Μετάβαση στο κύριο περιεχόμενο

H-ISAC Hacking Healthcare 9-9-2020

TLP White: Αυτή την εβδομάδα, το Hacking Healthcare ζητά από τους αναγνώστες να αρχίσουν να σκέφτονται τα κυβερνο-φυσικά περιστατικά και πόσο προετοιμασμένος είναι ο οργανισμός σας να αντιμετωπίσει τις συνέπειες. Στη συνέχεια, αναλύουμε την πρόσφατη ανακοίνωση ότι η Κίνα αποκαλύπτει τη δική της παγκόσμια πρωτοβουλία για την ασφάλεια δεδομένων και τι μπορεί να αναμένεται ως αποτέλεσμα. Τέλος, εξετάζουμε εν συντομία πώς η νέα δεσμευτική επιχειρησιακή οδηγία του Υπουργείου Εσωτερικής Ασφάλειας (DHS), η οποία απαιτεί από τις κυβερνητικές υπηρεσίες να υιοθετήσουν μια Πολιτική αποκάλυψης ευπάθειας, επηρεάζει τον τομέα της υγειονομικής περίθαλψης.

Υπενθυμίζουμε ότι αυτή είναι η δημόσια έκδοση του ιστολογίου Hacking Healthcare. Για πρόσθετη σε βάθος ανάλυση και γνώμη, γίνετε μέλος του H-ISAC και λάβετε την έκδοση TLP Amber αυτού του ιστολογίου (διαθέσιμη στην Πύλη Μελών.)

 

Παρακαλούμε δώστε μας ένα λεπτό από τον χρόνο σας για να απαντήσουμε σε μερικές ερωτήσεις σχετικά με τα θέματα Hacking Healthcare αυτής της εβδομάδας. Θα δημοσιεύσουμε τα αποτελέσματα σε προσεχές τεύχος. Ο σύνδεσμος της έρευνας ακολουθεί τα παρακάτω άρθρα.

 

 

Καλώς ήλθατε πίσω στο Hacking Healthcare.

 

1. Ώρα να αρχίσετε να σκέφτεστε την Κυβερνο-Φυσική Ευθύνη.

Καθώς η διάκριση μεταξύ του κυβερνοχώρου και του φυσικού κόσμου θολώνει όλο και περισσότερο, οι οργανισμοί είναι πιθανό να αντιμετωπίσουν νέες προκλήσεις που σχετίζονται με νέες υποχρεώσεις, κανόνες και κανονισμούς για κυβερνοφυσικά συμβάντα. Σύμφωνα με την Gartner, αυτές οι νομικές και κανονιστικές αλλαγές είναι πιθανό να συμβούν γρήγορα λόγω της σοβαρής φύσης των πιθανών συνεπειών.

Μεταξύ των πιο ανησυχητικών προβλέψεων που κάνει η Gartner είναι ο ισχυρισμός ότι το 75% των CEOs θα μπορούσε να θεωρηθεί προσωπικά υπεύθυνος για κυβερνοφυσικά περιστατικά μέχρι το 2024. Η Gartner προβλέπει ότι θα είναι όλο και πιο δύσκολο για τους CEO να «δηλώνουν άγνοια ή να υποχωρήσουν πίσω από τα ασφαλιστήρια συμβόλαια».[1] Επιπλέον, προβλέπουν ότι θα υπάρξει ταχεία άνοδος στα κυβερνοφυσικά συμβάντα λόγω έλλειψης σχεδιασμού και δαπανών σε αυτόν τον τομέα. Το πιο ανησυχητικό είναι η ανάλυσή τους ότι ο οικονομικός αντίκτυπος των κυβερνο-φυσικών περιστατικών που καταλήγουν σε θανατηφόρα θύματα θα ξεπεράσει τα 50 δισεκατομμύρια δολάρια μέχρι το 2023.[2]

Η Gartner ανέφερε επίσης την ανησυχία ότι πολλοί οργανισμοί δεν γνωρίζουν πλήρως όλα τα κυβερνοφυσικά συστήματα που έχουν ήδη αναπτύξει. Σχολιάζοντας την ανάγκη αντιμετώπισης αυτών των ζητημάτων, η αντιπρόεδρος έρευνας της Gartner, Katell Thielemann, κάλεσε τους ηγέτες της τεχνολογίας να βοηθήσουν τους Διευθύνοντες Συμβούλους να κατανοήσουν την απειλή των κυβερνοφυσικών συμβάντων και την ανάγκη να καθιερώσουν «Διαχείριση Επιχειρησιακής Ανθεκτικότητας (ORM) πέρα ​​από τον κυβερνοκεντρικό ασφάλεια."[3]

Δράση & Ανάλυση
** Απαραίτητη η συνδρομή **

 

2. Η Κίνα αποκαλύπτει την Παγκόσμια Πρωτοβουλία για την Ασφάλεια Δεδομένων της.

Το πρωί της Τρίτης, ανακοινώθηκε ότι η Κίνα σκοπεύει να ξεκινήσει μια παγκόσμια πρωτοβουλία για την ασφάλεια των δεδομένων. Σύμφωνα με τους Global Times, αυτή η πρωτοβουλία διαφημίζεται ως ένα πιθανό παγκόσμιο πρότυπο για την ασφάλεια των δεδομένων και ισχυρίζεται ότι αντιμετωπίζει ορισμένες από τις συχνά αναφερόμενες ανησυχίες που είχαν οι κυβερνήσεις και οι εταιρείες σχετικά με το απόρρητο και την ασφάλεια των δεδομένων στην Κίνα.[4]

Η Global Times αναφέρει ότι η πρωτοβουλία αποτελείται από οκτώ προτάσεις. Η αναφορά υποδηλώνει ότι η πρωτοβουλία περιλαμβάνει ή υποστηρίζει τα ακόλουθα σημεία:[5], [6]

  • Τα κράτη [θα πρέπει] να χειρίζονται την ασφάλεια των δεδομένων με ολοκληρωμένο, αντικειμενικό και τεκμηριωμένο τρόπο
  • [Αντίθεση] σε δραστηριότητες ΤΠΕ που χρησιμοποιούν δεδομένα για τη διεξαγωγή δραστηριοτήτων που υπονομεύουν την εθνική ασφάλεια και τα συμφέροντα άλλων κρατών
  • [Αντιπολίτευση] στη μαζική παρακολούθηση άλλων κρατών
  • Τα κράτη δεν θα πρέπει να ζητούν από εγχώριες εταιρείες να αποθηκεύουν δεδομένα που δημιουργούνται και λαμβάνονται στο εξωτερικό στην επικράτειά τους
  • Τα κράτη θα πρέπει να σέβονται την κυριαρχία, τη δικαιοδοσία και τη διακυβέρνηση των δεδομένων άλλων κρατών και οποιαδήποτε διμερής συμφωνία πρόσβασης σε δεδομένα δεν θα πρέπει να παραβιάζει τη δικαστική κυριαρχία και την ασφάλεια δεδομένων τρίτου κράτους
  • Οι πάροχοι προϊόντων και υπηρεσιών ΤΠΕ δεν θα πρέπει να εγκαθιστούν backdoors στα προϊόντα και τις υπηρεσίες τους για να αποκτήσουν παράνομα δεδομένα χρήστη ή να ελέγχουν ή να χειρίζονται συστήματα και συσκευές χρηστών
  • Οι εταιρείες ΤΠΕ δεν πρέπει να επιδιώκουν παράνομα συμφέροντα εκμεταλλευόμενοι την εξάρτηση των χρηστών από τα προϊόντα τους, ούτε να αναγκάζουν τους χρήστες να αναβαθμίσουν τα συστήματα και τις συσκευές τους

Ο Zhao Lijian, εκπρόσωπος του κινεζικού υπουργείου Εξωτερικών, φέρεται να δήλωσε ότι «η πρωτοβουλία στοχεύει στην προστασία των παγκόσμιων δεδομένων και της ασφάλειας της εφοδιαστικής αλυσίδας, στην προώθηση της ανάπτυξης της ψηφιακής οικονομίας και στην παροχή ενός σχεδίου για τη διαμόρφωση παγκόσμιων κανόνων».[7] Επιπρόσθετα, αξιωματούχοι της κινεζικής κυβέρνησης λέγεται ότι έχουν κάνει αρκετές επιπλήξεις στην εξωτερική πολιτική των Ηνωμένων Πολιτειών σχετικά με αυτά τα θέματα. Δεν είναι επί του παρόντος ασαφές πόση παγκόσμια υποστήριξη υπάρχει για αυτήν την πρωτοβουλία.

Δράση & Ανάλυση
** Απαραίτητη η συνδρομή **

 

3. Ενισχύεται η αποκάλυψη ευπάθειας της κυβέρνησης.

Την περασμένη Τετάρτη, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) υπό το DHS εξέδωσε μια πολυαναμενόμενη δεσμευτική επιχειρησιακή οδηγία (BOD) σχετικά με τις πολιτικές αποκάλυψης ευπάθειας (VDP) για την ομοσπονδιακή κυβέρνηση. Το BOD 20-01 δίνει στους κυβερνητικούς φορείς έξι μήνες για να «δημιουργήσουν VDP που ορκίζονται νομικά εναντίον ερευνητών που ενεργούν καλή τη πίστη, επιτρέπουν στους συμμετέχοντες να υποβάλλουν ανώνυμα αναφορές ευπάθειας και καλύπτουν τουλάχιστον ένα σύστημα ή υπηρεσία προσβάσιμο στο διαδίκτυο».[8]

Υπενθυμίζουμε ότι τα BOD είναι «μια υποχρεωτική οδηγία προς την ομοσπονδιακή, την εκτελεστική εξουσία, τα τμήματα και τις υπηρεσίες για σκοπούς προστασίας των ομοσπονδιακών πληροφοριών και συστημάτων πληροφοριών» που μπορεί να εκδοθούν από το DHS.[9] Το συγκεκριμένο BOD συνοδεύεται από την αναγνώριση του DHS ότι «οι πολιτικές αποκάλυψης ευπάθειας ενισχύουν την ανθεκτικότητα των διαδικτυακών υπηρεσιών της κυβέρνησης» και αποτελούν «ουσιώδες στοιχείο ενός αποτελεσματικού προγράμματος διαχείρισης ευπάθειας των επιχειρήσεων».[10]

Για εταιρείες που δεν έχουν μεγάλη εμπειρία στη δημιουργία μιας πολιτικής αποκάλυψης ευπάθειας, το BOD 20-01 περιγράφει χρήσιμα τις διάφορες απαιτήσεις, παρέχει καθοδήγηση σχετικά με την εφαρμογή και ακόμη και συνδέσμους προς ένα πρότυπο VDP. Ενώ η ίδρυση VDP στην ομοσπονδιακή κυβέρνηση ήταν αργή μέχρι στιγμής, αυτή η υποχρεωτική οδηγία με σαφείς οδηγίες εφαρμογής θα πρέπει να βοηθήσει στην επιτάχυνση της υιοθέτησης του VDP.

Δράση & Ανάλυση
** Απαραίτητη η συνδρομή **

 

 

Έρευνες

Αφιερώστε ένα λεπτό για να απαντήσετε σε μερικές ερωτήσεις σχετικά με το Hacking Healthcare αυτής της εβδομάδας, επισκεπτόμενοι αυτόν τον σύνδεσμο:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

Συνέδριο -

 

Τρίτη, Σεπτέμβριος 9:

– Γερουσία – Επιτροπή Υγείας, Παιδείας, Εργασίας και Συντάξεων: Ακροάσεις για την εξέταση των εμβολίων, με επίκεντρο τη διάσωση ζωών, τη διασφάλιση της εμπιστοσύνης και την προστασία της δημόσιας υγείας.

 

Τετάρτη, Σεπτέμβριος 10:

– Καμία σχετική ακρόαση

 

Πέμπτη, 11 Σεπτεμβρίου:

– Καμία σχετική ακρόαση

 

 

 

International Ακροάσεις/Συναντήσεις -

 

– Καμία σχετική ακρόαση

 

 

ΕΕ -

Τετάρτη, Σεπτέμβριος 10:

– Ευρωπαϊκό Κοινοβούλιο – Επιτροπή Περιβάλλοντος, Δημόσιας Υγείας και Ασφάλειας των Τροφίμων

 

Πέμπτη, 11 Σεπτεμβρίου:

– Ευρωπαϊκό Κοινοβούλιο – Επιτροπή Περιβάλλοντος, Δημόσιας Υγείας και Ασφάλειας των Τροφίμων

 

 

 

 

Διάφορα -

 

Το Ransomware χτυπά δύο κρατικούς οργανισμούς στη Μέση Ανατολή και τη Βόρεια Αφρική

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

Η Γαλλία προειδοποιεί ότι η Emotet επιτίθεται σε εταιρείες και διοίκηση

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-εταιρείες-διοίκηση/

Τα μικροσκόπια που υποστηρίζονται από το AI της Google θα μπορούσαν να αλλάξουν τα διαγνωστικά για τον καρκίνο

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-change-cancer-diagnostics/168220/

 

 

 

Συνέδρια, διαδικτυακά σεμινάρια και συνόδους κορυφής -

 

https://h-isac.org/events/

 

Επικοινωνήστε μαζί μας: ακολουθήστε το @HealthISAC και στείλτε email στο contact@h-isac.org

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • Σχετικοί πόροι και νέα