Hastane siber saldırıları saatte 600 bin dolara mal oluyor. İşte yapay zekanın matematiği nasıl değiştirdiği

Geçmiş yıllarda, tıbbi tesisler şu anki kadar savunmasız değildi; bilgisayar korsanlarının, insanların fiziksel tehlikeye girebileceği kurumları veya hizmetleri hedef almamaları yönünde yazılı olmayan bir kuralı vardı.

Ancak durum artık böyle değil: Hizmet olarak fidye yazılımları yaygınlaştı ve çalınan tıbbi bilgiler oldukça para kazandırıcı hale geldi. Bu da tehdit aktörlerini hastanelere benzeri görülmemiş düzeylerde saldırmaya yöneltti.

Alberta Sağlık Hizmetleri (AHS) kendini savunmasız bırakmayı düşünmüyor; tıbbi sistem savunmasını yapay zeka ile güçlendiriyor.

Siber güvenlik platformu Securonix'ten AI destekli siber operasyonları devreye alan AHS, yüksek öncelikli olaylara yanıt verme ortalama süresini %30'dan fazla azalttı. Ayrıca yanlış pozitif uyarıları %90 ve iş yüklerini günde 2 ila 3 saat azalttı ve bunun sonucunda yüz binlerce dolar tasarruf sağlandı.

AHS yönetici direktörü ve CISO'su Richard Henderson, VentureBeat'e "Birçok hastane ağı büyük, şişman ve kolay hedeflerdir," dedi. "Çok fazla uyuyamıyorum çünkü gece 2'de tüm ortamımızın fidye yazılımı nedeniyle çöktüğünü söyleyen bir telefon almaktan korkuyorum."

AHS, Kuzey Amerika'nın ikinci büyük hastane ağı ve elektronik sağlık kayıtları (EHR) platformu Epic'in dünyadaki en büyük tek örneğidir.

Henderson, kendisinin ve ekibinin 4,5 ila 5 milyon Albertalıya hizmet veren 106 hastane, 800 klinik, 20.000 doktor ve 150.000 personel için siber güvenlikten sorumlu olduğunu açıkladı. AHS'yi, her tesisin aynı Epic kurulumuna bağlı olduğu "devasa bir şirket içi organizasyon" olarak tanımladı.

Yani, Henderson şunu kaydetti, "eğer düşerse, herkes için düşer. Ve eğer düşerse, bunun bir hastanın hayatını çok iyi etkileyebileceğini söylemek benim için abartı olmaz."

Ayrıca, Epic'in tamamen devre dışı kalmasının (fidye yazılımıyla ilgili olsun veya olmasın) Alberta eyaletine saatte 500.000 ila 600.000 dolar arasında bir maliyete yol açabileceğini söylemek abartı olmaz.

Bu tür durumlardan kaçınmak için AHS, Securonix platformunun "tam yayılımını" kendi ortamına yerleştirdi. Bu, siber güvenlik şirketinin yapay zeka destekli güvenlik bilgisi ve olay yönetimi (SIEM) platformu aracılığıyla tehdit algılama, araştırma ve yanıt (TDIR) yeteneklerini içerir. Bu, tek bir pakette günlük yönetimi, davranışsal analiz ve bir güvenlik veri gölü sağlar.

Henderson, tıbbi ağın SIEM'ine terabaytlarca veri tükettiğini ve veri normalizasyonu ve yönlendirmesini ele almak için Securonix'in bulut tabanlı mimarisine güvendiğini açıkladı. Snowflake, bu arka ucun büyük bir bölümünü destekliyor.

Davranışsal analiz, AHS'nin tespit stratejisinin kritik bir parçasıdır. Henderson, Securonix'in platformunun kullanıcıları, uç noktaları ve sistemleri için normalin nasıl göründüğünü sürekli olarak öğrendiğini ve bunun da ekibinin "biraz garip davranan" güvenilir bir hesap gibi "ince şeyleri" yakalamasına yardımcı olduğunu açıkladı.

"Bu, kalıpları aramak ve şeyleri bir araya getirmektir," dedi Henderson. "1.000 güvenlik analisti işe alabilirsiniz ve yine de modern dijital kuruluşların tükettiği tüm telemetriyi tarayabilecek kadar insanınız olmaz."

Örneğin, AHS'nin AI odaklı araçları hastaneleri genelinde normal ağ davranışının nasıl göründüğünü öğrenir. Olağandışı bir şey olduğunda — örneğin bir cihazın daha önce hiç iletişim kurmadığı harici bir sunucuyla aniden konuşması gibi — bunu hemen işaretler. Bu, güvenlik ekiplerini, aksi takdirde fark edilmemiş olsaydı istismar edilebilecek yanlış yapılandırılmış bir araca yönlendirebilir.

Henderson, "Bu tür yanlış yapılandırmalar geçmişte diğer hastane ağlarında felaket boyutunda fidye yazılımı salgınlarına yol açtı" dedi.

Veya başka bir örnek olarak, bir yük potansiyel olarak şüpheli görünebilir, ancak gizlenmiştir, yani insanların tam olarak ne olduğunu ve ne yaptığını anlamaya çalışması gerekir, diye belirtti Henderson. Şimdi, platformdan yükü gizlemesini kaldırabilir ve saldırganın ne yapmaya çalıştığını belirleyebilirler ve "tam anlamıyla saniyeler içinde" tüm işi yapar.

"Bir bilgisayarla bir insanla konuşur gibi konuşabildiğimiz son birkaç yıl, insanların yapay zeka hakkındaki düşüncelerini değiştirdi," dedi. "Doğal dil işleme uzun zamandır var, ancak bu seviyede değil ve ne kadar iyi olduğu beni şaşırtmaya devam ediyor."

Sonuç olarak, AWS çözüm süresini önemli ölçüde kısaltabildi ve daha hızlı yanıt verme yeteneğini geliştirdi. Henderson, yüksek öncelikli olaylara yanıt vermenin ortalama süresinin geçen yıla kıyasla üçte birden fazla azaldığını söyledi.

Bunun nedeni, AI'nın ağır işi yapması, analistlerin ne olduğunu ve bir saldırganın ne elde etmeye çalıştığını anlamalarına yardımcı olmasıdır, diye belirtti Henderson. Modern siber güvenlikte, AI ağ tespiti, uç nokta koruması, e-posta filtreleme ve diğer siber güvenlik işlevleri için kritik öneme sahip hale geldi. "Çalışanlarım AI araçlarını kullanarak günde saatlerce tasarruf ediyor," dedi.

Henderson, Securonix'in platformunun gürültüyü azaltmaya da yardımcı olduğunu, AHS'nin genç analistlerine ulaşan yanlış pozitiflerde önemli bir düşüş gördüğünü ve bunun "odaklanmaya gerçekten yardımcı olduğunu ve tükenmişliği önlediğini" söyledi.

Güvenlik operasyonlarının alt kademelerinin yerini AI'nın alması konusunda çok fazla tartışma olduğunu belirtti. Ancak onun bakış açısına göre, "AI, genç personelin yerini almayacak. Yapacağı şey, onların daha hızlı öğrenmelerine, işlerini daha iyi yapmalarına ve kurumsal ortamı korumalarına yardımcı olmak."

AHS'nin eyalette çok sayıda tesise sahip olması nedeniyle, Henderson'ın ekibinin en fazla olay hacminin nerede meydana geldiğini takip etmesi gerekiyor. Bu, belirli bir coğrafi bölgenin diğerine göre hedef alınıp alınmadığını anlamalarına yardımcı olabilir.

Henderson, Calgary ve Edmonton'un Alberta'daki en büyük iki şehir olduğunu, dolayısıyla doğal olarak, saldırı hacminin önemli bir kısmını üstleneceklerini düşündüğünü belirtti. Ancak durum her zaman böyle değildir; daha küçük kırsal hastaneler genellikle tehdit aktörlerinin savunmalarının daha zayıf olduğunu varsayması nedeniyle hedef alınır.

Yapay zeka, kendisinin ve ekibinin, gerekirse ek erişim planlaması yapmak için olayların nerede gerçekleştiğine dair çalışan bir gösterge panosu tutmasını sağlar. Henderson, güvenliğin insan tarafına önemli miktarda zaman harcadığını, AHS'nin hemşirelerini ve doktorlarını önceki saldırı kampanyaları hakkında eğiterek neye bakmaları gerektiğini anlamalarını sağladığını söyledi.

"Yani, kırsal hastanelerimizde bir artış görüyorsak, kesinlikle 'Kırsal hastaneleri hedefliyorlar çünkü sizin daha kolay bir hedef olduğunuzu düşünüyorlar. Bunlar, aradığınız türden şeyler' diyen bir eğitim kampanyası düzenleyeceğim," diye açıkladı.