H-ISAC Hacking Healthcare 9-9-2020
TLP White: Tento týden Hacking Healthcare žádá čtenáře, aby začali přemýšlet o kybernetických a fyzických incidentech a o tom, jak je vaše organizace připravena vypořádat se s následky. Dále rozebereme nedávné oznámení, že Čína odhaluje svou vlastní iniciativu pro globální zabezpečení dat, a to, co lze v důsledku toho očekávat. Nakonec stručně prozkoumáme, jak nová závazná provozní směrnice ministerstva vnitřní bezpečnosti (DHS), která vyžaduje, aby vládní agentury přijaly politiku zveřejňování zranitelnosti, ovlivňuje sektor zdravotnictví.
Připomínáme, že toto je veřejná verze blogu Hacking Healthcare. Chcete-li získat další hloubkovou analýzu a názor, staňte se členem H-ISAC a získejte verzi TLP Amber tohoto blogu (k dispozici na členském portálu.)
Věnujte nám prosím minutu svého času na zodpovězení několika otázek týkajících se témat tohoto týdne Hacking Healthcare. Výsledky zveřejníme v nadcházejícím čísle. Odkaz na průzkum následuje za články níže.
Vraťte se zpět Hackování zdravotnictví.
1. Čas začít přemýšlet o kybernetické a fyzické odpovědnosti.
Jak se rozdíl mezi kybernetickým a fyzickým světem stále více stírá, organizace budou pravděpodobně čelit novým výzvám souvisejícím s novými závazky, pravidly a předpisy pro kybernetické fyzické incidenty. Podle společnosti Gartner k těmto právním a regulačním změnám pravděpodobně dojde rychle kvůli vážné povaze potenciálních důsledků.
Mezi další předpovědi Gartneru, které zvedají obočí, je tvrzení, že 75 % generálních ředitelů by mohlo být do roku 2024 činěno osobně odpovědnými za kybernetické fyzické incidenty. Gartner předpovídá, že pro generální ředitele bude stále obtížnější „prosit neznalost nebo ustoupit za pojistky“. Navíc předpovídají, že dojde k rychlému nárůstu kybernetických a fyzických incidentů kvůli nedostatku plánování a výdajů v této oblasti. Nejznepokojivější je jejich analýza, že finanční dopad kyberneticko-fyzikálních incidentů, které mají za následek smrtelné oběti, přesáhne do roku 50 2023 miliard dolarů.
Gartner také citoval obavy, že mnoho organizací si není plně vědomo všech kyberneticko-fyzických systémů, které již nasadily. V komentáři k potřebě řešit tyto problémy vyzvala viceprezidentka pro výzkum společnosti Gartner Katell Thielemannová technologické lídry, aby pomohli generálním ředitelům porozumět hrozbě kybernetických a fyzických incidentů a potřebě zavést „Operational Resilience Management (ORM) nad rámec informačního kybernetického systému. zabezpečení."
Akce a analýza
** Vyžaduje se členství **
2. Čína představuje svou iniciativu Global Data Security Initiative.
V úterý ráno bylo oznámeno, že Čína hodlá zahájit globální iniciativu pro bezpečnost dat. Podle Global Times je tato iniciativa nabízena jako potenciální celosvětový standard pro bezpečnost dat a údajně řeší některé z často citovaných obav, které vlády a korporace mají ohledně ochrany soukromí a bezpečnosti dat v Číně.
Global Times uvádí, že iniciativa se skládá z osmi návrhů. Reporting naznačuje, že iniciativa zahrnuje nebo podporuje následující body: ,
- Státy [by měly] zacházet s bezpečností dat komplexně, objektivně a na důkazech
- [Opozice] vůči ICT činnostem, které využívají data k provádění činností, které podkopávají národní bezpečnost a zájmy jiných států
- [Opozice] proti hromadnému sledování jiných států
- Státy by neměly požadovat po domácích společnostech, aby uchovávaly údaje generované a získané v zámoří na jejich vlastním území
- Státy by měly respektovat suverenitu, jurisdikci a správu údajů jiných států a žádná dvoustranná dohoda o přístupu k údajům by neměla narušovat soudní suverenitu a bezpečnost údajů třetího státu.
- Poskytovatelé ICT produktů a služeb by neměli do svých produktů a služeb instalovat zadní vrátka za účelem nezákonného získávání uživatelských dat nebo ovládání nebo manipulace se systémy a zařízeními uživatelů.
- Společnosti ICT by neměly usilovat o nelegitimní zájmy využíváním závislosti uživatelů na jejich produktech ani by neměly nutit uživatele, aby upgradovali své systémy a zařízení.
Zhao Lijian, mluvčí čínského ministerstva zahraničí, údajně prohlásil, že „iniciativa si klade za cíl chránit globální bezpečnost dat a dodavatelského řetězce, podporovat rozvoj digitální ekonomiky a poskytnout plán pro formulaci globálních pravidel“. Navíc se říká, že čínští vládní úředníci v těchto záležitostech učinili několik málo zastřených výtek vůči zahraniční politice Spojených států. V současné době není jasné, jak velká globální podpora pro tuto iniciativu existuje.
Akce a analýza
** Vyžaduje se členství **
3. Vládní odhalení zranitelnosti získává podporu.
Minulou středu vydala Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) pod DHS dlouho očekávanou závaznou operační směrnici (BOD) o zásadách zveřejňování zranitelnosti (VDP) pro federální vládu. BOD 20-01 dává vládním agenturám šest měsíců na to, aby „zavedly VDP, kteří se vzdají právní žaloby proti výzkumníkům, kteří jednají v dobré víře, umožní účastníkům anonymně předkládat zprávy o zranitelnosti a pokrýt alespoň jeden systém nebo službu přístupnou přes internet“.
Připomínáme, že BOD jsou „povinným pokynem federálním, výkonným orgánům, oddělením a agenturám za účelem ochrany federálních informací a informačních systémů“, které může vydávat DHS. Tento konkrétní BOD přichází s uznáním DHS, že „zásady zveřejňování zranitelnosti zvyšují odolnost vládních online služeb“ a jsou „základním prvkem efektivního programu řízení podnikových zranitelností“.
Pro agentury, které nemají mnoho zkušeností s vytvářením zásad zveřejňování zranitelnosti, BOD 20-01 užitečně popisuje různé požadavky, poskytuje pokyny k implementaci a dokonce i odkazy na šablonu VDP. Zatímco ustavení VDP ve federální vládě bylo dosud pomalé, tato povinná směrnice s jasnými implementačními pokyny by měla pomoci urychlit přijetí VDP.
Akce a analýza
** Vyžaduje se členství **
Přehled
Věnujte prosím jednu minutu odpovědi na několik otázek o Hacking Healthcare pro tento týden na tomto odkazu:
https://www.surveymonkey.com/r/QQD76GW
Kongres -
Úterý, září 9th:
– Senát – Výbor pro zdraví, vzdělávání, práci a důchody: Slyšení o prozkoumání vakcín se zaměřením na záchranu životů, zajištění důvěry a ochranu veřejného zdraví.
Středa, 10th září:
– Žádná relevantní slyšení
Čtvrtek, 11. září:
– Žádná relevantní slyšení
International Slyšení/Schůzky -
– Žádná relevantní slyšení
EU -
Středa, 10th září:
– Evropský parlament – Výbor pro životní prostředí, veřejné zdraví a bezpečnost potravin
Čtvrtek, 11. září:
– Evropský parlament – Výbor pro životní prostředí, veřejné zdraví a bezpečnost potravin
různé věci –
Ransomware zasáhl dvě státní organizace na Blízkém východě a v severní Africe
https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/
Francie varuje, že Emotet útočí na společnosti, administrativu
https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-firmy-administrativa/
Mikroskopy využívající umělou inteligenci Google by mohly změnit diagnostiku rakoviny
https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-change-cancer-diagnostics/168220/
Konference, webináře a summity -
Kontaktujte nás: sledujte @HealthISAC a pošlete e-mail na adresu contact@h-isac.org
https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl
https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl
https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl
https://www.globaltimes.cn/content/1200228.shtml
https://www.globaltimes.cn/content/1200228.shtml
https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7
https://www.globaltimes.cn/content/1200228.shtml
https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/
- Související zdroje a zprávy