Gå til hovedindhold

Health-ISAC Hacking Healthcare 10-7-2021

|

TLP White: October markerer Cybersecurity Awareness Month, en samarbejdsindsats mellem regering og industri for at øge bevidstheden om vigtigheden af ​​cybersikkerhed og for at sikre, at alle har de ressourcer, de har brug for for at være mere sikre og sikre online. Som en stolt forkæmper for cybersikkerhedsbevidsthed vil vi i denne måned indvæve nogle ugentlige temaer til vores artikler. I denne uge, Hacking Healthcare begynder med et nik til multi-factor authentication (MFA). Vi fremhæver en ny trussel mod engangskodeordsløsninger (OTP), som kan have konsekvenser for organisationer, der anvender OTP som en del af deres MFA-løsning. Vi giver derefter en opdatering om nye udviklinger inden for hændelsesrapporteringslovgivningen i USA. Til sidst afslutter vi med en diskussion om, hvordan nogle nylige nyhedshistorier, der påstår en sammenhæng mellem cyberangreb i sundhedsvæsenet og patientskade, måske ikke er så entydige, som mange synes at antyde.

Men først, hvis du er H-ISAC-medlem, bedes du overveje at deltage i H-ISAC's kommende Hobby-øvelse. Se detaljerne nedenfor.

Som en påmindelse er dette den offentlige version af Hacking Healthcare-bloggen. For yderligere dybdegående analyse og mening, bliv medlem af H-ISAC og modtag TLP Amber-versionen af ​​denne blog (tilgængelig i medlemsportalen.)

 

Velkommen tilbage til Hacking Healthcare.

 

Pdf version:

Hent

 

Tekstversion:

Velkommen tilbage til Hacking Healthcare.

1. H-ISAC Hobbyøvelse Opfordring til deltagelse

Hobbyøvelsen er en årlig Healthcare and Public Health (HPH) begivenhed designet til at engagere sektoren og dens partnere i væsentlige sikkerheds- og modstandsdygtighedsudfordringer for at informere om forbedringer af planlægning og respons. Den anden gentagelse af hobbyøvelsen er planlagt til den 2. november 2021 på Venable LLP i Washington, DC. Vi forventer 30-50 deltagere, personligt, fra den offentlige og private sektor. Denne heldagsøvelse byder på hovedtalere, store gruppediskussioner, gruppediskussioner, frokost og rigelige pauser til netværk. Øvelsen vil blive afholdt på TLP Amber for at lette åben diskussion om disse vigtige spørgsmål.

Deltager detaljer:

En inkluderende, holistisk, multidisciplinær tilgang giver værdi til denne øvelse, og vi leder efter mangfoldig repræsentation på tværs af sektoren. Denne mangfoldighed strækker sig til organisationstype (f.eks. MDM, HDO osv.), rolle (f.eks. IT/sikkerhed, HR, Juridisk, Kommunikation osv.) og individuelt erfaringsniveau.

Formål:

Hobbyøvelsen uddanner deltagerne i problemerne inden for sundhedsvæsenet, og hvordan H-ISAC og dets medlemmer kan adressere og adressere dem. Denne øvelse opbygger varige relationer inden for og på tværs af den offentlige og private sektor, der hjælper med at styrke forståelse, respons og genopretningsplaner og aktiviteter.

For at deltage i Hobbyøvelsen eller lære mere, så send en e-mail jbanghart@h-isac.org.

 

2. Nye udfordringer for engangskodeordssikkerhed og MFA

At holde ondsindede aktører ude er blevet stadig sværere, da deres evner løbende forbedres over tid. Mens mange organisationer heldigvis har erkendt, at en enestående afhængighed af statiske adgangskoder og videnbaserede spørgsmål ikke længere er tilstrækkelig til at besejre beslutsomme angribere, er nogle andre former for autentificering, der ofte bruges i MFA, også truet. Ifølge Intel 471 bliver OTP-godkendelsesløsninger målrettet af et stigende antal bot-baserede phishing-tjenester.[1]

For kontekst er OTP-godkendelsesløsninger "afhængige af en engangsadgangskode, der genereres i et selvstændigt hardwaretoken, eller mere almindeligt i dag, en smartphone-app."[2] Disse adgangskoder ændres efter et bestemt antal sekunder og har traditionelt været en væsentlig sikkerhedsforbedring. Et nyligt indlæg fra Intel 471 fremhævede imidlertid "en stigning i tjenester på undergrunden af ​​cyberkriminalitet, der gør det muligt for angribere at opsnappe engangskodeordstokens."[3]

Tjenester af denne art blev rapporteret tidligere på året, hvor et KrebsOnSecurity-indlæg fra februar undersøgte en tjeneste kaldet OTP Agency.[4] Ifølge Intel 471 gør disse nye tjenester brug af Telegram-messengeren til at kontakte ofre, mens de fremstår "som et legitimt opkald fra en specifik bank og bedrager ofrene til at indtaste en OTP eller anden bekræftelseskode i en mobiltelefon for at fange og levere koder."[5] Disse phishing-angreb ser ud til at være meget vellykkede, hvilket ville være med til at forklare stigningen i antallet af tjenester på markedet.

Handling & Analyse
**Medlemskab påkrævet**

  

3. Opdatering til rapportering af cyberhændelser

Indberetning af cyberhændelser er fortsat et samtaleemne i Kongressen, da lovgivere på begge sider af gangen ser efter at reagere på stigningen i betydelige cyberangreb, der påvirker amerikanske enheder. Den nyeste deltager til overvejelse, den Lov om indberetning af cyberhændelser, blev introduceret i sidste uge af senator Peters (D-MI) og senator Portman (R-OH).[6] Lovforslaget slutter sig til det tidligere Lov om anmeldelse af cyberhændelser, indført af Sen. Warner (D-VA), som de to store love om sagen, der i øjeblikket cirkulerer i Senatet.[7]

Som beskrevet af dens forfattere Lov om indberetning af cyberhændelser ville "kræve, at ejere og operatører af kritisk infrastruktur rapporterer til Cybersecurity and Infrastructure Security Agency (CISA), hvis de oplever et cyberangreb, og [vil kræve] at de fleste enheder rapporterer, hvis de foretager en ransomware-betaling."[8] Portman og Peters mener, at lovforslaget vil "forbedre føderale agenturers forståelse af, hvordan man bedst bekæmper cyberangreb, hjælpe vores nation med at holde hackere ansvarlige for at målrette amerikanske netværk og styrke den føderale regerings evne til at hjælpe med at forhindre, at disse angreb kompromitterer den nationale sikkerhed yderligere og forstyrrer amerikanernes liv og levebrød."

Lovforslaget afspejler mange af de samme bekymringer fra det tidligere Warner-lovforslag, som ville "kræve, at føderale regeringsagenturer, føderale entreprenører og kritiske infrastrukturoperatører underretter Department of Homeland Securitys (DHS) Cybersecurity and Infrastructure Security Agency (CISA), når et brud er opdaget, så den amerikanske regering kan mobilisere for at beskytte kritiske industrier over hele landet."[9]

Selvom både Portman/Peters-lovforslaget og Warner-lovforslaget er todelt og behandler det samme emne, indeholder hvert lovforslags omfang og tilgang vigtige sondringer, i det mindste i deres nuværende form. Nogle af de mere bemærkelsesværdige forskelle er tidslinjerne for indberetning, de enheder, der er omfattet af indberetningen, og håndhævelsesmekanismen.

Handling & Analyse
**Medlemskab påkrævet**

 

4. Rolig vurdering af cyberangrebs indvirkning på patientresultater

En ny rapport fra Ponemon Institute om virkningen af ​​ransomware på sundhedsvæsenet under COVID-19 hævder, at ransomware har øget patientdødeligheden. [10]  Omtrent på samme tid blev der publiceret en artikel i Wall Street Journal, der beskrev, hvordan ransomware bidrog til en nyfødt babys dødelige helbredskomplikationer.[11]

Begge disse artikler har sat fokus på frygten for, at cyberangreb påvirker patienternes resultater negativt. Desværre bliver disse artikler ofte fordrejet og sensationelle, hvilket gør vandet til et spørgsmål af reel betydning og gør ærlig dialog mellem sundhedsudbydere, patienter og lovgivere vanskeligere. Ved nærmere eftersyn af kildematerialet fremstår disse historier ikke nær så entydige, som nogle nyhedsoverskrifter fremstiller dem.

Ponemon-studiet, Indvirkningen af ​​Ransomware på Sundhedspleje under COVID-19 og Beyond, er en 43-siders forskningsrapport sponsoreret af tredjeparts risikostyringsfirmaet Censinet.[12] Rapporten, der blev udgivet i september, indeholder en række bekymrende tal om virkningen af ​​cyberangreb på sundhedsvæsenet. Mest bemærkelsesværdigt:[13]

  • – 22 % af de adspurgte i Healthcare Delivery Organisations (HDO'er), der oplevede et ransomware-angreb, vidnede om en "stigning i dødeligheden"
  • – 36 % af de adspurgte i HDO'er, der oplevede et ransomware-angreb, attesterede en "stigning i komplikationer fra medicinske procedurer"
  • – 23 % af alle respondenter bekræftede, at "konsekvenserne af cyberangreb på patientbehandling" førte til "en stigning i dødeligheden"

 

Wall Street Journal-artiklen skitserer en retssag, der stammer fra helbredskomplikationer, som en nyfødt led under en ransomware-hændelse på Springhill Medical Center i Alabama. Retssagen hævder, at Springhill Medical Center "undlod at informere sagsøgeren om cyberangrebet og udfaldet", og at "læger og sygeplejersker på Springhill Medical Center undlod at udføre flere tests før fødslen ... og at disse tests ikke blev udført på grund af distraktion forårsaget af ransomware-angrebet."[14] Selvom ransomware meget vel kan have bidraget til resultatet, er det ikke blevet afgjort i retten, om det var en afgørende faktor.

Handling & Analyse
**Medlemskab påkrævet**

 

Kongressen

 

Tirsdag, oktober 5:

– Ingen relevante høringer

 

Onsdag den 6. oktober:

– Ingen relevante høringer

 

Torsdag den 7. oktober:

– Senatet – Udvalget for Handel, Videnskab og Transport: Høringer for at undersøge tilstanden af ​​telesundhed med fokus på at fjerne barrierer for adgang og forbedre patientresultater.

 

internationale Høringer/møder -

– Ingen relevante møder

 

EU -

Mandag, oktober 11

– EU-Parlamentet – Udvalget om Miljø, Folkesundhed og Fødevaresikkerhed

 

 

 

Konferencer, webinarer og topmøder –

 

 

https://h-isac.org/events/

 

Kontakt os: følg @HealthISAC, og e-mail på contact@h-isac.org

 

[1] https://intel471.com/blog/otp-password-bots-telegram

[2] /wp-content/uploads/H-ISAC_All-About-Authentication-White-Paper.pdf

[3] https://intel471.com/blog/otp-password-bots-telegram

[4] https://krebsonsecurity.com/2021/02/u-k-arrest-in-sms-bandits-phishing-service/

[5] https://intel471.com/blog/otp-password-bots-telegram

[6] https://www.congress.gov/bill/117th-congress/senate-bill/2875

[7] https://www.congress.gov/bill/117th-congress/senate-bill/2407/text

[8] https://www.hsgac.senate.gov/media/majority-media/peters-and-portman-introduce-bipartisan-legislation-requiring-critical-infrastructure-entities-to-report-cyber-attacks

[9] https://www.warner.senate.gov/public/index.cfm/2021/7/following-solarwinds-colonial-hacks-leading-national-security-senators-introduce-bipartisan-cyber-reporting-bill

[10] https://www.censinet.com/thank-you-ponemon-covid-ransomware-impact/

[11] https://www.wsj.com/articles/ransomware-hackers-hospital-first-alleged-death-11633008116

[12] https://www.censinet.com/thank-you-ponemon-covid-ransomware-impact/

[13] https://www.censinet.com/thank-you-ponemon-covid-ransomware-impact/

[14] https://www.hipaajournal.com/lawsuit-alleges-ransomware-attack-resulted-in-hospital-baby-death/

Health-ISAC Hacking Healthcare 10-12-2021
Månedligt nyhedsbrev – oktober 2021