Gå til hovedindhold

H-ISAC Hacking Healthcare 9-9-2020

TLP White: I denne uge beder Hacking Healthcare læserne om at begynde at tænke på cyberfysiske hændelser, og hvor forberedt din organisation er til at håndtere konsekvenserne. Dernæst nedbryder vi den seneste meddelelse om, at Kina afslører deres eget globale datasikkerhedsinitiativ, og hvad der kan forventes som et resultat. Til sidst undersøger vi kort, hvordan Department of Homeland Securitys (DHS) nye bindende operationelle direktiv, som kræver, at offentlige myndigheder skal vedtage en sårbarhedspolitik, påvirker sundhedssektoren.

Som en påmindelse er dette den offentlige version af Hacking Healthcare-bloggen. For yderligere dybdegående analyse og mening, bliv medlem af H-ISAC og modtag TLP Amber-versionen af ​​denne blog (tilgængelig i medlemsportalen.)

 

Giv os venligst et minut af din tid til at besvare et par spørgsmål om denne uges Hacking Healthcare-emner. Vi offentliggør resultaterne i et kommende nummer. Link til undersøgelsen følger nedenstående artikler.

 

 

Velkommen tilbage til Hacking Healthcare.

 

1. Tid til at begynde at tænke på cyber-fysisk ansvar.

Efterhånden som skellet mellem cyberverdenen og den fysiske verden i stigende grad udviskes, vil organisationer sandsynligvis stå over for nye udfordringer relateret til nye forpligtelser, regler og regler for cyberfysiske hændelser. Ifølge Gartner vil disse juridiske og regulatoriske ændringer sandsynligvis ske hurtigt på grund af de potentielle konsekvensers alvorlige karakter.

Blandt de mere øjenbrynsløftende forudsigelser, Gartner fremsætter, er påstanden om, at 75 % af administrerende direktører kan blive holdt personligt ansvarlige for cyberfysiske hændelser i 2024. Gartner forudser, at det vil blive stadig sværere for administrerende direktører at "påberåbe sig uvidenhed eller trække sig tilbage bag forsikringspolicer."[1] Derudover forudser de, at der vil være en hurtig stigning i cyberfysiske hændelser på grund af manglende planlægning og udgifter på dette område. Mest bekymrende er deres analyse af, at den økonomiske virkning af cyberfysiske hændelser, der resulterer i fatale ofre, vil passere 50 milliarder dollars i 2023.[2]

Gartner citerede også bekymringen over, at mange organisationer ikke er fuldt ud klar over alle de cyberfysiske systemer, som de allerede har implementeret. I sin kommentar til behovet for at løse disse problemer opfordrede Gartners forskningsvicepræsident, Katell Thielemann, teknologiledere til at hjælpe administrerende direktører med at forstå truslen fra cyberfysiske hændelser og behovet for at etablere "Operational Resilience Management (ORM) hinsides informationscentreret cyber sikkerhed."[3]

Handling & Analyse
**medlemskab påkrævet**

 

2. Kina løfter sløret for sit globale datasikkerhedsinitiativ.

Tirsdag morgen blev det offentliggjort, at Kina har til hensigt at lancere et globalt datasikkerhedsinitiativ. Ifølge Global Times er dette initiativ udråbt som en potentiel verdensomspændende standard for datasikkerhed og påstås at løse nogle af de ofte nævnte bekymringer, regeringer og virksomheder har haft med hensyn til databeskyttelse og sikkerhed i Kina.[4]

Global Times rapporterer, at initiativet består af otte forslag. Rapportering tyder på, at initiativ omfatter eller understøtter følgende punkter:[5], [6]

  • Stater [bør] håndtere datasikkerhed på en omfattende, objektiv og evidensbaseret måde
  • [Opposition] mod ikt-aktiviteter, der bruger data til at udføre aktiviteter, der underminerer andre staters nationale sikkerhed og interesser
  • [Opposition] mod masseovervågning mod andre stater
  • Stater bør ikke anmode indenlandske virksomheder om at opbevare data genereret og opnået i udlandet på deres eget territorium
  • Stater bør respektere andre staters suverænitet, jurisdiktion og styring af data, og enhver bilateral aftale om dataadgang bør ikke krænke en tredjestats retlige suverænitet og datasikkerhed
  • IKT-produkter og -tjenesteudbydere bør ikke installere bagdøre i deres produkter og tjenester for ulovligt at indhente brugerdata eller kontrollere eller manipulere brugernes systemer og enheder
  • IKT-virksomheder bør ikke søge illegitime interesser ved at drage fordel af brugerens afhængighed af deres produkter eller tvinge brugerne til at opgradere deres systemer og enheder

Zhao Lijian, en talsmand for det kinesiske udenrigsministerium, påstås at have udtalt, at "initiativet sigter mod at beskytte global data- og forsyningskædesikkerhed, fremme udviklingen af ​​den digitale økonomi og give en plan for formuleringen af ​​globale regler."[7] Derudover siges kinesiske regeringsembedsmænd at have fremsat adskillige tyndt tilslørede irettesættelser til USA's udenrigspolitik i disse spørgsmål. Det er i øjeblikket uklart, hvor meget global støtte der er til dette initiativ.

Handling & Analyse
**medlemskab påkrævet**

 

3. Offentliggørelse af offentlige sårbarheder får et løft.

Sidste onsdag udgav The Cybersecurity and Infrastructure Security Agency (CISA) under DHS et længe ventet bindende operationelt direktiv (BOD) om sårbarhedsoplysningspolitikker (VDP'er) for den føderale regering. BOD 20-01 giver regeringsorganer seks måneder til at "etablere VDP'er, der afviser juridiske skridt mod forskere, der handler i god tro, tillader deltagere at indsende sårbarhedsrapporter anonymt og dækker mindst ét ​​internettilgængeligt system eller en tjeneste."[8]

Som en påmindelse er BOD'er "en obligatorisk vejledning til føderale, udøvende afdelinger, afdelinger og agenturer med det formål at beskytte føderale informations- og informationssystemer", der kan udstedes af DHS.[9] Denne særlige BOD kommer med DHS's anerkendelse af, at "politikker for afsløring af sårbarhed øger modstandsdygtigheden af ​​regeringens onlinetjenester" og er "et væsentligt element i et effektivt program til håndtering af sårbarhed i virksomheder."[10]

For bureauer, der ikke har megen erfaring med at udarbejde en politik for afsløring af sårbarhed, skitserer BOD 20-01 hjælpsomt de forskellige krav, giver vejledning om implementering og endda links til en VDP-skabelon. Mens VDP-etableringen i den føderale regering hidtil har været langsom, bør dette obligatoriske direktiv med klare implementeringsinstruktioner hjælpe med at fremskynde VDP-vedtagelsen.

Handling & Analyse
**medlemskab påkrævet**

 

 

Kortlægge

Brug venligst et minut på at besvare et par spørgsmål om denne uges Hacking Healthcare ved at besøge dette link:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

Kongressen -

 

Tirsdag, september 9:

– Senatet – Udvalg for sundhed, uddannelse, arbejde og pensioner: Høringer for at undersøge vacciner med fokus på at redde liv, sikre tillid og beskytte folkesundheden.

 

Onsdag, september 10th:

– Ingen relevante høringer

 

Torsdag den 11. september:

– Ingen relevante høringer

 

 

 

internationale Høringer/møder -

 

– Ingen relevante høringer

 

 

EU -

Onsdag, september 10th:

– Europa-Parlamentet – Udvalget om Miljø, Folkesundhed og Fødevaresikkerhed

 

Torsdag den 11. september:

– Europa-Parlamentet – Udvalget om Miljø, Folkesundhed og Fødevaresikkerhed

 

 

 

 

Diverse –

 

Ransomware rammer to statsdrevne organisationer i Mellemøsten og Nordafrika

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

Frankrig advarer om, at Emotet angriber virksomheder, administration

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-virksomheder-administration/

Mikroskoper drevet af Googles AI kunne ændre kræftdiagnostik

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-change-cancer-diagnostics/168220/

 

 

 

Konferencer, webinarer og topmøder -

 

https://h-isac.org/events/

 

Kontakt os: følg @HealthISAC, og e-mail på contact@h-isac.org

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • Relaterede ressourcer og nyheder