Health-ISAC Hacking Healthcare 5-9-2024

I denne uge fokuserer Hacking Healthcare™ på nye udviklinger omkring AI-risiko, sikkerhed og sikkerhed. Vi opdeler især etableringen af ​​det nye Department of Homeland Security (DHS) Sikkerheds- og sikkerhedsråd for kunstig intelligens og gennemgå derefter ny DHS-vejledning Sikkerheds- og sikkerhedsretningslinjer for ejere og operatører af kritisk infrastruktur.

Som en påmindelse er dette den offentlige version af Hacking Healthcare-bloggen. For yderligere dybdegående analyse og mening, bliv medlem af H-ISAC og modtag TLP Amber-versionen af ​​denne blog (tilgængelig i medlemsportalen.)

Velkommen tilbage til Hacking Healthcare™.

Health-ISAC Americas Hobby Exercise 2024

Health-ISAC øger endnu en gang forberedelserne til vores årlige Americas Hobby-øvelse! For nye Health-ISAC-medlemmer er Hobby-øvelsen en årlig Healthcare and Public Health (HPH)-begivenhed designet til at engagere sundhedssektoren og strategiske partnere i væsentlige sikkerheds- og modstandsdygtighedsudfordringer. Det overordnede mål er at informere og give muligheder for organisatorisk løbende forbedring og samtidig øge sundhedssektorens modstandskraft.

Følgende link til sidste års Hobby Exercise After Action-rapport giver et godt overblik over den slags interaktion og værdi, du kan forvente af dette års arrangement:

https://h-isac.org/hobby-exercise-2023-after-action-report/

Dette års øvelse vil blive afholdt den 6. juni på Venable LLPs kontor i Washington, DC. Medlemmer opfordres til at registrere deres interesse for deltagelse på følgende link:

https://portal.h-isac.org/s/community-event?id=a1Y7V00000ZmFVwUAN

National Security Memorandum 22 reviderer USA's tilgang til kritisk infrastruktur

Den 30. april offentliggjorde Biden-administrationen National Security Memorandum 22 (NSM-22): om kritisk infrastruktursikkerhed og modstandsdygtighed.^[I] Dette memorandum fungerer som den seneste revision i en række af executive memoranda, der har forsøgt at definere, hvad der udgør amerikansk kritisk infrastruktur og skitsere, hvordan det er meningen, at regeringen skal forbedre sikkerheden og modstandsdygtigheden af ​​den kritiske infrastruktur. Som du kunne forvente, vil NSM-22 have direkte og indirekte indvirkninger på sundheds- og folkesundhedssektoren (HPH).

Hvad er NSM-22, og hvad erstatter det? 

Siden 2013 har USA's føderale regering set på Presidential Policy Directive 21 (PPD-21) som den stående vejledning for, hvad der udgjorde kritisk infrastruktur i USA, hvordan USA's regering skal se ud for at sikre denne infrastruktur, samt skitsere den private sektors påtænkte rolle. Selvom det executive memorandum ikke har lovens kraft bag sig, blev det aldrig ophævet eller erstattet før i sidste uge.

Denne opdatering blev sat i gang med vedtagelsen af ​​HR6395, William M. (Mac) Thornberry National Defense Authorization Act for Fiscal Year 2021, som krævede, at sekretæren for DHS, i samråd med lederne af Sector Risk Management Agencies (SRMA'er), at "gennemgå de nuværende rammer for sikring af kritisk infrastruktur..." og indsende en rapport relateret til mulige revisioner.^[Ii] Indholdet af denne rapport blev underskrevet af præsident Biden og arbejde på, hvad der ville blive NSM-22.

NSM-22 Indhold

Omtrent 35 sider lang giver NSM-22 følgende til at "fremme [USA's] nationale indsats for at styrke og vedligeholde sikker, fungerende og modstandsdygtig kritisk infrastruktur":^[Iii]

• Otte politiske principper;
• Otte mål;
• Afklaring af roller og ansvar for føderale afdelinger og agenturer;
• Fremme af risikostyring og en tilgang med alle trusler/farer til sikkerhed og modstandsdygtighed;
• Påbud om minimumskrav til sikkerhed og modstandsdygtighed for kritiske infrastruktursektorer;
• Retningen af ​​en national risikostyringsplan for infrastruktur;
• Gentagelsen af ​​systemisk vigtige enheder (SIE'er);
• En styrkelse af efterretningsdeling og informationsudveksling;
• En gentagelse af definitionen af ​​kritisk infrastruktur, de udpegede kritiske infrastruktursektorer og ansvarlige SRMA'er; og
• En implementeringsplan for føderale enheder til at udføre på det, der er blevet skitseret ovenfor.

Handling & Analyse
**Inkluderet med Health-ISAC-medlemskab**

Kommende internationale høringer/møder

• EU
  1. Ingen relevante møder på nuværende tidspunkt
• US
  1. Ingen relevante møder på nuværende tidspunkt
• Resten af ​​verden
  1. Ingen relevante møder på nuværende tidspunkt

^[I]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Ii] https://www.congress.gov/bill/116th-congress/house-bill/6395

^[Iii]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Iv] Direktiv om præsidentiel beslutning/NSC-63

^[V] Præsidentpolitisk direktiv 21

^[Vi] "Systemer og aktiver, hvad enten de er fysiske eller virtuelle, er så vitale for USA, at manglende kapacitet eller ødelæggelse af sådanne systemer og aktiver ville have en svækkende indvirkning på national sikkerhed, national økonomisk sikkerhed, national folkesundhed eller sikkerhed eller enhver kombination af disse betyder noget."

^[Vii]https://www.washingtonpost.com/politics/2023/10/16/biden-administration-goes-back-drawing-board-water-cybersecurity/

^[Viii]https://www.cisa.gov/cross-sector-cybersecurity-performance-goals#:~:text=A%20common%20set%20of%20protections,known%20risks%20and%20adversary%20techniques

^[Ix] https://hphcyber.hhs.gov/performance-goals.html

^[X]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xi]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xii] https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

• Relaterede ressourcer og nyheder
• Health-ISAC Hacking Healthcare 5-11-2026
• En CISO's Playbook bind 2 – 0Auth-token-sårbarhed, der forårsagede Salesforce-brud
• Månedligt nyhedsbrev – maj 2026
• Kvartalslig trusselsindsigt – 1. kvartal 2026
• Hvad Stryker-angrebet afslører om sikkerhed for medicinsk udstyr
• Politikker og sikkerhedsforanstaltninger for sikker brug af AI
• HSCC afslører tredjeparts guide til gennemsigtighed i AI-risiko og forsyningskæde
• Anthropic afslører magisk 0-dages computergud
• Sundhedsvæsenet i sigtekornet: Iran-forbundne cybertrusler øger risikoen for hospitaler, medteknologi og forsyningskæder inden for pleje
• Health-ISAC påpeger mangler i cyberrobusthed og håndtering af hændelser…