Saltar al contenido principal

H-ISAC hackeando la atención sanitaria 9-9-2020

TLP White: Esta semana, Hacking Healthcare pide a los lectores que empiecen a pensar en los incidentes ciberfísicos y en el grado de preparación de su organización para afrontar las consecuencias. A continuación, analizamos el reciente anuncio de que China está presentando su propia iniciativa global de seguridad de datos y lo que se podría esperar como resultado. Por último, examinamos brevemente cómo afecta al sector sanitario la nueva Directiva Operativa Vinculante del Departamento de Seguridad Nacional (DHS), que exige que las agencias gubernamentales adopten una Política de Divulgación de Vulnerabilidades.

Como recordatorio, esta es la versión pública del blog Hacking Healthcare. Para obtener más análisis y opiniones en profundidad, conviértase en miembro de H-ISAC y reciba la versión TLP Amber de este blog (disponible en el Portal de miembros).

 

Por favor, dedíquenos un minuto de su tiempo para responder algunas preguntas sobre los temas de esta semana de Hacking Healthcare. Publicaremos los resultados en un próximo número. El enlace de la encuesta se encuentra a continuación de los artículos.

 

 

Bienvenido de nuevo a Hackeando la atención médica.

 

1. Es hora de empezar a pensar en la responsabilidad ciberfísica.

A medida que la distinción entre el mundo cibernético y el físico se vuelve cada vez más difusa, las organizaciones probablemente se enfrentarán a nuevos desafíos relacionados con nuevas responsabilidades, reglas y regulaciones para incidentes ciberfísicos. Según Gartner, es probable que estos cambios legales y regulatorios ocurran rápidamente debido a la naturaleza grave de las posibles consecuencias.

Entre las predicciones más sorprendentes de Gartner se encuentra la afirmación de que el 75% de los directores ejecutivos podrían ser considerados personalmente responsables de incidentes ciberfísicos para 2024. Gartner predice que será cada vez más difícil para los directores ejecutivos "alegarse ignorancia o refugiarse en pólizas de seguro".[ 1 ] Además, predicen que habrá un rápido aumento de los incidentes ciberfísicos debido a la falta de planificación y gasto en esta área. Lo más preocupante es su análisis de que el impacto financiero de los incidentes ciberfísicos que resultan en víctimas fatales superará los 50 mil millones de dólares para 2023.[ 2 ]

Gartner también mencionó la preocupación de que muchas organizaciones no son plenamente conscientes de todos los sistemas ciberfísicos que ya tienen implementados. Al comentar sobre la necesidad de abordar estas cuestiones, la vicepresidenta de investigación de Gartner, Katell Thielemann, pidió a los líderes tecnológicos que ayuden a los directores ejecutivos a comprender la amenaza de los incidentes ciberfísicos y la necesidad de establecer una "Gestión de la resiliencia operativa (ORM) más allá de la ciberseguridad centrada en la información".[ 3 ]

Acción y análisis
**Se requiere membresía**

 

2. China presenta su iniciativa global de seguridad de datos.

El martes por la mañana se anunció que China tiene la intención de lanzar una iniciativa global de seguridad de datos. Según el Global Times, esta iniciativa se promociona como un posible estándar mundial para la seguridad de los datos y pretende abordar algunas de las preocupaciones que los gobiernos y las corporaciones han expresado con frecuencia con respecto a la privacidad y seguridad de los datos en China.[ 4 ]

Según el Global Times, la iniciativa está compuesta por ocho propuestas. Según los informes, la iniciativa incluye o respalda los siguientes puntos:[ 5 ], [ 6 ]

  • Los Estados [deberían] abordar la seguridad de los datos de manera integral, objetiva y basada en evidencias
  • [Oposición] a las actividades de las TIC que utilizan datos para realizar actividades que socavan la seguridad nacional y los intereses de otros Estados
  • [Oposición] a la vigilancia masiva contra otros estados
  • Los Estados no deberían exigir a las empresas nacionales que almacenen en su propio territorio datos generados y obtenidos en el extranjero
  • Los Estados deben respetar la soberanía, la jurisdicción y la gobernanza de los datos de otros Estados, y cualquier acuerdo bilateral de acceso a los datos no debe infringir la soberanía judicial y la seguridad de los datos de un tercer Estado.
  • Los proveedores de productos y servicios de TIC no deben instalar puertas traseras en sus productos y servicios para obtener ilegalmente datos de los usuarios o controlar o manipular los sistemas y dispositivos de los usuarios.
  • Las empresas de TIC no deberían buscar intereses ilegítimos aprovechándose de la dependencia de los usuarios de sus productos, ni obligarlos a actualizar sus sistemas y dispositivos.

Zhao Lijian, portavoz del Ministerio de Asuntos Exteriores de China, habría declarado que “la iniciativa tiene como objetivo salvaguardar la seguridad de los datos globales y de la cadena de suministro, promover el desarrollo de la economía digital y proporcionar un modelo para la formulación de reglas globales”.[ 7 ] Además, se dice que funcionarios del gobierno chino han hecho varias críticas veladas a la política exterior de Estados Unidos sobre estos asuntos. Actualmente no está claro cuánto apoyo global tiene esta iniciativa.

Acción y análisis
**Se requiere membresía**

 

3. La divulgación de vulnerabilidades por parte del gobierno recibe un impulso.

El miércoles pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) del Departamento de Seguridad Nacional (DHS, por sus siglas en inglés) publicó una muy esperada Directiva Operacional Vinculante (BOD, por sus siglas en inglés) sobre políticas de divulgación de vulnerabilidades (VDP, por sus siglas en inglés) para el gobierno federal. La BOD 20-01 otorga a las agencias gubernamentales seis meses para “establecer VDP que renuncien a emprender acciones legales contra investigadores que actúen de buena fe, permitan a los participantes enviar informes de vulnerabilidades de manera anónima y cubran al menos un sistema o servicio accesible a través de Internet”.[ 8 ]

Como recordatorio, las BOD son “una instrucción obligatoria para el poder ejecutivo, los departamentos y las agencias federales con el propósito de salvaguardar la información federal y los sistemas de información” que puede emitir el DHS.[ 9 ] Esta orden del día en particular viene acompañada del reconocimiento por parte del DHS de que “las políticas de divulgación de vulnerabilidades mejoran la resiliencia de los servicios en línea del gobierno” y son “un elemento esencial de un programa eficaz de gestión de vulnerabilidades empresariales”.[ 10 ]

Para las agencias que no tienen mucha experiencia en la elaboración de una política de divulgación de vulnerabilidades, la BOD 20-01 describe de manera útil los diversos requisitos, brinda orientación sobre la implementación e incluso incluye enlaces a una plantilla de VDP. Si bien la implementación de VDP en el gobierno federal ha sido lenta hasta ahora, esta directiva obligatoria con instrucciones de implementación claras debería ayudar a acelerar la adopción de VDP.

Acción y análisis
**Se requiere membresía**

 

 

Peritaje

Tómese un minuto para responder algunas preguntas sobre el programa Hacking Healthcare de esta semana visitando este enlace:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

Congreso

 

Martes, Septiembre 9th:

– Senado – Comisión de Salud, Educación, Trabajo y Pensiones: Audiencias para examinar las vacunas, centrándose en salvar vidas, garantizar la confianza y proteger la salud pública.

 

Miércoles 10 de septiembre:

– No hay audiencias relevantes

 

Jueves, Septiembre: 11th

– No hay audiencias relevantes

 

 

 

Internacional Audiencias/Reuniones

 

– No hay audiencias relevantes

 

 

UE -

Miércoles 10 de septiembre:

– Parlamento Europeo – Comisión de Medio Ambiente, Salud Pública y Seguridad Alimentaria

 

Jueves, Septiembre: 11th

– Parlamento Europeo – Comisión de Medio Ambiente, Salud Pública y Seguridad Alimentaria

 

 

 

 

Artículos varios –

 

Ransomware ataca a dos organizaciones estatales en Oriente Medio y el norte de África

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

Francia advierte de ataques de Emotet a empresas y administraciones

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-administracion de empresas/

Los microscopios impulsados ​​por la inteligencia artificial de Google podrían cambiar el diagnóstico del cáncer

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-cambio-diagnostico-del-cancer/168220/

 

 

 

Conferencias, seminarios web y cumbres

 

https://h-isac.org/events/

 

Contáctenos: siga a @HealthISAC y envíe un correo electrónico a contact@h-isac.org

 

[ 1 ] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[ 2 ] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[ 3 ]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[ 4 ] https://www.globaltimes.cn/content/1200228.shtml

[ 5 ] https://www.globaltimes.cn/content/1200228.shtml

[ 6 ] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[ 7 ] https://www.globaltimes.cn/content/1200228.shtml

[ 8 ] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[ 9 ] https://cyber.dhs.gov/bod/20-01/

[ 10 ] https://cyber.dhs.gov/bod/20-01/

  • Recursos y noticias relacionados