NHS Siber Güvenlik Yönetişimi Güncellemesi

Ulusal Sağlık Hizmetleri (NHS) İngiltere, Ulusal Veri Koruyucusu (NDG) ile işbirliği içinde, sağlık ve sosyal bakım kuruluşları için yeni bir siber dayanıklılık çerçevesini duyurdu. Bu çerçeve, NHS’nin siber güvenlik standartlarını diğer sektörlerle uyumlu hale getirmeyi hedefliyor.

Bu değişiklik, Sağlık ve Sosyal Bakım Bakanlığı’nın 2023-2030 siber güvenlik stratejisi parçası olarak, sağlık ve bakımı diğer sektörlerde kullanılan siber dayanıklılık standartlarıyla uyumlu hale getirmeyi hedefliyor.

2 Eylül 2024’ten itibaren, NHS Veri Güvenliği ve Koruma Araç Seti NDG’nin 10 veri güvenliği standardından Ulusal Siber Güvenlik Merkezi’nin Siber Değerlendirme Çerçevesi (CAF) ‘ne geçişi başlatıyor.

İlk aşama, seçili büyük organizasyonları etkileyecek ve diğerleri kademeli olarak izleyecektir. CAF ile uyumlu DSPT, yalnızca güvenlik kontrollerini geçmek yerine sonuçlara odaklanmayı amaçlamaktadır, bu da organizasyonların yaklaşımlarını kendi özel ihtiyaçlarına göre özelleştirmelerine izin verir, orijinal beyanda bildirildiği gibi.

Bu değişiklik, NHS hizmetlerini aksatan birkaç yüksek profilli siber saldırıya yanıt olarak gelmektedir.

Özellikle Haziran 2024’te patoloji sağlayıcısı Synnovis’in bir siber saldırıya maruz kaldığı bir olay dikkat çekmektedir. Saldırı, şirketin IT sistemlerini yeniden inşa etmeye çalışırken, güneydoğu Londra’daki binlerce hasta randevusu ve operasyonun ertelenmesine neden oldu.

Mart 2024’te, NHS Dumfries ve Galloway bir fidye yazılımı saldırısına maruz kaldı. Saldırganlar, üç terabayt hasta verisini çaldı ve bunu dark web’de yayınladı. Bu olay, sağlık kuruluşunu yaklaşık 150.000 hastayı, kişisel bilgilerinin tehlikeye girebileceği konusunda uyarmaya sevk etti.

Ağustos 2024’te, başka bir siber olay, birçok NHS İskoçya kuruluna hizmet veren bir üçüncü taraf tedarikçinin alt yüklenicisini etkiledi. Saldırı, NHS personeline ait cep telefonu numaralarının tehlikeye girmesine neden oldu.

Bu saldırılar, sağlık kuruluşlarının siber tehditlere karşı artan savunmasızlığını ön plana çıkarıyor. Dijital sistemlere olan bağımlılık arttıkça, bu kuruluşların hasta verilerini korumak ve temel hizmetlerin sürekliliğini sağlamak için sağlam siber güvenlik önlemlerine yatırım yapmaları zorunlu hale gelmektedir.