H-ISAC Hacking Healthcare 7-15-2020

TLP Λευκό:

Αυτή την εβδομάδα, το Hacking Healthcare διερευνά το πλήρες εύρος των επιχειρήσεων συλλογής πληροφοριών της Κίνας εναντίον οντοτήτων υγειονομικής περίθαλψης στις Ηνωμένες Πολιτείες και των συμμάχων τους στον απόηχο του COVID-19 και περιγράφει μερικούς πρακτικούς και φθηνούς τρόπους ενίσχυσης της ασφάλειας. Στη συνέχεια, εξετάζουμε τον τρόπο με τον οποίο οι επιμέρους πολιτείες λαμβάνουν μέτρα για να ενστερνιστούν μόνιμα τις αλλαγές στην τηλευγεία και συζητάμε τι μπορείτε να περιμένετε για την τηλευγεία από ομοσπονδιακή σκοπιά. Τέλος, εξηγούμε εν συντομία πώς ένα έξυπνο ρολόι και μια συνοδευτική εφαρμογή σχετική με την υγειονομική περίθαλψη επιδεικνύουν τα ζητήματα ασφάλειας της μη ολοκληρωμένης ορατότητας στον υποκείμενο κώδικα ενός προϊόντος. Καλώς ήρθατε πίσω στο Hacking Healthcare.

Υπενθυμίζουμε ότι αυτή είναι η δημόσια έκδοση του ιστολογίου Hacking Healthcare. Για πρόσθετη σε βάθος ανάλυση και γνώμη, γίνετε μέλος του H-ISAC και λάβετε την έκδοση TLP Amber αυτού του ιστολογίου (διαθέσιμη στην Πύλη Μελών.)

1. FBI: Οι Επιχειρήσεις Πληροφοριών της Κίνας Lap the Field.

Η απειλή από τις κινεζικές Προηγμένες Επίμονες Απειλές («APT») που χρηματοδοτούνται από την κυβέρνηση, τους πατριώτες χάκερ και τις μη συνδεδεμένες εγκληματικές οργανώσεις είναι ευρέως γνωστή στη Δύση. Ωστόσο, την περασμένη εβδομάδα, ο διευθυντής του Ομοσπονδιακού Γραφείου Ερευνών ("FBI") Christopher Wray βοήθησε να τεθεί στο επίκεντρο η τεράστια κλίμακα των κινεζικών παραγόντων απειλών όταν δήλωσε ότι σχεδόν οι μισές από τις 5,000 ενεργές έρευνες αντικατασκοπείας που είναι ανοιχτές στις Ηνωμένες Πολιτείες σχετίζονται στην Κίνα.[1] Αυτό μεταφράζεται σε ένα νέο κινεζικό θέμα που ανοίγει κάθε 10 ώρες.[2]

Αν και δεν περιέχουν όλες αυτές οι κινεζικές κινεζικές δραστηριότητες πληροφοριών κακόβουλα στοιχεία στον κυβερνοχώρο, πολλές από τις υψηλότερου προφίλ και τις πιο ευαίσθητες λειτουργίες το κάνουν. Ο διευθυντής Wray αναγνώρισε ότι οι υποθέσεις οικονομικής κατασκοπείας που σχετίζονται με την Κίνα, συμπεριλαμβανομένων εκείνων που στοχεύουν στην έρευνα και τη διεξαγωγή κλοπής IP, είχαν αυξηθεί κατά 1300% την τελευταία δεκαετία.[3] Περιέγραψε περαιτέρω ότι οι κινέζοι παράγοντες απειλών χρησιμοποιούν «ένα ευρύ φάσμα εξελιγμένων τεχνικών» που περιλαμβάνουν ανεπαίσθητη εισβολή στον κυβερνοχώρο καθώς και στοχευμένες επιθέσεις χρησιμοποιώντας μέσα κοινωνικής δικτύωσης για τον εντοπισμό στόχων.[4]

Ο Wray αναγνώρισε συγκεκριμένα την απειλή για την υγειονομική περίθαλψη, δηλώνοντας ότι η κινεζική κυβέρνηση προσπαθεί ενεργά να θέσει σε κίνδυνο την υγειονομική περίθαλψη και τις φαρμακευτικές εταιρείες που διεξάγουν έρευνα για τον COVID-19. Το FBI σημείωσε ότι οι αμερικανικοί οργανισμοί υγειονομικής περίθαλψης που κάνουν εξέχουσες ανακοινώσεις σχετικά με την έρευνα για τον COVID-19 συχνά βρίσκονται στο στόχαστρο εντός 24 ωρών.[5] Αυτό απηχεί δηλώσεις στενών συμμάχων όπως ο Καναδάς.

Αν και δεν κάλεσε συγκεκριμένα την Κίνα, ο Scott Jones, Επικεφαλής του Καναδικού Κέντρου για την Κυβερνοασφάλεια, σημείωσε πολυάριθμες επιτυχείς παραβιάσεις εναντίον οργανισμών που διεξάγουν έρευνα για τον COVID-19 στο Καναδικό Κοινοβούλιο την περασμένη εβδομάδα.[6] Ο Τζόουνς εξήγησε ότι οι υπεύθυνοι χάραξης πολιτικής συχνά παραβλέπουν πόσοι μικρομεσαίοι οργανισμοί που είναι κρίσιμοι για την προσπάθεια COVID-19 δεν διαθέτουν τους πόρους κυβερνοασφάλειας για να αμυνθούν επαρκώς από τους τύπους απειλών που βλέπουν. Αυτό οδήγησε άτομα όπως ο Paul-Émile Cloutier, Διευθύνων Σύμβουλος της HealthcareCAN, να παραπονεθούν δημόσια για την κατάσταση της ασφάλειας στον κυβερνοχώρο στον τομέα της υγειονομικής περίθαλψης, με ορισμένους να ζητούν την επιβολή εθνικών προτύπων κυβερνοασφάλειας για τον τομέα.[7]

Δράση & Ανάλυση

*Απαιτείται συνδρομή H-ISAC*

2. Τα κράτη πρωτοστατούν στην πραγματοποίηση αλλαγών τηλευγείας που σχετίζονται με τον COVID-19.

Ενώ το Κογκρέσο και η ομοσπονδιακή κυβέρνηση αξιολογούν τις αλλαγές στους εθνικούς κανόνες και κανονισμούς τηλευγείας, αρκετές πολιτείες έχουν αρχίσει να αναλαμβάνουν την πρωτοβουλία.

Μασαχουσέτη: Στα τέλη Ιουνίου, το Συμβούλιο Εγγραφής στην Ιατρική της Μασαχουσέτης ενέκρινε μια μόνιμη πολιτική για την τηλεϊατρική που δηλώνει: «Η πρακτική της ιατρικής δεν απαιτεί πρόσωπο με πρόσωπο συνάντηση μεταξύ του γιατρού και του ασθενούς πριν από την παροχή υγειονομικής περίθαλψης μέσω τηλεϊατρική». Η πολιτική επιβεβαιώνει επίσης ότι «το πρότυπο περίθαλψης που ισχύει για τον ιατρό είναι το ίδιο είτε ο ασθενής παρακολουθείται αυτοπροσώπως είτε μέσω τηλεϊατρικής. "[8] Αυτό θεωρείται από πολλούς ως ένα σημαντικό βήμα για ένα κράτος που έχει αποφύγει να κάνει λεπτομερείς πολιτικές τηλευγείας εδώ και δεκαετίες.[9]

Κολοράντο: Την περασμένη εβδομάδα, ο κυβερνήτης του Κολοράντο Τζάρεντ Πόλις υπέγραψε το SB20-212 σε νόμο. Το νομοσχέδιο «[αφορά] αποζημίωση για υπηρεσίες υγειονομικής περίθαλψης που παρέχονται μέσω τηλευγείας» και «αποκλείει τα σχέδια υγείας από την επιβολή συγκεκριμένων απαιτήσεων ή περιορισμών στις τεχνολογίες που χρησιμοποιούνται για την παροχή υπηρεσιών τηλευγείας, εφόσον αυτές οι τεχνολογίες συμμορφώνονται με τον νόμο περί φορητότητας και λογοδοσίας ασφάλισης υγείας».[10]^{, [11]} Το νομοσχέδιο πέρασε από τη Βουλή και τη Γερουσία του Κολοράντο με ισχυρή δικομματική υποστήριξη, λαμβάνοντας μόνο μία ψήφο διαφωνίας. Ο Κυβερνήτης Πόλης χαρακτήρισε συγκεκριμένα τον COVID-19 ως την κινητήρια δύναμη για την προώθηση της τηλεϊατρικής.

Αϊντάχο: Στα τέλη Ιουνίου, ο κυβερνήτης του Αϊντάχο Μπραντ Λιτλ υπέγραψε ένα εκτελεστικό διάταγμα που καθιστούσε μόνιμες ορισμένες προσωρινές εξαιρέσεις για την τηλευγεία, συμπεριλαμβανομένης της χαλάρωσης των περιορισμών στις εφαρμογές που μπορούν να χρησιμοποιούν οι πάροχοι υγειονομικής περίθαλψης για την τηλευγεία. Η χαλάρωση αυτών των περιορισμών ήρθε ως μέρος ενός ευρύτερου πακέτου που έκανε μόνιμους πάνω από 150 κανόνες έκτακτης ανάγκης που σχετίζονται με τον COVID-19. Ο Κυβερνήτης Λιτλ υποστήριξε ότι αυτές οι αλλαγές «κάνουν την υγειονομική περίθαλψη πιο προσιτή και οικονομικά προσιτή για τις οικογένειες και τις επιχειρήσεις του Αϊντάχο».[12]

Δράση & Ανάλυση

*Απαιτείται συνδρομή H-ISAC*

3. Η εφαρμογή Smartwatch Health επαναλαμβάνει τους κινδύνους για την ασφάλεια του IoT HealthCare.

Από το τμήμα "Σε περίπτωση που ξεχάσατε" σημειώνουμε ότι ο ενθουσιασμός σχετικά με τη δυνατότητα των smartphones, των smartwatches και των συσκευών IoT να επεκτείνουν τις επιλογές και τις υπηρεσίες υγειονομικής περίθαλψης συνεχίζει να αυξάνεται. Ωστόσο, πρόσφατες αναφορές έχουν επαναλάβει τους κινδύνους που συνδέονται με τις συνδεδεμένες συσκευές υγειονομικής περίθαλψης, όταν η ασφάλεια δεν είναι στο επίκεντρο κατά την ανάπτυξη και όταν συσκευές με δυνατότητα για εφαρμογές υγειονομικής περίθαλψης δεν παράγονται και υποστηρίζονται από φορείς υγειονομικής περίθαλψης.

Την περασμένη εβδομάδα, ερευνητές ασφαλείας εξέτασαν σε βάθος μια εφαρμογή υπηρεσίας παρακολούθησης και το συνοδευτικό έξυπνο ρολόι που φαίνεται να έχει σχεδιαστεί ειδικά για ηλικιωμένους και άτομα με γνωστικές αναπηρίες. Μεταξύ των διαφόρων επιλογών που περιλαμβάνονται στο ρολόι και στη συνοδευτική εφαρμογή είναι μια δυνατότητα παρακολούθησης που βοηθά τους φροντιστές να εντοπίσουν αποπροσανατολισμένους χρήστες και μια υπενθύμιση ότι ήρθε η ώρα να λάβουν φάρμακα. Όπως σημειώνουν οι ερευνητές, «Εάν ένας φροντιστής δεν μπορούσε να επισκεφθεί για λόγους απομόνωσης κατά τη διάρκεια του CV-19, μια απομακρυσμένη ειδοποίηση σε έναν χρήστη που δεν μπορούσε να θυμηθεί μόνος του θα ήταν πολύ χρήσιμη».[13]

Όσον αφορά τη χρησιμότητα και την πρόθεση, αυτές οι εφαρμογές συσκευών είναι όλες καλές και καλές. Όσον αφορά την ασφάλεια, η συσκευή δυστυχώς εγκυμονούσε αναμφισβήτητους κινδύνους. Οι ερευνητές σημείωσαν ότι χρειάστηκαν μόνο «βασικές» δεξιότητες hacking για να επιτραπεί σε οποιονδήποτε να παρακολουθεί κάποιον που χρησιμοποιεί τη συσκευή, ότι ο ήχος θα μπορούσε να παραβιαστεί για να καταστεί δυνατή η υποκλοπή και ότι η ειδοποίηση φαρμάκου θα μπορούσε να ενεργοποιηθεί κατά βούληση.[14] Μία από τις κύριες επικρίσεις που έχουν διατυπώσει οι ερευνητές είναι ότι «[κανείς] δεν εξέτασε τον υποκείμενο κώδικα. Κανείς δεν έχει εξετάσει πόσοι διακομιστές είναι διαθέσιμοι στο κοινό και τι μπορεί να γίνει από την πλευρά του διακομιστή στα παιδιά σας, στους ηλικιωμένους συγγενείς ή ακόμα και στο αυτοκίνητό σας».[15]

Δράση & Ανάλυση

*Απαιτείται συνδρομή H-ISAC*

Συνέδριο -

Τρίτη, Ιούλιος 14:

– Καμία σχετική ακρόαση

Τετάρτη, Ιούλιος 15:

– Βουλή – Επιτροπή Εποπτείας και Μεταρρύθμισης: Ακρόαση για το HR 7331, the National Cyber ​​Director Act

Πέμπτη 16 Ιουλίου:

– Καμία σχετική ακρόαση

International Ακροάσεις/Συναντήσεις -

ΕΕ -

– Καμία σχετική ακρόαση

Συνέδρια, διαδικτυακά σεμινάρια και συνόδους κορυφής -

–Φόρουμ για την υγειονομική περίθαλψη για την ασφάλεια στον κυβερνοχώρο – Mid-Atlantic – Virtual (7/16/2020)

https://endeavor.swoogo.com/summer_virtual_healthcare_innovation_cybersecurity_forum/About

— Μηνιαία ενημέρωση για την απειλή μελών H-ISAC – Webinar (7/28/2020)

https://h-isac.org/hisacevents/h-isac-monthly-member-threat-briefing-10/

–H-ISAC Virtual Security Workshop – Virtual (7/29/2020)

https://h-isac.org/hisacevents/nz-virtual-workshop/

— Μηνιαία ενημέρωση για την απειλή μελών H-ISAC – Webinar (8/25/2020)

https://h-isac.org/hisacevents/h-isac-monthly-member-threat-briefing-11/

–Φόρουμ για την υγειονομική περίθαλψη για την ασφάλεια στον κυβερνοχώρο – Southeast – Nashville, TN (9/9/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426517

–Φόρουμ για την υγειονομική περίθαλψη για την ασφάλεια στον κυβερνοχώρο – Βορειοανατολικά – Βοστώνη, MA (9/22/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/427126

–H-ISAC Cyber ​​Threat Intel Training – Titusville, FL (9/22/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-titusville-fl/

– Εικονικό Εργαστήριο Ασφάλειας H-ISAC – Forchheim, Γερμανία (9/23/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-forchheim-germany/

–Φόρουμ για την υγειονομική περίθαλψη για την κυβερνοασφάλεια – Τέξας – Χιούστον, Τέξας (10/8/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840

–CYSEC 2020 – Ντουμπρόβνικ, Κροατία (10/27/2020 – 10/28/2020)

https://h-isac.org/hisacevents/cysec-2020-croatia/

–Φόρουμ για την υγειονομική περίθαλψη για την κυβερνοασφάλεια – Βορειοδυτικός Ειρηνικός – Σιάτλ, Ουάσιγκτον (10/28/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428886

–H-ISAC Security Workshop – Seattle, WA – (10/29/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-seattle-wa-2/

–Healthcare Cybersecurity Forum – Καλιφόρνια – Λος Άντζελες, Καλιφόρνια (11/12/2020)

Healthcare Cybersecurity Forum – Καλιφόρνια

–H-ISAC Security Workshop – Παρίσι, Γαλλία (11/18/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-paris-france/

Διάφορα -

– Η Μυστική Υπηρεσία συγχωνεύει ειδικές ομάδες ηλεκτρονικού και οικονομικού εγκλήματος για την καταπολέμηση του εγκλήματος στον κυβερνοχώρο

https://www.cyberscoop.com/secret-service-reorganization-task-force-cybercrime-financial-crime/

— Η Microsoft τερματίζει την καμπάνια ηλεκτρονικού ψαρέματος COVID-19 και προειδοποιεί για κακόβουλες εφαρμογές OAuth

https://www.hipaajournal.com/microsoft-shuts-down-covid-19-phishing-campaign-and-warns-of-malicious-oauth-apps/

–Προειδοποίηση οικιακού δρομολογητή: Είναι γεμάτοι με γνωστά ελαττώματα και τρέχουν αρχαίο, μη επιδιορθωμένο Linux

https://www.zdnet.com/article/home-router-warning-theyre-riddled-with-known-flaws-and-run-ancient-unpatched-linux/

Επικοινωνήστε μαζί μας: ακολουθήστε το @HealthISAC και στείλτε email στο contact@h-isac.org

[1] https://www.nextgov.com/cybersecurity/2020/07/fbi-opens-new-china-related-counterintelligence-investigation-every-10-hours-director-says/166706/

[2] https://www.nextgov.com/cybersecurity/2020/07/fbi-opens-new-china-related-counterintelligence-investigation-every-10-hours-director-says/166706/

[3] https://www.hudson.org/events/1836-video-event-china-s-attempt-to-influence-u-s-institutions-a-conversation-with-fbi-director-christopher-wray72020

[4] https://www.nextgov.com/cybersecurity/2020/07/fbi-opens-new-china-related-counterintelligence-investigation-every-10-hours-director-says/166706/

[5] https://www.hudson.org/events/1836-video-event-china-s-attempt-to-influence-u-s-institutions-a-conversation-with-fbi-director-christopher-wray72020

[6] https://subscriber.politicopro.com/article/2020/07/canadas-cyber-czar-hackers-hit-institutions-conducting-coronavirus-research-1964659

[7] https://www.cbc.ca/news/canada/nova-scotia/hospitals-health-care-cybersecurity-federal-government-funding-1.5493422

[8] https://www.mass.gov/news/board-of-registration-in-medicine-approves-policy-on-telemedicine

[9] https://www.natlawreview.com/article/massachusetts-adopts-permanent-telehealth-policy-first-time

[10] http://leg.colorado.gov/bills/sb20-212

[11] https://news.bloomberglaw.com/coronavirus/telehealth-barriers-smoothed-under-new-colorado-law

[12] https://mhealthintelligence.com/news/idaho-governor-makes-covid-19-telehealth-expansion-permanent

[13] https://www.pentestpartners.com/security-blog/hacking-smart-devices-to-convince-dementia-sufferers-to-overdose/

[14] https://www.pentestpartners.com/security-blog/hacking-smart-devices-to-convince-dementia-sufferers-to-overdose/

[15] https://www.pentestpartners.com/security-blog/hacking-smart-devices-to-convince-dementia-sufferers-to-overdose/

• Σχετικοί πόροι και νέα
• Νοσοκομείο στη Μασαχουσέτη απορρίπτει τα ασθενοφόρα μετά από κυβερνοεπίθεση
• Podcast: Phil Englert για την κυβερνοασφάλεια ιατρικών συσκευών
• Η εσωτερική απειλή αναδύεται ξανά
• «Χαμένη ευκαιρία»: Η απουσία της κυβέρνησης των ΗΠΑ από τη Διάσκεψη RSAC αφήνει ένα τεράστιο κενό
• Health-ISAC Hacking Healthcare 3-26-2026
• Health-ISAC Hacking Healthcare 3-19-2026
• Μηνιαίο Ενημερωτικό Δελτίο Health-ISAC – Απρίλιος 2026
• Έκθεση μετά τη δράση: Σειρά ασκήσεων ανθεκτικότητας Health-ISAC 2025
• Γιατί ο ρόλος του Microsoft Intune στην κυβερνοεπίθεση Stryker είναι μια τρομακτική προοπτική
• Ο κυβερνήτης του Τέξας διατάζει την πολιτειακή αναθεώρηση της κινεζικής ιατρικής τεχνολογίας