Giriş
Abbott Laboratories, kanser teşhisinde lider konumdaki Exact Sciences'ın dahili sistemlerine yönelik iki ayrı siber güvenlik olayıyla karşı karşıya kaldığını doğruladı. Şirket, aynı zamanda LabCentral portalına yapılan bir saldırıda veri çalındığı iddialarını da araştırmaktadır. Bu olaylar, sağlık sektöründe faaliyet gösteren büyük şirketlerin siber tehditlere karşı ne kadar savunmasız olduğunu bir kez daha gözler önüne sermektedir.
Olayların Tanımı
1. Exact Sciences Sistemlerine Yetkisiz Erişim
Abbott Laboratories, kanser teşhisi alanında faaliyet gösteren Exact Sciences'ın dahili sistemlerine yetkisiz erişim gerçekleştirildiğini tespit etmiştir. Bu sistemler, şirketin kanser tanı süreçlerinde kritik rol oynayan eski (legacy) sistemlerdir. Yetkisiz erişimin kaynağı ve yöntemi henüz tam olarak belirlenememiş olsa da, saldırganların sistemdeki hassas verileri hedeflediği düşünülmektedir.
2. LabCentral Portalından Veri Hırsızlığı
İkinci olayda ise saldırganların, Abbott Laboratories'ın LabCentral portalını hedef alarak şirket verilerini çaldığı iddia edilmektedir. LabCentral portalı, laboratuvar hizmetleri ve araştırma verilerinin yönetildiği bir platformdur. Bu portalın ihlal edilmesi, şirketin hem operasyonel hem de ticari sırlarını riske atmaktadır.
Sorunların Etkileri
Bu siber olayların Abbott Laboratories üzerinde ciddi etkileri olabilir:
- Veri Sızıntısı: Hasta verileri, araştırma sonuçları ve ticari sırlar gibi hassas bilgilerin çalınması, hem şirketin itibarını zedeleyebilir hem de yasal yaptırımlara yol açabilir.
- Operasyonel Aksaklıklar: Sistemlere yetkisiz erişim, kanser teşhis süreçlerinde gecikmelere ve hatta yanlış teşhislerin yapılmasına neden olabilir.
- Mali Kayıplar: Siber saldırılar, şirketin hem doğrudan mali kayıplar yaşamasına hem de siber güvenlik iyileştirmeleri için ek yatırımlar yapmasına neden olabilir.
- Yasal ve Düzenleyici Riskler: Sağlık sektöründe faaliyet gösteren şirketler, GDPR, HIPAA gibi veri koruma yasalarına tabidir. Bu yasaların ihlali, ağır cezalara yol açabilir.
Çözüm Adımları
1. Olay Tespiti ve Doğrulama
-
Sistem Loglarının İncelenmesi: Yetkisiz erişimin kaynağını belirlemek için sistem logları ve ağ trafiği analiz edilmelidir.
# Linux sistemler için log analizi komutları journalctl -u apache2 --since "2023-10-01" | grep "404" tail -f /var/log/nginx/access.log | grep "POST /api/v1/data"Not: Log analizi sırasında, saldırının gerçekleştiği tarih aralığına odaklanılması önemlidir. Ayrıca, log dosyalarının bütünlüğünü korumak için
sha256sumgibi komutlarla hash değerleri alınmalıdır. -
Güvenlik Olaylarının Sınıflandırılması: Olayın ciddiyet derecesi belirlenmeli ve ilgili ekipler (IT, hukuk, iletişim) bilgilendirilmelidir.
2. Sistemlerin İzolasyonu ve Kapatılması
-
Etkilenen Sistemlerin Ayrılması: Yetkisiz erişimin devam etmesini engellemek için etkilenen sistemler ağdan izole edilmelidir.
# Windows sistemlerde ağdan çıkarma netsh interface set interface "Ethernet" admin=disable # Linux sistemlerde ağ arayüzünün devre dışı bırakılması ifconfig eth0 downUyarı: Sistemleri izole ederken, kanıtların korunması için disk görüntüleri alınmalıdır. Bu, hem saldırının analizi hem de yasal süreçler için önemlidir.
-
Yedek Sistemlere Geçiş: Kritik sistemler için yedek sistemlere geçiş yapılmalıdır. Bu, hizmet kesintilerini minimize eder.
3. Siber Güvenlik İyileştirmeleri
-
Güvenlik Duvarı ve IDS/IPS Kurulumu: Ağ trafiğini izleyerek ve şüpheli aktiviteleri engelleyerek gelecekteki saldırıları önlemek için yeni güvenlik duvarları ve IDS/IPS sistemleri kurulmalıdır.
# pfSense gibi güvenlik duvarı kurulumu sudo apt update && sudo apt install -y pfsense # Snort IDS kurulumu sudo apt install -y snort sudo snort -c /etc/snort/snort.conf -i eth0 -
Çok Faktörlü Kimlik Doğrulama (MFA) Uygulanması: LabCentral portalı ve diğer kritik sistemlere erişim için MFA zorunlu hale getirilmelidir.
# Google Authenticator ile MFA kurulumu (Linux) sudo apt install -y libpam-google-authenticator sudo google-authenticator # Sonra, /etc/pam.d/common-auth dosyasına aşağıdaki satırı ekleyin: auth required pam_google_authenticator.so -
Yama Yönetimi: Tüm sistemler ve yazılımlar en son güvenlik yamalarıyla güncellenmelidir.
# Ubuntu sistemlerde yama uygulama sudo apt update && sudo apt upgrade -y # Windows sistemlerde Windows Update wuauclt /detectnow
4. Olayın Raporlanması ve Yasal Süreçler
-
İlgili Otoritelerin Bilgilendirilmesi: Veri sızıntısı durumunda, GDPR, HIPAA gibi yasal düzenlemelere tabi ülkelerde ilgili otoriteler bilgilendirilmelidir.
-
Etkilenen Kullanıcıların Haberdar Edilmesi: Eğer hasta verileri gibi hassas bilgiler çalındıysa, etkilenen kullanıcılar haberdar edilmelidir.
Önleyici Tedbirler
İpucu: Siber saldırılardan korunmak için aşağıdaki önleyici tedbirleri uygulamak önemlidir:
- Düzenli olarak güvenlik denetimleri ve penetrasyon testleri yapın.
- Çalışanlara siber güvenlik farkındalığı eğitimleri verin.
- Güçlü parola politikaları uygulayın ve parola yöneticileri kullanın.
- Verilerin yedeklerini alın ve güvenli bir şekilde saklayın.
- Ağ trafiğini sürekli olarak izleyin ve anormal aktiviteleri araştırın.
Sonuç
Abbott Laboratories'ın yaşadığı bu siber olaylar, sağlık sektöründeki şirketlerin siber tehditlere karşı ne kadar savunmasız olduğunu göstermektedir. Bu olaylardan ders çıkararak, şirketlerin siber güvenlik stratejilerini güçlendirmeleri ve gelecekteki saldırılara karşı hazırlıklı olmaları gerekmektedir. Siber güvenlik, sadece IT departmanının sorumluluğu değil, tüm şirketin ortak bir sorumluluğudur.
Kaynak: BleepingComputer - Abbott Laboratories Probes Two Cyber Incidents Amid Extortion Claims



