انتقل إلى المحتوى الرئيسي

اختراق الرعاية الصحية في H-ISAC 9-9-2020

TLP White: هذا الأسبوع، يطلب موقع Hacking Healthcare من القراء أن يبدأوا في التفكير في الحوادث السيبرانية المادية ومدى استعداد مؤسستهم للتعامل مع العواقب. بعد ذلك، نقوم بتحليل الإعلان الأخير عن قيام الصين بالكشف عن مبادرة أمن البيانات العالمية الخاصة بها وما قد نتوقعه نتيجة لذلك. أخيرًا، نفحص بإيجاز كيف يؤثر التوجيه التشغيلي الملزم الجديد لوزارة الأمن الداخلي (DHS)، والذي يتطلب من الوكالات الحكومية اعتماد سياسة الكشف عن الثغرات الأمنية، على قطاع الرعاية الصحية.

كتذكير، هذه هي النسخة العامة من مدونة Hacking Healthcare. للحصول على تحليلات وآراء أكثر تعمقًا، انضم إلى H-ISAC واحصل على نسخة TLP Amber من هذه المدونة (المتاحة في بوابة الأعضاء).

 

يرجى تخصيص دقيقة من وقتك للإجابة على بعض الأسئلة حول مواضيع Hacking Healthcare لهذا الأسبوع. وسننشر النتائج في إصدار قادم. يتبع رابط الاستطلاع المقالات أدناه.

 

 

مرحبًا بك مرة أخرى اختراق الرعاية الصحية.

 

1. حان الوقت للتفكير في المسؤولية السيبرانية المادية.

مع تزايد عدم وضوح التمييز بين العالم السيبراني والعالم المادي، من المرجح أن تواجه المنظمات تحديات جديدة تتعلق بالمسؤوليات والقواعد واللوائح الجديدة للحوادث السيبرانية المادية. ووفقًا لشركة جارتنر، من المرجح أن تحدث هذه التغييرات القانونية والتنظيمية بسرعة بسبب الطبيعة الخطيرة للعواقب المحتملة.

ومن بين التوقعات الأكثر إثارة للدهشة التي قدمتها شركة جارتنر هو الادعاء بأن 75% من الرؤساء التنفيذيين قد يتحملون المسؤولية الشخصية عن الحوادث السيبرانية الجسدية بحلول عام 2024. وتتوقع جارتنر أن يصبح من الصعب على الرؤساء التنفيذيين "ادعاء الجهل أو التراجع وراء سياسات التأمين".[1] وبالإضافة إلى ذلك، يتوقعون ارتفاعًا سريعًا في الحوادث السيبرانية المادية بسبب الافتقار إلى التخطيط والإنفاق في هذا المجال. والأمر الأكثر إثارة للقلق هو تحليلهم بأن التأثير المالي للحوادث السيبرانية المادية التي تؤدي إلى إصابات مميتة سيتجاوز 50 مليار دولار بحلول عام 2023.[2]

كما أشارت شركة جارتنر إلى القلق من أن العديد من المؤسسات لا تدرك تمامًا جميع الأنظمة السيبرانية المادية التي قامت بالفعل بنشرها. وفي تعليقها على الحاجة إلى معالجة هذه القضايا، دعت نائبة رئيس الأبحاث في شركة جارتنر، كاتيل ثيلمان، قادة التكنولوجيا إلى مساعدة الرؤساء التنفيذيين على فهم التهديد الذي تشكله الحوادث السيبرانية المادية والحاجة إلى إنشاء "إدارة المرونة التشغيلية (ORM) بما يتجاوز الأمن السيبراني المرتكز على المعلومات".[3]

العمل والتحليل
** العضوية مطلوبة **

 

2. الصين تكشف عن مبادرتها العالمية لأمن البيانات.

في صباح يوم الثلاثاء، أُعلن أن الصين تعتزم إطلاق مبادرة عالمية لأمن البيانات. ووفقًا لصحيفة جلوبال تايمز، فإن هذه المبادرة تُروَّج لها باعتبارها معيارًا عالميًا محتملًا لأمن البيانات وتزعم أنها تعالج بعض المخاوف التي كثيرًا ما تستشهد بها الحكومات والشركات فيما يتعلق بخصوصية البيانات وأمنها في الصين.[4]

وتشير صحيفة جلوبال تايمز إلى أن المبادرة تتألف من ثمانية مقترحات. وتشير التقارير إلى أن المبادرة تتضمن أو تدعم النقاط التالية:[5], [6]

  • ينبغي للدول أن تتعامل مع أمن البيانات بطريقة شاملة وموضوعية ومبنية على الأدلة
  • [المعارضة] لأنشطة تكنولوجيا المعلومات والاتصالات التي تستخدم البيانات للقيام بأنشطة تقوض الأمن القومي ومصالح الدول الأخرى
  • [المعارضة] للمراقبة الجماعية ضد الدول الأخرى
  • لا ينبغي للدول أن تطلب من الشركات المحلية تخزين البيانات التي تم إنشاؤها والحصول عليها في الخارج على أراضيها
  • ينبغي للدول أن تحترم سيادة الدول الأخرى وولايتها القضائية وحوكمة بياناتها، ولا ينبغي لأي اتفاقية ثنائية للوصول إلى البيانات أن تنتهك السيادة القضائية وأمن البيانات لدولة ثالثة.
  • لا ينبغي لمقدمي خدمات ومنتجات تكنولوجيا المعلومات والاتصالات تثبيت أبواب خلفية في منتجاتهم وخدماتهم للحصول بشكل غير قانوني على بيانات المستخدم، أو التحكم في أنظمة وأجهزة المستخدمين أو التلاعب بها
  • لا ينبغي لشركات تكنولوجيا المعلومات والاتصالات أن تسعى إلى تحقيق مصالح غير مشروعة من خلال الاستفادة من اعتماد المستخدمين على منتجاتها، ولا ينبغي لها أن تجبر المستخدمين على ترقية أنظمتها وأجهزتها

ويُزعم أن المتحدث باسم وزارة الخارجية الصينية تشاو ليجيان صرح بأن "المبادرة تهدف إلى حماية البيانات العالمية وأمن سلسلة التوريد، وتعزيز تنمية الاقتصاد الرقمي، وتوفير مخطط لصياغة القواعد العالمية".[7] وبالإضافة إلى ذلك، يقال إن المسؤولين الحكوميين الصينيين وجهوا عدة انتقادات مبطنة للسياسة الخارجية الأميركية في هذه المسائل. ومن غير الواضح حالياً مدى الدعم العالمي لهذه المبادرة.

العمل والتحليل
** العضوية مطلوبة **

 

3. تعزيز الكشف عن نقاط الضعف الحكومية.

في يوم الأربعاء الماضي، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية التابعة لوزارة الأمن الداخلي توجيهًا تشغيليًا ملزمًا طال انتظاره بشأن سياسات الكشف عن الثغرات الأمنية للحكومة الفيدرالية. يمنح التوجيه التشغيلي رقم 20-01 الوكالات الحكومية ستة أشهر "لإنشاء سياسات الكشف عن الثغرات الأمنية التي تتعهد بالتخلي عن اتخاذ إجراءات قانونية ضد الباحثين الذين يتصرفون بحسن نية، وتسمح للمشاركين بتقديم تقارير عن الثغرات الأمنية بشكل مجهول وتغطي نظامًا أو خدمة واحدة على الأقل يمكن الوصول إليها عبر الإنترنت".[8]

كتذكير، فإن أوامر حماية المعلومات هي "توجيه إلزامي للسلطة التنفيذية والإدارات والوكالات الفيدرالية لأغراض حماية المعلومات الفيدرالية وأنظمة المعلومات" والتي قد تصدرها وزارة الأمن الداخلي.[9] ويأتي هذا القرار على وجه الخصوص مع اعتراف وزارة الأمن الداخلي بأن "سياسات الكشف عن الثغرات الأمنية تعمل على تعزيز مرونة الخدمات الحكومية عبر الإنترنت" وأنها "عنصر أساسي في برنامج فعال لإدارة الثغرات الأمنية في المؤسسات".[10]

بالنسبة للوكالات التي لا تمتلك خبرة كبيرة في صياغة سياسة الإفصاح عن الثغرات الأمنية، فإن التوجيه رقم 20-01 يوضح بشكل مفيد المتطلبات المختلفة، ويوفر إرشادات حول التنفيذ، بل ويربط حتى بنموذج برنامج الكشف عن الثغرات الأمنية. وفي حين كان إنشاء برنامج الكشف عن الثغرات الأمنية في الحكومة الفيدرالية بطيئًا حتى الآن، فإن هذا التوجيه الإلزامي مع تعليمات التنفيذ الواضحة من شأنه أن يساعد في تسريع تبني برنامج الكشف عن الثغرات الأمنية.

العمل والتحليل
** العضوية مطلوبة **

 

 

الدراسة الاستقصائية

يرجى تخصيص دقيقة واحدة للإجابة على بعض الأسئلة حول اختراق الرعاية الصحية لهذا الأسبوع من خلال زيارة هذا الرابط:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

مؤتمر -

 

الثلاثاء ، سبتمبر 9th:

– مجلس الشيوخ – لجنة الصحة والتعليم والعمل والمعاشات التقاعدية: جلسات استماع لفحص اللقاحات، مع التركيز على إنقاذ الأرواح، وضمان الثقة، وحماية الصحة العامة.

 

الأربعاء ، سبتمبر 10th:

- لا توجد جلسات استماع ذات صلة

 

الخميس 11 سبتمبر:

- لا توجد جلسات استماع ذات صلة

 

 

 

الدولي جلسات الاستماع/الاجتماعات -

 

- لا توجد جلسات استماع ذات صلة

 

 

الاتحاد الأوروبي -

الأربعاء ، سبتمبر 10th:

- البرلمان الأوروبي - لجنة البيئة والصحة العامة وسلامة الغذاء

 

الخميس 11 سبتمبر:

- البرلمان الأوروبي - لجنة البيئة والصحة العامة وسلامة الغذاء

 

 

 

 

متفرقات –

 

فيروس الفدية يضرب منظمتين حكوميتين في الشرق الأوسط وشمال أفريقيا

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

فرنسا تحذر من هجوم "إيموتيت" على الشركات والإدارات

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-الشركات-الادارة/

المجاهر التي تعمل بالذكاء الاصطناعي من جوجل قد تغير تشخيص السرطان

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-تغيير-تشخيص-السرطان/168220/

 

 

 

المؤتمرات والندوات عبر الإنترنت والقمم -

 

https://h-isac.org/events/

 

اتصل بنا: تابع @HealthISAC، وأرسل بريدًا إلكترونيًا إلى contact@h-isac.org

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • الموارد والأخبار ذات الصلة