Salud-ISAC Hackeando la sanidad 8-23-2022

TLP Blanco

Esta semana, Hacking Healthcare comienza examinando un nuevo informe del Departamento de Seguridad Nacional que le encomienda a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) que haga más para mejorar el intercambio de información cibernética con sus socios del sector privado. A continuación, jugamos con seis grados de separación mientras mostramos cómo se relaciona Janet Jackson con la resiliencia cibernética. No, en serio.

Como recordatorio, esta es la versión pública del blog Hacking Healthcare. Para obtener más análisis y opiniones en profundidad, conviértase en miembro de Health-ISAC y recibe la versión TLP Amber de este blog (disponible en el Portal de Miembros).

Bienvenido de nuevo a Hackeando la atención médica.

Versión pdf:

Ver PDF

Versión de texto:

1. El Inspector General del DHS le ordena a la CISA que mejore el intercambio de información

El intercambio de información sigue siendo uno de los aspectos más importantes de la ciberseguridad, pero muchas organizaciones del sector privado han criticado la rapidez, precisión y exhaustividad con que se ha filtrado información importante desde las entidades gubernamentales. Un informe reciente de la Oficina del Inspector General (OIG) del Departamento de Seguridad Nacional (DHS) da crédito a algunas de esas quejas en lo que respecta a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).

Para aquellos que no están familiarizados con la OIG, la oficina surgió al mismo tiempo que el DHS en 2002, y está dirigida por un inspector general confirmado por el Senado que tiene la tarea de "[proporcionar] supervisión independiente y [promover] la excelencia, la integridad y la responsabilidad dentro del DHS".[ 1 ] El informe publicado el martes pasado se titula contundentemente Se necesitan más avances para mejorar el intercambio de información en virtud de la Ley de Ciberseguridad de 2015, y sus 36 páginas contienen “cuatro recomendaciones destinadas a mejorar el intercambio de información”.[ 2 ] Cabe destacar que el informe deja en claro que la CISA coincidió con las conclusiones iniciales del borrador del informe de la OIG sobre este asunto, y la OIG reconoció que se han puesto en práctica tres de las recomendaciones y se han resuelto, mientras que una sigue sin resolverse.

Entonces, ¿cuáles fueron las fallas de intercambio de información identificadas?

El informe de la OIG concluyó que si bien la CISA ha “abordado los requisitos básicos de intercambio de información de la Ley de Ciberseguridad de 2015”, ha logrado “un progreso limitado en la mejora de la calidad general de la información sobre amenazas”.[ 3 ] La OIG concluyó que la falta de calidad “no siempre era adecuada para identificar y mitigar las amenazas cibernéticas” y que “la mayoría de los indicadores de amenazas cibernéticas no contenían suficiente información contextual para ayudar a los tomadores de decisiones a tomar medidas”.[ 4 ] El informe concluyó además que este problema afectaba negativamente a las entidades del sector privado y “podría obstaculizar la capacidad del Gobierno Federal para identificar y mitigar posibles vulnerabilidades y amenazas cibernéticas”.[ 5 ]

La OIG finalmente determinó que había varias causas para estos problemas:[ 6 ]

Funcionalidad limitada de uso compartido automático de indicadores (AIS):

El AIS fue una función creada hace seis años para “permitir el intercambio en tiempo real de información no clasificada sobre amenazas cibernéticas y medidas defensivas”. Sin embargo, la OIG señaló que “el AIS contiene una cantidad limitada de campos y atributos que pueden ser utilizados por los participantes que comparten información sobre amenazas cibernéticas” y que “algunos campos que proporcionarían información más contextual para cada indicador de amenaza cibernética estaban restringidos o no eran necesarios”.

Dotación de personal insuficiente:

La OIG concluyó que “los líderes del DHS no han financiado ni dedicado una cantidad adecuada de empleados a tiempo completo a este esfuerzo”.

Factores externos:

El informe encontró una combinación de factores externos que incluían una falla por parte de algunas entidades federales en adherirse al uso de “marcas de especificaciones de control de acceso para identificar indicadores compartidos de amenazas cibernéticas”, una falta de personal interno y recursos en entidades federales más pequeñas y entidades del sector privado para “compartir indicadores de amenazas cibernéticas”; y una “renuencia” de algunas entidades federales a compartir información fuera de algunas “comunidades”, como las entidades internacionales.

A partir de las cuestiones identificadas, la OIG presentó las siguientes recomendaciones:[ 7 ]

Recomendación 1:

Recomendamos que el Director de CISA desarrolle e implemente un proceso formal para verificar la cantidad de indicadores de amenazas cibernéticas y medidas defensivas compartidas a través de las capacidades de intercambio automatizado de indicadores de CISA a fin de permitir informes y supervisión precisos.

Recomendación 2:

Recomendamos que el Director de CISA desarrolle e implemente un enfoque para alentar a las agencias federales y al sector privado a cumplir con los acuerdos y requisitos de intercambio de información, e informar sobre las acciones tomadas con respecto a los acuerdos y requisitos de intercambio de información para el intercambio automatizado de indicadores.

Recomendación 3:

Recomendamos al Director de CISA que complete las actualizaciones del Sistema de Intercambio Automatizado de Indicadores (AIS) 2.0.

Recomendación 4:

Recomendamos al Director de CISA que priorice la contratación de personal administrativo y operativo para llevar a cabo la planificación estratégica, la coordinación, el análisis y la medición del desempeño necesarios para mitigar los riesgos de ciberseguridad.

Estas recomendaciones estaban presentes en un borrador de informe anterior proporcionado a CISA, que estuvo de acuerdo con las cuatro recomendaciones y en el momento del informe final de la OIG había resuelto dos de las cuatro recomendaciones por completo.

Según el informe final, la OIG está satisfecha de que la CISA haya tomado las medidas necesarias para abordar las recomendaciones dos y tres; sin embargo, quedan preguntas sobre las recomendaciones uno y cuatro. Los informes de la CISA han agregado vagamente recursos adicionales para respaldar la recomendación cuatro y tienen planes de evaluar la asignación de más, pero actualmente no prevén que eso se complete antes del 31 de enero de 2023. La recomendación uno también parece problemática, ya que la OIG informa que las acciones de la CISA "no responden a esta recomendación".[ 8 ]

Acción y análisis*
*Se requiere membresía**

2. Lo que Janet Jackson puede enseñarnos sobre la ciberresiliencia

En lo que es una de las noticias de ciberseguridad más sorprendentes del año, “Janet Jackson Nación del ritmo El vídeo musical de 1989 ha sido declarado oficialmente una vulnerabilidad de seguridad”.[ 9 ] Si bien es un titular que uno esperaría leer el Día de los Inocentes, al problema se le ha asignado un número CVE oficial y es una vulnerabilidad muy real, aunque limitada.[ 10 ]

Para los expertos en tecnología, la CVE describe la vulnerabilidad como “[permitir] que atacantes físicamente próximos provoquen una denegación de servicio (mal funcionamiento del dispositivo y caída del sistema) a través de un ataque de frecuencia resonante”. En términos más simples, para una determinada marca de disco duro OEM de 5400 RPM que “se entregó con computadoras portátiles en aproximadamente 2005”, la canción contiene “una de las frecuencias resonantes naturales” que usa el disco duro y que interfiere con su funcionamiento normal.[ 11 ]^, [ 12 ]

El autor de la publicación del blog de Microsoft que generó gran parte del interés en esta historia informa que el problema fue solucionado por el fabricante “agregando un filtro personalizado en la canalización de audio que detectó y eliminó las frecuencias ofensivas durante la reproducción de audio”.[ 13 ]

Acción y análisis
**Se requiere membresía**

Congreso

Martes 23 de agosto:

– No hay audiencias relevantes

Miércoles, Agosto 24th:

– No hay audiencias relevantes

Jueves 25 de agosto:

– No hay audiencias relevantes

Audiencias/reuniones internacionales

– No hay reuniones relevantes

UE -

– No hay reuniones relevantes

Conferencias, seminarios web y cumbres

https://h-isac.org/events/

Contáctenos: siga a @HealthISAC y envíe un correo electrónico a contact@h-isac.org

Sobre la autora

Hackeando la atención médica El autor es John Banghart, quien se desempeñó como asesor principal en materia de preparación e incidentes de ciberseguridad y dirigió los esfuerzos del Consejo de Seguridad Nacional para abordar incidentes de ciberseguridad importantes, incluidos los de la OPM y la Casa Blanca. John es actualmente el Director Sénior de Servicios de Ciberseguridad en Venable. Su experiencia incluye el desempeño como Director de Ciberseguridad Federal del Consejo de Seguridad Nacional, como Asesor Sénior de Ciberseguridad para los Centros de Servicios de Medicare y Medicaid, y como investigador de ciberseguridad y experto en políticas en el Instituto Nacional de Normas y Tecnología (NIST) y en la Oficina del Subsecretario de Comercio para Normas y Tecnología.

Puedes contactar a John en jbanghart@h-isac.org y jfbanghart@venable.com.

[ 1 ] https://www.oig.dhs.gov/about

[ 2 ] https://www.oig.dhs.gov/sites/default/files/assets/2022-08/OIG-22-59-Aug22.pdf

[ 3 ] https://www.oig.dhs.gov/sites/default/files/assets/2022-08/OIG-22-59-Aug22.pdf

[ 4 ] https://www.oig.dhs.gov/sites/default/files/assets/2022-08/OIG-22-59-Aug22.pdf

[ 5 ] https://www.oig.dhs.gov/sites/default/files/assets/2022-08/OIG-22-59-Aug22.pdf

[ 6 ] https://www.oig.dhs.gov/sites/default/files/assets/2022-08/OIG-22-59-Aug22.pdf

[ 7 ] https://www.oig.dhs.gov/sites/default/files/assets/2022-08/OIG-22-59-Aug22.pdf

[ 8 ] https://www.oig.dhs.gov/sites/default/files/assets/2022-08/OIG-22-59-Aug22.pdf

[ 9 ] https://www.bleepingcomputer.com/news/security/janet-jacksons-music-video-is-now-a-vulnerability-for-crashing-hard-disks/

[ 10 ] https://nvd.nist.gov/vuln/detail/CVE-2022-38392

[ 11 ] https://devblogs.microsoft.com/oldnewthing/20220816-00/?p=106994

[ 12 ] https://arstechnica.com/gadgets/2022/08/janet-jacksons-rhythm-nation-is-officially-a-security-threat-for-some-old-laptops/

[ 13 ] https://devblogs.microsoft.com/oldnewthing/20220816-00/?p=106994

• Recursos y noticias relacionados
• Informe sobre el panorama de amenazas en la atención sanitaria y la asistencia social
• La IA agente en la atención médica es una propuesta arriesgada.
• Live@eXchange Día 2 – Analista de seguridad de dispositivos médicos de Health-ISAC
• Salud-ISAC Hackeando la sanidad 6-3-2026
• Nuevas vulnerabilidades dirigidas al sector sanitario
• Boletín Mensual – Junio ​​2026
• Lo que realmente se necesita para garantizar la atención médica
• El inventario de dispositivos y el mapeo de la información de salud protegida (PHI) serán las tareas más difíciles cuando entre en vigor la nueva ley HIPAA.
• Verizon DBIR: El sector sanitario se defiende del aumento de los ataques de ingeniería social.
• Informe sobre el estado del riesgo cibernético humano