Sağlık Sektöründe Tedarik Zinciri ve Kimlik Yönetimi Zafiyetleri Artıyor Siber Güvenlik

Sağlık Sektöründe Tedarik Zinciri ve Kimlik Yönetimi Zafiyetleri Artıyor

Sağlık kuruluşları siber tehditlerle baş etmekte zorlanıyor. Fortified raporuna göre 2026'da risklerin sadece %6'sı çözüldü, tedarik zinciri ve kimlik

Siber güvenlik firması Fortified Health Security'nin yayımladığı yeni rapor, sağlık sektörünün siber tehditler karşısında ne denli kırılgan olduğunu bir kez daha gözler önüne seriyor. 2026'nın ilk yarısında hastaneler ve diğer sağlık hizmeti sağlayıcıları, tespit edilen risklerin yalnızca %6'sını giderebildi. Bu oran, 2025'in aynı döneminde %23 seviyesindeydi. Rapor, sağlık kuruluşlarının tedarik zinciri güvenliği ve kimlik yönetimi alanlarında ciddi zorluklar yaşadığını ortaya koyarken, Sağlık Bakanlığı'nın güncellenmiş HIPAA Güvenlik Kuralı'nın getirdiği yeni gerekliliklere de dikkat çekiyor.

Sağlık sektörü, kritik altyapı sektörleri arasında en yüksek siber saldırı hacmine sahip alanlardan biri. Fortified verilerine göre, 2026'nın ilk yarısında ortalama bir sağlık kuruluşu, 2025'in aynı dönemine kıyasla %60 daha fazla kritik veya yüksek önem dereceli güvenlik açığıyla karşılaştı. Kuruluşlar, düzeltebileceklerinden çok daha fazla sorun keşfediyor. Araştırmacılar, "Bu, tek bir felaket niteliğindeki ihlalin hikayesi değil; görünürlüğün kapasiteyi aştığı bir hikaye" diyor. Bu durum, sağlık kuruluşlarının siber güvenlik kaynaklarının yetersiz kaldığını gösteriyor.

Tedarik zinciri risk yönetimi, sağlık sektörünün en büyük sorunlarından biri olarak öne çıkıyor. Fortified'a göre, 2026'nın ilk yarısında tedarik zinciri risklerinin tespit edilme oranı, 2025'in aynı dönemine göre altı kat arttı. Bu risklerin yaklaşık üçte ikisi kritik veya yüksek önem dereceli güvenlik açıklarından oluşuyor. Hastaneler, donanım üreticilerinden yazılım geliştiricilere kadar onlarca teknoloji tedarikçisine bağımlı. Change Healthcare krizinin de gösterdiği gibi, bu tedarikçilerden birinde yaşanacak bir ihlal, tüm sektörü etkileyebilecek zincirleme sonuçlar doğurabiliyor. Raporda, "Değerlendirmeler, birçok sağlık kuruluşunun mevcut programı olmayan üçüncü taraf risk açıklarını ortaya çıkarıyor ve bu açıklar tespit edildikten sonra giderilmesi zor oluyor" ifadeleri yer alıyor.

Sistem Güvenliği

Kimlik yönetimi ve erişim kontrolü, sağlık kuruluşları için bir diğer önemli zorluk. Birçok kuruluş, çalışanların işe giriş ve çıkışlarını takip edecek, hesaplarını etkinleştirecek veya devre dışı bırakacak yeterli güvenlik personeline sahip değil. Gezici hemşireler ve sözleşmeli doktorlar gibi geçici sağlık çalışanlarının varlığı, özellikle küçük sağlık hizmeti sağlayıcıları için erişim kontrolünü daha da karmaşık hale getiriyor. Fortified raporuna göre, 2026'nın ilk altı ayında sağlık kuruluşları, kimlik ve erişim yönetimiyle ilgili olarak 2025'in aynı dönemine kıyasla dört kat daha fazla güvenlik açığı tespit etti. Araştırmacılar, "Kimlik ve Erişim Yönetimi (IAM) etrafındaki organizasyonel süreçlerde gerçek bir iyileşme görüyoruz, ancak kullanıcıları, hizmetleri ve donanımı doğrulama, kimlik doğrulamalarını koruma, iletme ve doğrulama gibi temel işler ekipleri zorlamaya devam ediyor" diyor.

Uzmanların Görüşleri

Raporda dikkat çeken bir diğer bulgu ise, 2026'nın ilk yarısında sağlık kuruluşlarının ağ alan adlarının %92'sinde, üç yıldan uzun süredir güncellenmemiş bir yönetici hesabı bulunması. Bu, kimlik yönetimindeki ihmallerin boyutunu gözler önüne seriyor. Fortified, "Kimlik bakımı, siber güvenliğin asla heyecan verici kısmı olmayacak. Ancak çok kritik bir parçası: saldırganların yürüdüğü kapıları kapatıyor" uyarısında bulunuyor. Raporda ayrıca, eski tıbbi cihazlar için güvenlik önlemleri de ele alınıyor. MRI makineleri gibi ömrünü tamamlamış ekipmanlar için "Değiştiremediklerinizi sınırlayın" diyen Fortified, bu ekipmanların sıkı güvenlik duvarlarının arkasına yerleştirilmesini ve asla yönetici hesaplarıyla çalıştırılmamasını öneriyor. "Unutulmuş, aşırı yetkilendirilmiş bir sistem, bir saldırganın yanal hareket etmesi için ihtiyacı olan tek şeydir" ifadeleri kullanılıyor.

Gelecekte Ne Bekleniyor?

Fortified, sağlık kuruluşlarına olay müdahale hazırlığı konusunda da önemli tavsiyelerde bulunuyor. Sağlık çalışanları krizlere alışkın olsa da, siber güvenlik olaylarına müdahale etmek pratik gerektiriyor. Raporda, sağlık kuruluşlarının ihlallerden önce 'operasyonel kas hafızası' oluşturmaları gerektiği vurgulanıyor. Doktorlar, hemşireler ve diğer personelin, tıpkı itfaiyeciler gibi siber saldırılara karşı eğitim alması gerektiği belirtiliyor. Araştırmacılar, "Acil durum müdahale ekipleri çok önemli bir şeyi anlıyor: olasılık sorumluluğu değiştirmez. Sonunda ciddi bir olay meydana gelecektir. Tek soru, kuruluşun bu olay olduğunda operasyonel olarak hazır olup olmadığıdır" diyerek, hazırlığın önemine dikkat çekiyor.

Kaynak: cybersecuritydive.com

Paylaş: