Direkt zum Inhalt

H-ISAC Hacking im Gesundheitswesen 9-1-2020

TLP White: Diese Woche beginnt Hacking Healthcare mit einer Untersuchung des Sommer-Newsletters zur Cybersicherheit des Office of Civil Rights (OCR) des Gesundheitsministeriums und des Sozialministeriums (HHS), der argumentiert, dass die Einführung einer Bestandsaufnahme der Informationstechnologie (IT) die Einhaltung des HIPAA unterstützen kann. Als Nächstes informieren wir Sie über die jüngsten Anklagen gegen den ehemaligen Chief Security Officer (CSO) von Uber, Joe Sullivan, wegen seiner Rolle bei der Vertuschung eines Datenverstoßes im Jahr 2016 und überlegen, was der Gesundheitssektor tun könnte, um ein solches Verhalten zu unterbinden. Zum Schluss analysieren wir einen Insider-Angriff mit Happy End und überlegen, was Organisationen tun können, um solche Angriffe abzuschwächen.

Zur Erinnerung: Dies ist die öffentliche Version des Hacking Healthcare-Blogs. Für weitere ausführliche Analysen und Meinungen werden Sie Mitglied von H-ISAC und erhalten Sie die TLP Amber-Version dieses Blogs (verfügbar im Mitgliederportal).

 

Willkommen zurück zu Hacken des Gesundheitswesens.

 

1. OCR wirbt mit der Inventarisierung von IT-Anlagen als Vorteil für die HIPAA-Konformität.

On August 25th, OCR veröffentlichte ihre Cybersecurity-Newsletter Sommer 2020. Darin stellte OCR fest, dass ein gemeinsamer Aspekt vieler ihrer Untersuchungen darin besteht, dass eine Organisation nicht weiß, wo elektronisch geschützte Gesundheitsinformationen (ePHI) gespeichert sind. Dieser Mangel an Einblicken behindert Organisationen, die ihr unternehmensweites Risiko hinsichtlich der Einhaltung der HIPAA-Sicherheitsregeln bewerten möchten. Nach Ansicht von OCR sollten Organisationen ernsthaft in Erwägung ziehen, ein „aktuelles Inventar der Informationstechnologie (IT)-Assets“ zu erstellen und zu pflegen, um einen besseren Überblick darüber zu erhalten, wo ePHI gespeichert sind. Dies verbessert ihre Fähigkeit, HIPAA-konform zu bleiben und Strafen zu vermeiden.[1]

Was ist ein IT-Asset-Inventar?

In seinem Newsletter definiert OCR die IT-Vermögensinventur als „eine umfassende Auflistung der IT-Vermögenswerte einer Organisation mit entsprechenden beschreibenden Informationen“, die auf Hardware, Software und Daten beschränkt sein kann.[2] Während eine IT-Bestandsaufnahme nur Hardware, Software und Daten umfassen kann, die sich auf ePHI beziehen, weist OCR darauf hin, dass es erhebliche Vorteile bietet, wenn die Bestandsaufnahme alle Vermögenswerte einer Organisation umfasst. Für diejenigen, die genauere Angaben suchen, widmet die Identifizierungsfunktion des NIST Cybersecurity Framework dem Asset Management eine ganze Kategorie, komplett mit informativen Verweisen auf bekannte internationale Standards.

Wie würde ich eine Bestandsaufnahme meiner IT-Ressourcen durchführen?

Dieser Prozess kann zwar manuell mithilfe von internen Lösungen durchgeführt werden, die genau auf die Anforderungen Ihres Unternehmens zugeschnitten sind, es gibt jedoch zahlreiche IT-Asset-Management-Lösungen auf dem Markt, die auf die spezifischen Anforderungen von Gesundheitseinrichtungen abgestimmt werden können. Wie OCR anmerkt, können diese speziellen Lösungen häufig hilfreiche Funktionen wie „automatisierte Erkennungs- und Aktualisierungsprozesse für das Asset- und Inventarmanagement“ enthalten.[3]

Aktion & Analyse

**Mitgliedschaft erforderlich**

 

2. US-Justizministerium (DOJ) erhebt Anklage gegen CSO wegen Vertuschung eines Datenverstoßes.

Im Jahr 2016 wurde das bekannte Transportunternehmen Uber Opfer eines schwerwiegenden Datendiebstahls, bei dem die Daten von Millionen seiner Nutzer kompromittiert wurden. Trotz der Tragweite des Datendiebstahls weigerte sich Uber jedoch ein Jahr lang, den Vorfall offenzulegen. Die Geschichte hinter der langen Verzögerung und den daraus resultierenden Folgen sollte als warnendes Beispiel für jede Organisation dienen, die sich entscheidet, ihrer Verpflichtung, Datendiebstahl den zuständigen Behörden zu melden, nicht nachzukommen.

Uber beschrieb den Verstoß aus dem Jahr 2016 mit den Worten: „Zwei Personen außerhalb des Unternehmens hatten sich unberechtigterweise Zugang zu Benutzerdaten verschafft, die auf einem Cloud-basierten Dienst eines Drittanbieters gespeichert waren.“ Dadurch erhielten sie Zugriff auf „einige persönliche Informationen von 57 Millionen Uber-Benutzern auf der ganzen Welt, darunter „die Namen und Führerscheinnummern von rund 600,000 Fahrern in den Vereinigten Staaten.“[4] Das einzige Problem war, dass diese Aussage im November 2017 erfolgte, ein Jahr nach dem Verstoß.

Der Erklärung des Justizministeriums zufolge lag der Grund für die Verzögerung und die letztendliche Untersuchung durch das Federal Bureau of Investigation (FBI) darin, dass Joe Sullivan, der damalige Chief Information Officer (CSO) von Uber, einen Versuch koordiniert hatte, „vor der FTC sowohl den Hackerangriff selbst als auch die Tatsache, dass die Hacker durch die Datenpanne an Millionen von Datensätzen der Uber-Nutzer und -Fahrer gelangt waren, geheim zu halten und zu verheimlichen.“[5]  Zu Sullivans Maßnahmen gehört etwas, das der US-Staatsanwalt für den nördlichen Bezirk von Kalifornien, David Anderson, als „illegale Schweigegeldzahlung“ an die Hacker bezeichnete, die als Bug-Bounty-Zahlung getarnt war.[6] Uber musste in einem Vergleich im Jahr 148 2018 Millionen US-Dollar zahlen und letzte Woche wurde Sullivan wegen Justizbehinderung und Freiheitsberaubung angeklagt, was insgesamt zu einer Gefängnisstrafe von acht Jahren führen könnte.[7]

Aktion & Analyse

**Mitgliedschaft erforderlich**

 

3. Russischer Versuch, Tesla zu kompromittieren, durch Insider-Aktion vereitelt.

Letzte Woche beschrieb ein neuer Bericht des US-Justizministeriums einen offenbar dreisten russischen Versuch, Teslas Computernetzwerk in diesem Sommer zu kompromittieren. Glücklicherweise konnte der angebliche Plan durch die Handlungen eines Insiders vereitelt werden, der pflichtbewusst die Behörden alarmierte und eine Verhaftung veranlasste. Obwohl der Fall letztlich zu einem positiven Ergebnis für Tesla führte, beleuchtet die Geschichte eine der vielen Taktiken böswilliger Cyber-Akteure und unterstreicht erneut, wie wichtig Mitarbeiter für die Cybersicherheit eines Unternehmens sind.

Am 25. August veröffentlichte das Justizministerium eine Pressemitteilung mit dem Titel Russischer Staatsbürger wegen Verschwörung zur Einschleusung von Schadsoftware in das Computernetzwerk eines Unternehmens in Nevada festgenommen in dem der mutmaßliche kriminelle Plan im Großen und Ganzen dargelegt wurde.[8] Mitte Juli versuchte der russische Staatsbürger Egor Igorevich Kriuchkov, „einen Mitarbeiter eines Unternehmens anzuwerben, um Schadsoftware in das Netzwerk eines Unternehmens einzuschleusen“.[9] Bei dem fraglichen Unternehmen handelte es sich um Tesla und das Ziel der Schadsoftware bestand darin, Daten abzugreifen und als Lösegeld festzuhalten.[10] Interessanterweise reiste Kriuchkov tatsächlich in die USA, um den Insider anzuwerben und die Operation persönlich zu besprechen. Der ausgewählte Rekrut, der angeblich ein russisch sprechender Nicht-US-Bürger ist, wurde wahrscheinlich schon lange im Voraus ausgewählt.[11]

Glücklicherweise meldete der Insider diesen böswilligen Ansatz pflichtbewusst dem Unternehmen und das FBI wurde umgehend eingeschaltet. In den nächsten Wochen sammelte der Insider unter Anleitung des FBI wertvolle Informationen über die russische Operation, einschließlich ihrer Infrastruktur, Prozesse und Verfahren sowie Details, die dem FBI dabei halfen, die beteiligten Personen zu identifizieren. Kriuchkov wurde inzwischen verhaftet und wartet auf seinen Prozess.

Aktion & Analyse

**Mitgliedschaft erforderlich**

 

 

 

 

Kongress -

 

Dienstag, 1. September:

– Keine relevanten Anhörungen

 

Mittwoch, 2. September:

– Keine relevanten Anhörungen

 

Donnerstag, 3. September:

– Keine relevanten Anhörungen

 

 

 

Internationale Anhörungen/Sitzungen -

 

– Keine relevanten Anhörungen

 

 

EU -

 

Mittwoch, 2. September:

– Sitzung des Ausschusses für Umweltfragen, öffentliche Gesundheit und Lebensmittelsicherheit

 

Donnerstag, 3. September:

– Sitzung des Ausschusses für Umweltfragen, öffentliche Gesundheit und Lebensmittelsicherheit

 

 

Verschiedenes –

 

 

Umfrage: Fast drei Viertel der Amerikaner wünschen sich mehr staatliche Kontrolle des Datenschutzes

https://www.nextgov.com/analytics-data/2020/08/survey-nearly-3-4-americans-want-more-government-oversight-data-privacy/167983/

NIST fordert Standards zur Verbesserung der forensischen Fähigkeiten in der Cloud

https://www.nextgov.com/it-modernization/2020/08/nist-calls-standards-improve-forensic-capabilities-cloud/168051/

Suchmaschinen können Gesundheitsinformationen von Patienten offenlegen, warnt ACR

https://healthitsecurity.com/news/search-engines-may-expose-patient-health-information-acr-warns

 

 

Kontaktieren Sie uns: Folgen Sie @HealthISAC und senden Sie eine E-Mail an contact@h-isac.org

 

Konferenzen, Webinare und Gipfeltreffen -

— STOPPEN SIE DATENBLUTUNGEN: MINIMIEREN SIE DAS RISIKO DRITTER IM GESUNDHEITSWESEN DURCH RISKRECON – Webinar (9)

https://h-isac.org/hisacevents/stop-hemorrhaging-data-minimize-third-party-risk-in-healthcare-by-riskrecon/

–Healthcare Cybersecurity Forum – Südosten – Webinar (9)

https://endeavor.swoogo.com/Southeast_Virtual_Healthcare_Innovation_Cybersecurity_Forum

— H-ISAC Virtual Threat Hunting Workshop gesponsert von RiskIQ – Webinar (9)

https://h-isac.org/hisacevents/h-isac-threat-hunting-workshop-sponsored-by-riskiq-members-only/

–H-ISAC Webinar-Reihe des Europäischen Rates – Webinar (9)

https://h-isac.org/hisacevents/h-isac-european-council-webinar-series-2/

–So bleiben Sie Maze und WastedLocker Ransomware von SafeBreach einen Schritt voraus – Webinar (9)

https://h-isac.org/hisacevents/how-to-stay-ahead-of-maze-and-wastelocker-ransomware-by-safebreach/

–Cybersicherheitsresilienz in der Welt von COVID-19 – Webinar (9)

https://h-isac.org/hisacevents/cybersecurity-resilience-in-the-world-of-covid-19/

— ENISA Trust Services Forum – CA Day 2020 – Schloßplatz Berlin, Deutschland (9)

https://h-isac.org/hisacevents/enisa-trust-services-forum-ca-day-2020/

–Healthcare Cybersecurity Forum – Nordosten – Webinar (9)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/427126

–H-ISAC Cyber ​​Threat Intel Training – Titusville, FL (9)

https://h-isac.org/hisacevents/h-isac-security-workshop-titusville-fl/

–H-ISAC Sicherheitsworkshop – virtuell (9)

https://h-isac.org/hisacevents/h-isac-security-workshop-forchheim-germany/

–Gipfeltreffen zu Sicherheit und Risiken Dritter – National Harbor, MD (9-28)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840

–Monatliches H-ISAC-Briefing zu Bedrohungen für Mitglieder – Webinar (9)

https://h-isac.org/hisacevents/h-isac-monthly-member-threat-briefing-12/

— Die MedTech-Konferenz – virtuell (10)

https://h-isac.org/hisacevents/the-medtech-conference-toronto/

— Forum für Cybersicherheit im Gesundheitswesen – Houston, TX (10)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840

— NCHICA AMC-Konferenz zu Sicherheit und Datenschutz – Durham, North Carolina (10-21)

https://h-isac.org/hisacevents/nchica-amc-security-privacy-conference/

— Europäischer H-ISAC-Gipfel 2020 – Santpoort-Noord, Niederlande (10–20)

https://h-isac.org/summits/european-2020-summit/

–CYSEC 2020 – Dubrovnik, Kroatien (10 – 27)

https://h-isac.org/hisacevents/cysec-2020-croatia/

–Healthcare Cybersecurity Forum – Pazifischer Nordwesten – Seattle, WA (10)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428886

–H-ISAC VIRTUELLER WORKSHOP ZUR SICHERHEIT MEDIZINISCHER GERÄTE – Webinar (10)

https://h-isac.org/hisacevents/h-isac-virtual-medical-device-security-workshop/

–H-ISAC Sicherheitsworkshop – Seattle, WA – (10)

https://h-isac.org/hisacevents/h-isac-security-workshop-seattle-wa-2/

–Healthcare Cybersecurity Forum – Kalifornien – Los Angeles, CA (11)

Forum für Cybersicherheit im Gesundheitswesen – Kalifornien

–H-ISAC Sicherheitsworkshop – Paris, Frankreich (11)

https://h-isac.org/hisacevents/h-isac-security-workshop-paris-france/

–H-ISAC Herbstgipfel – Phoenix, AZ (11 – 30)

https://h-isac.org/summits/fall-summit-2020/

— H-ISAC Sicherheitsworkshop – Prag, Tschechische Republik (12)

https://h-isac.org/hisacevents/h-isac-security-workshop-prague/

— APAC-Gipfel 2021 – Singapur (3-23)

 

[1] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html

[2] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html

[3] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html

[4] https://www.uber.com/newsroom/2016-data-incident/

[5] https://www.justice.gov/usao-ndca/press-release/file/1306781/download

[6] https://www.zdnet.com/article/former-uber-cso-charged-for-2016-hack-cover-up/

[7] https://www.zdnet.com/article/former-uber-cso-charged-for-2016-hack-cover-up/

[8] https://www.justice.gov/opa/pr/russian-national-arrested-conspiracy-introduce-malware-nevada-companys-computer-network

[9] https://www.justice.gov/opa/pr/russian-national-arrested-conspiracy-introduce-malware-nevada-companys-computer-network

[10] https://news.clearancejobs.com/2020/08/26/company-insider-works-with-fbi-to-turn-the-tables-on-russias-million-dollar-attempt-to-hijack-the-network/

[11] https://news.clearancejobs.com/2020/08/26/company-insider-works-with-fbi-to-turn-the-tables-on-russias-million-dollar-attempt-to-hijack-the-network/

  • Verwandte Ressourcen und Neuigkeiten