Sağlık Sektörü Tedarik Zinciri ve Kimlik Yönetiminde Zorlanıyor: Yeni Rapor Kritik Uyarılar İçeriyor Yazılım

Sağlık Sektörü Tedarik Zinciri ve Kimlik Yönetiminde Zorlanıyor: Yeni Rapor Kritik Uyarılar İçeriyor

Sağlık kuruluşları siber tehditlerle başa çıkmakta zorlanırken, tedarik zinciri ve kimlik yönetimi en kritik zafiyetler olarak öne çıkıyor.

Sağlık sektörü, kritik altyapı sektörleri arasında en yüksek siber saldırı hacmine maruz kalırken, bu saldırılar aynı zamanda en maliyetli olanlar arasında yer alıyor. Güvenlik firması Fortified Health Security'nin yeni yarıyıl raporu, sağlık kuruluşlarının siber tehditler karşısında giderek daha kırılgan hale geldiğini ortaya koyuyor. Rapora göre, 2026'nın ilk yarısında sağlık kuruluşları risklerin yalnızca %6'sını ele alabildi; bu oran 2025'in aynı döneminde %23'tü. Bu dramatik düşüş, görünürlüğün kapasiteyi aştığı bir tabloyu gözler önüne seriyor.

Rapor, sağlık kuruluşlarını en çok zorlayan iki siber güvenlik alanına dikkat çekiyor: tedarik zinciri risk yönetimi ile kimlik yönetimi ve erişim kontrolü. Tedarik zinciri riskleri, 2026'nın ilk yarısında 2025'in aynı dönemine göre altı kat artış gösterdi. Bu risklerin neredeyse üçte ikisi kritik veya yüksek önem derecesine sahip. Hastaneler ve diğer sağlık tesisleri, donanım üreticilerinden yazılım geliştiricilere kadar onlarca teknoloji satıcısına bağımlı; Change Healthcare krizinin gösterdiği gibi, bu tedarikçilerden birinde yaşanacak bir ihlal tüm sektörde domino etkisi yaratabilir.

Kimlik yönetimi ve erişim kontrolü de benzer bir tablo çiziyor. Sağlık kuruluşları, 2026'nın ilk altı ayında kimlik ve erişim kontrolüyle ilgili dört kat daha fazla güvenlik açığı tespit etti. Rapor, kuruluşların kimlik yönetimi süreçlerinde iyileşme gösterdiğini ancak kullanıcıları, hizmetleri ve donanımları doğrulama ile kimlik iddialarını koruma, iletme ve doğrulama konularında ekiplerin hâlâ zorlandığını belirtiyor. Özellikle seyyar hemşireler ve sözleşmeli doktorlar gibi geçici çalışanların varlığı, erişim kontrolünü daha da karmaşık hale getiriyor.

Rapordaki çarpıcı bir bulguya göre, 2026'nın ilk yarısında sağlık kuruluşlarının ağ alanlarının %92'sinde en az üç yıldır güncellenmemiş parolaya sahip bir yönetici hesabı bulunuyor. Fortified, kimlik yönetiminin siber güvenliğin heyecan verici değil, sessiz ama son derece kritik bir parçası olduğunu vurguluyor. Araştırmacılar, 'Kimlik bakımı, saldırganların en çok kullandığı kapıları kapatır' diyor. Ayrıca, eski tıbbi cihazlar için de öneriler sunuluyor: 'Değiştiremediklerinizi izole edin' denilerek, MRI gibi ömrünü tamamlamış cihazların sıkı güvenlik duvarları arkasına alınması ve asla domain yönetici hesaplarıyla çalıştırılmaması gerektiği belirtiliyor.

Rapor, olay müdahale hazırlığına da özel bir vurgu yapıyor. Sağlık kuruluşlarının krizlere alışkın olduğu ancak siber olaylara yanıt vermenin pratik gerektirdiği ifade ediliyor. Fortified, sağlık sağlayıcılarının ihlallerden önce 'operasyonel kas hafızası' oluşturması gerektiğini söylüyor. Doktorlar, hemşireler ve diğer personelin, itfaiyeciler gibi siber saldırılara karşı eğitim alması öneriliyor. Kırsal itfaiye teşkilatlarının bile büyük yangınlara karşı ekipman, personel ve eğitim standartlarını koruduğu hatırlatılarak, sağlık tesislerinin de aynı yaklaşımı benimsemesi gerektiği vurgulanıyor.

Araştırmacılar, 'Acil müdahale ekipleri çok önemli bir şeyi anlar: Olasılık sorumluluğu değiştirmez. Eninde sonunda ciddi bir olay meydana gelecektir. Tek soru, kuruluşun bu olay gerçekleştiğinde operasyonel olarak hazır olup olmadığıdır' diyerek sözlerini noktalıyor. Rapor, ayrıca Sağlık ve İnsan Hizmetleri Bakanlığı'nın güncellenmiş HIPAA Güvenlik Kuralı'nın getirdiği yeni gereklilikleri de ele alıyor. Sağlık kuruluşlarının bu kapsamlı tehditlerle başa çıkabilmesi için hem teknolojik hem de operasyonel olarak daha hazırlıklı olması gerektiği açıkça ortaya çıkıyor.

Kaynak: cybersecuritydive.com

Paylaş: