H-ISAC hackeando la atención sanitaria 1-14-2020

Enero 16, 2020 | Hackeando la atención médica

TLP White: En esta edición de Hacking Healthcare, comenzamos recordando que una mayor digitalización en el sector de la salud trae muchos beneficios, pero también requiere una planificación de contingencia. A continuación, describimos brevemente las directrices de la administración Trump sobre la regulación de la inteligencia artificial (“IA”). Por último, analizamos una operación de la Organización Internacional de Policía Criminal (“INTERPOL”) que, según afirman, ha provocado una caída del 78 % en el criptojacking en la región de la Asociación de Naciones del Sudeste Asiático (“ASEAN”).

Como recordatorio, esta es la versión pública del blog Hacking Healthcare. Para obtener más análisis y opiniones en profundidad, conviértase en miembro de H-ISAC y reciba la versión TLP Amber de este blog (disponible en el Portal de miembros).

Bienvenido de nuevo a Hackeando la atención médica.

1. Los incendios forestales australianos ilustran los peligros de la economía digital.

Mientras los incendios forestales continúan arrasando grandes zonas de Australia, uno de los problemas menos destacados ha sido el impacto en los pagos sin contacto. Como informó el Washington Post a principios de este mes, “con las líneas telefónicas fijas fuera de servicio, los bancos cerrados y los cajeros automáticos vacíos, la economía sin efectivo en algunas zonas se paralizó”.[ 1 ] Si bien un desastre de la magnitud del actual incendio forestal en Australia no es algo habitual, el impacto que ha tenido en la economía sin dinero en efectivo no era imprevisible. Este desastre en curso y su impacto en las tecnologías de pago deberían servir como recordatorio al sector sanitario en general de que la planificación de contingencias es una necesidad y no un lujo.

La creciente popularidad de las opciones de pago sin efectivo y la marcha aparentemente inexorable hacia una economía global verdaderamente digital no son tendencias que puedan verse significativamente influenciadas únicamente por el sector de la salud. En vista de esto, es imperativo que las organizaciones de atención médica comprendan las debilidades inherentes a dichos sistemas y dediquen tiempo a desarrollar mitigaciones viables en caso de desastres, actos delictivos u otras emergencias.

Obviamente, este tipo de planificación de contingencia no se limita a los pagos. El sector de la atención sanitaria se está digitalizando y conectando cada vez más para ofrecer comodidad y una mejor atención al paciente. Se debe considerar seriamente cómo las organizaciones de atención sanitaria pueden seguir prestando servicios esenciales a pesar de la repentina inaccesibilidad de los datos sanitarios, las comunicaciones y otras dependencias tecnológicas. A medida que aumenta nuestra dependencia de la tecnología, debemos evaluar e implementar adecuadamente planes de respaldo que puedan mantener los servicios esenciales operativos independientemente de las circunstancias ambientales.

2. La Casa Blanca ofrece orientación sobre la regulación de la IA.

La semana pasada, la Casa Blanca publicó un borrador de memorando que describe las consideraciones políticas de la Administración Trump “que deberían guiar, en la medida permitida por la ley, la supervisión regulatoria y no regulatoria de las aplicaciones de IA desarrolladas e implementadas fuera del gobierno federal”.[ 2 ] La guía tiende a adoptar un enfoque regulatorio más laxo y pide a los reguladores que no “obstaculicen innecesariamente la innovación y el crecimiento de la IA”.[ 3 ] El borrador del memorando describía además 10 “principios para la gestión de aplicaciones de IA”.[ 4 ]

A continuación se ofrece un resumen rápido de los diez principios:

1) Confianza pública en la IA: garantizar que las aplicaciones de IA se evalúen cuidadosamente en función de sus impactos en la privacidad, los derechos individuales, la autonomía y las libertades civiles para mantener la confianza pública.

2) Participación pública: el público debe participar en el proceso de elaboración de normas y las agencias deben ser transparentes en sus acciones.

3) Integridad científica y calidad de la información: garantizar que los datos utilizados cumplan con un alto estándar y, además, que las mejores prácticas de aplicación de IA incluyan transparencia en la articulación de las fortalezas, debilidades, optimizaciones o resultados previstos, mitigación de sesgos y usos apropiados de los resultados de la aplicación de IA.

4) Evaluación y gestión de riesgos: “Los enfoques regulatorios y no regulatorios de la IA deben basarse en una aplicación consistente de la evaluación y la gestión de riesgos en varias agencias y varias tecnologías”.[ 5 ]

5) Beneficios y costos: al formular enfoques regulatorios y no regulatorios para la IA, las agencias deben considerar “todos los costos sociales, los beneficios y los efectos distributivos antes de considerar regulaciones relacionadas con el desarrollo y la implementación de aplicaciones de IA”.[ 6 ]

6) Flexibilidad – Los enfoques regulatorios y no regulatorios deben ser flexibles y capaces de responder a los rápidos cambios y evolución de la tecnología.

7) Equidad y no discriminación: las agencias deben considerar el impacto de las aplicaciones de IA en la equidad y la no discriminación.

8) Divulgación y transparencia: “Los organismos deben considerar cuidadosamente la suficiencia de los entornos jurídicos, normativos y regulatorios existentes o en evolución antes de contemplar medidas adicionales de divulgación y transparencia”.

9) Seguridad y protección: “Las agencias deben promover el desarrollo de sistemas de IA que sean seguros y funcionen según lo previsto, y alentar la consideración de cuestiones de seguridad y protección durante todo el proceso de diseño, desarrollo, implementación y operación de la IA”. Esto incluye prestar especial atención a garantizar la confidencialidad, la integridad y la disponibilidad. Además, debe promover la consideración de la resiliencia y la ciberseguridad de un sistema.

10). Coordinación interinstitucional – El gobierno, en su conjunto, debe tener un enfoque coherente que promueva la coordinación entre agencias.

El borrador del memorando ilustra además que las agencias deberían buscar enfoques no regulatorios, como la creación de guías o marcos de políticas sectoriales, programas piloto y experimentos, y estándares de consenso voluntario. El enfoque de la Administración Trump probablemente incentivará aún más a las organizaciones a impulsar proyectos integrados/habilitados con IA en todos los sectores, incluida la atención médica.

3. La acción de INTERPOL reduce el criptojacking en la ASEAN.

Según se informa, una operación coordinada de INTERPOL en la que participaron 10 estados de la ASEAN ha asestado un golpe significativo a los actores maliciosos que se dedican al cryptojacking. La operación, denominada “Goldfish Alpha”, comenzó en junio del año pasado e identificó más de 20,000 enrutadores pirateados en la región de la ASEAN.[ 7 ] Al trabajar con la policía nacional, los CERT (“Equipos de Respuesta a Emergencias Informáticas”) y organizaciones del sector privado, INTERPOL pudo ayudar a coordinar notificaciones y parches a gran escala que, según se informa, llevaron a una caída del 78% en el cryptojacking en la región de la ASEAN.[ 8 ]

El cryptojacking es la infección del dispositivo de una víctima por parte de un actor malicioso que desea utilizar su capacidad informática para extraer criptomonedas. Esta categoría particular de malware puede pasar desapercibida fácilmente, ya que suele ejecutarse silenciosamente en segundo plano sin afectar necesariamente el rendimiento de un dispositivo de una manera significativamente perceptible.[ 9 ] El cryptojacking sigue siendo una amenaza importante y rentable que no requiere grandes habilidades técnicas para operar.

Congreso –

Martes, enero 14th:

– No hay audiencias relevantes

Miércoles, enero 15:

– Audiencia: “Tecnología de reconocimiento facial (Parte III): Cómo garantizar la transparencia y la precisión comerciales” – Comité de Supervisión y Reforma de la Cámara de Representantes

Jueves, enero 16:

– No hay audiencias relevantes

Conferencia Audiencias/Reuniones –

UE -

-No hay audiencias relevantes

Conferencias, seminarios web y cumbres –

–Un signo de los tiempos: el fraude en las comunicaciones automatizadas y qué puedes hacer para detenerlo por Valimail

Una señal de los tiempos: el fraude en las comunicaciones automatizadas y qué puedes hacer para detenerlo por Valimail

–Taller de seguridad H-ISAC – Londres, Reino Unido (2/5/2020)

–Foro sobre ciberseguridad en el sector sanitario – Sur de California – San Diego, CA (2/5/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/Southern_California

–Cumbre mundial sobre ciberseguridad en el sector sanitario y farmacéutico – Londres, Reino Unido (2/6/2020)

–Taller de seguridad para analistas de H-ISAC – Titusville, FL (3/4/2020)

–Taller de seguridad H-ISAC – Chennai, India (3/27/2020)

–Cumbre APAC 2020 – Singapur (3/31/2020-4/2/2020)

–Taller de seguridad H-ISAC – Cambridge, MA (4/7/2020)

–Taller de seguridad de H-ISAC – Atlanta, GA (4/14/2020)

–Foro sobre ciberseguridad en el sector sanitario – Atlántico medio – Filadelfia, Pensilvania (4/20/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426497

–Taller de seguridad de H-ISAC – Frederick, MD (6/9/2020)

–Foro sobre ciberseguridad en el sector sanitario – Rocky Mountain – Denver, Colorado (7/20/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426499

–Foro sobre ciberseguridad en el sector sanitario – Sudeste – Nashville, TN (9/9/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426517

–Foro sobre ciberseguridad en el sector sanitario – Noreste – Boston, MA (9/22/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/427126

–Foro sobre ciberseguridad en el sector sanitario – Texas – Houston, TX (10/8/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840

–Foro sobre ciberseguridad en el sector sanitario – Noroeste del Pacífico – Seattle, Washington (10/28/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428886

–Foro sobre ciberseguridad en el sector sanitario – California – Los Ángeles, CA (11/12/2020)

Artículos varios –

–Los desarrolladores de TrickBot han creado una nueva puerta trasera para objetivos de alto valor

Los desarrolladores de TrickBot han creado una nueva puerta trasera para objetivos de alto valor

–Los legisladores presionan a la FCC para que tome medidas sobre el intercambio de tarjetas SIM

https://krebsonsecurity.com/2020/01/senators-prod-fcc-to-act-on-sim-swapping/

–SNAKE Ransomware es la próxima amenaza dirigida a las redes empresariales

https://www.bleepingcomputer.com/news/security/snake-ransomware-is-the-next-threat-targeting-business-networks/

–El DHS pide a las organizaciones estadounidenses que tomen medidas drásticas contra la ciberseguridad tras el asesinato de Soleimani

El DHS pide a las organizaciones estadounidenses que tomen medidas drásticas contra la ciberseguridad tras el asesinato de Soleimani

Contáctenos: siga a @HealthISAC y envíe un correo electrónico a contact@h-isac.org

[ 1 ] https://www.washingtonpost.com/world/asia_pacific/thousands-flee-australias-coastal-towns-as-raging-wildfires-close-in/2020/01/02/c33d2250-2d0a-11ea-bffe-020c88b3f120_story.html

[ 2 ] https://www.whitehouse.gov/wp-content/uploads/Draft-OMB-Memo-on-Regulation-of-AI-1-7-19.pdf

[ 3 ] https://www.whitehouse.gov/wp-content/uploads/Draft-OMB-Memo-on-Regulation-of-AI-1-7-19.pdf

[ 4 ] https://www.whitehouse.gov/wp-content/uploads/Draft-OMB-Memo-on-Regulation-of-AI-1-7-19.pdf

[ 5 ] https://www.whitehouse.gov/wp-content/uploads/Draft-OMB-Memo-on-Regulation-of-AI-1-7-19.pdf

[ 6 ] https://www.whitehouse.gov/wp-content/uploads/Draft-OMB-Memo-on-Regulation-of-AI-1-7-19.pdf

[ 7 ] https://www.bleepingcomputer.com/news/security/cryptojacking-drops-by-78-percent-in-southeast-asia-after-interpol-action/

[ 8 ] https://www.interpol.int/en/News-and-Events/News/2020/INTERPOL-led-action-takes-aim-at-cryptojacking-in-Southeast-Asia

[ 9 ] https://www.csoonline.com/article/3253572/what-is-cryptojacking-how-to-prevent-detect-and-recover-from-it.html

H-ISAC hackeando la atención sanitaria 1-21-2020

Boletín Mensual – Enero 2020