosya Fotoğrafı)

Siber güvenlik yönetiminin kurucu ortağı ve lideri Iva Tasheva, “Sistemi bakımını yapacak personeliniz yoksa, bu, yağını, ampullerini veya lastiklerini asla değiştirmeyi düşünmediğiniz bir arabaya sahip olmak gibidir” dedi. Brüksel merkezli danışmanlık firması CyEn.

“Yani sonunda yıpranacak ve çok hızlı bir şekilde eski haline gelecekti.”

Crypto Quebec’ten Sam Harper kabul etti.

Harper, “Herkes her zaman her şeyin standartlara ve her şeye göre inşa edildiğini söyler, ancak ne yazık ki, önemli olan daha sonra bunu nasıl sürdürdüğünüzdür,” dedi.

“Yani evi en iyi şekilde yapabilirsiniz ama gereken onarımları hiç yapmazsanız, bozulduğunda tamir etmezseniz, 20 yıl sonra, 10 yıl sonra… başı belada olabilir.”

İsviçre’deki Lozan Üniversitesi’nde siber güvenlik profesörü olan Solange Ghernaouti, yeni risklerin geliştiğini ve suç uygulamaları da dahil olmak üzere uygulamaların da değiştiğini söyledi.

Ghernaouti, “Bu, güvenliği sağlamak için teknisyenlere ihtiyacımız olduğu anlamına geliyor, ancak her şeyden önce durumu, neyin korunması gerektiğini ve riskleri anlayabilen analistlere ihtiyacımız var.” Dedi.

Ağda ‘uyumluluk sorunları ele alınacak’

2020 iş planı ayrıca, tam bir mevcut yapılandırma öğesi veritabanının yerinde veya bakımının yapılmadığını ve bunun da gereken yükseltmelerin ve yamaların tam kapsamını belirlemeyi zorlaştırdığını kaydetti.

Bu veritabanı temel olarak donanım ve yazılım varlıklarının bir envanteridir.

Küresel olarak faaliyet gösteren İrlandalı bir siber güvenlik firması olan SmartTech247’nin yönetim kurulu başkanı Ronan Murphy, “Bu durumda, ağ genelinde çok açık bir görünürlük eksikliği var” dedi.

“Görünürlüğünüz olsa bile, analistleriniz veya gördüğünüz sorunları çözme yeteneğiniz yoksa bu bir kısır döngüdür. Bu tartışmalı bir nokta.”

NL siber saldırısından çok önce, sistemdeki işaretlenmiş kusurları bildirin |  CBC Haberleri
Newfoundland ve Labrador hükümet yetkilileri, geçen sonbaharda eyaletin sağlık sistemini kaosa sürükleyen bir siber saldırı hakkında çok az bilgi verdi. Bunun fidye yazılımından mı kaynaklandığını veya kimin sorumlu olduğunu söylemezler. (Kacper Pempel/Reuters)

Rapora göre Eastern Health, Carbonear hastanesindeki sistemleri pasif olarak izlemek için CyberMDX’i bir aylık “değer kanıtı” sözleşmesi için kiraladı.

2020 iş teklifinde, “Sistemin çalıştığı kısa süre içinde, CyberMDX’in bulguları, EH ağı içinde ele alınması gereken çok sayıda güvenlik açığı, güvenlik endişesi ve uyumluluk sorunu olduğunu doğruladı” dedi.

Yakın zamanda başka bir firma tarafından satın alınan CyberMDX, CBC/Radio-Canada’nın Newfoundland ve Labrador’daki çalışmaları hakkında daha fazla bilgi sağlama talebini reddetti.

Kanada İsrail Teknoloji Çözümleri yetkililerine yorum için ulaşılamadı.

Mükemmeliyet merkezi durumu

CBC/Radio-Canada tarafından temasa geçen bir dizi siber güvenlik uzmanı, 2020 iş planının sağlık otoritesine yapılan satış konuşmasının bir parçası olduğunu ve sonuçlara bakarken bu bağlamın akılda tutulması gerektiğini vurguladı.

Eastern Health, süreç endüstrinin ilgisini ve mükemmellik fikrinin merkezindeki geri bildirimi ölçmek için ilerlerken, belgeyi geçen yıl potansiyel özel sektör ortaklarının kullanımına sundu.

Başkan Yardımcısı Ronald Johnson, planın ilerlemeye devam ettiğini ve muhtemelen bu yılın sonuna kadar gerçekleşeceğini söyledi.

Amaç, sektörde uzmanlık oluştururken il sağlık hizmetleri altyapısını siber tehditlere karşı güvenceye almaktır.

Johnson, “Varlıklarımızı koruyacağız, ancak aynı zamanda istihdam yaratacağız ve ekonomik kalkınma yapacağız” dedi.

“Bu yüzden yapıyorduk.”

Geçen yaz bir Eastern Health sunumuna göre, mükemmellik merkezi, 28 milyon dolardan fazla net maliyete maruz kaldıktan sonra, beş yıl sonra bile neredeyse kırılacaktı.

Siber saldırıyla ilgili sorular yanıtsız kaldı

Hükümet yetkilileri, eyaletteki sağlık bilgisayar sistemlerinin çoğunu çökerten siber saldırının birçok yönü hakkında sessiz kaldı.

Binlerce sağlık kurumu çalışanının kişisel bilgilerinin çalındığını, yıllar hatta on yıllar öncesine kadar hasta sağlık verilerini içerebilecek 200.000 Doğu Sağlık kaydı ile birlikte doğruladılar. Ameliyatlar ve tıbbi prosedürler geçen sonbaharda ertelendi.

Ancak eyalet hükümeti saldırıdan kimin sorumlu olduğunu, fidye yazılımı içerip içermediğini, herhangi bir fidye ödenip ödenmediğini veya o zamandan beri herhangi bir sorunu çözmek için herhangi bir şey yapılıp yapılmadığını söylemeyecek.

Sağlık Bakanı John Haggie Mart ayı sonlarında yaptığı açıklamada, “Bulduğumuz sorunları çözmek için adımlar attığımızı söylemenin güvenli olacağını düşünüyorum.” Dedi.

“Bence bunun ötesinde, tekrar çok fazla ayrıntıya girmek akıllıca olmaz. Güvenlik nedeniyle, alarm sisteminiz için bir hırsıza şifrenizi vermek gibi bir şey.”

Ancak University College Cork’tan Simon Woodworth, şeffaflık ve açıklık olması gerektiğini söylüyor.

“Siber saldırılar ve sonuçları hakkında hem özel kişiler hem de şirketler ve devlet dairelerinde çok sessiz kalma konusunda korkunç bir alışkanlık var” dedi.

“Bu, ilgilendikleri hastaların verileri. İnsanların verilerin ne kadar iyi korunduğunu bilmeye hakkı var.”

Woodworth, iş planının neden uzun vadeli hedefler yerine kısa vadeli çözümlere daha fazla odaklanmadığını sorguladı.

Belge belki biraz daha fazla şey söyleyebilirdi, ‘büyük plana saplanmadan hemen önce yapmanız gerekenler bunlar’ dedi.

NL siber saldırısından çok önce, sistemdeki işaretlenmiş kusurları bildirin |  CBC Haberleri

CBC Newfoundland ve Labrador’dan daha fazlasını okuyun


Kaynak : https://newslanes.com/2022/05/12/long-before-n-l-cyberattack-report-flagged-flaws-in-system-cbc-news/

Yorum yapın