H-ISAC hackeando la atención sanitaria 9-1-2020
TLP White: Esta semana, Hacking Healthcare comienza con un análisis del boletín de ciberseguridad de verano publicado por la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS), que sostiene que la implementación de un inventario de activos de tecnología de la información (TI) puede ayudar al cumplimiento de la HIPAA. A continuación, le informamos sobre los cargos recientes presentados contra el exdirector de seguridad de Uber (CSO) Joe Sullivan por su papel en el encubrimiento de una filtración de datos en 2016 y analizamos lo que el sector de la atención médica podría hacer para desincentivar ese comportamiento. Por último, analizamos un ataque de amenaza interna con final feliz y analizamos lo que las organizaciones pueden hacer para mitigar tales ataques.
Como recordatorio, esta es la versión pública del blog Hacking Healthcare. Para obtener más análisis y opiniones en profundidad, conviértase en miembro de H-ISAC y reciba la versión TLP Amber de este blog (disponible en el Portal de miembros).
Bienvenido de nuevo a Hackeando la atención médica.
1. OCR presenta el inventario de activos de TI como un beneficio para el cumplimiento de la HIPAA.
En agosto 25th, OCR publicó su Boletín informativo sobre ciberseguridad del verano de 2020En el informe, la OCR señaló que un aspecto común en muchas de sus investigaciones es la falta de visibilidad de las organizaciones sobre dónde se almacena la información médica electrónica protegida (ePHI). Esta falta de información crea impedimentos para las organizaciones que buscan evaluar el riesgo a nivel de toda la empresa en lo que respecta al cumplimiento de la regla de seguridad de la HIPAA. En opinión de la OCR, las organizaciones deberían considerar seriamente la creación y el mantenimiento de un "inventario de activos de tecnología de la información (TI) actualizado" para obtener una mejor visibilidad de dónde se almacena la ePHI, lo que mejorará su capacidad para seguir cumpliendo con la HIPAA y evitar sanciones.[ 1 ]
¿Qué es un inventario de activos de TI?
En su boletín, la OCR define el inventario de activos de TI como “una lista completa de los activos de TI de una organización con la información descriptiva correspondiente”, que puede incluir hardware, software y datos.[ 2 ] Si bien un inventario de activos de TI puede abarcar únicamente hardware, software y datos relacionados con la ePHI, la OCR señala que existen beneficios significativos para aquellos que lo abarcan de manera que incluya la totalidad de los activos de una organización. Para aquellos que buscan más detalles, la función de identificación del Marco de ciberseguridad del NIST dedica una categoría completa a la gestión de activos, completa con referencias informativas a estándares internacionales bien conocidos.
¿Cómo implementaría un inventario de activos de TI?
Si bien este proceso se puede realizar de forma manual mediante soluciones internas diseñadas exactamente según las especificaciones de su organización, existen numerosas soluciones de gestión de activos de TI en el mercado que se pueden evaluar para adaptarse a las necesidades específicas de las entidades de atención médica. Como señala la OCR, estas soluciones especializadas a menudo pueden incluir funciones útiles como "procesos automatizados de descubrimiento y actualización para la gestión de activos e inventario".[ 3 ]
Acción y análisis
**Se requiere membresía**
2. El Departamento de Justicia de EE. UU. (DOJ) acusa a una OSC por ocultar violaciones de seguridad.
En 2016, Uber, la conocida empresa de transporte, sufrió una importante vulneración de seguridad que comprometió los datos de millones de sus usuarios. Sin embargo, a pesar de la importancia de la vulneración, Uber se negó a revelar el incidente durante un año. La historia detrás de la larga demora y las consecuencias resultantes deberían servir de advertencia para cualquier organización que decida no cumplir con sus obligaciones de informar sobre las vulneraciones a las autoridades pertinentes.
Uber describió la violación de 2016 afirmando que “dos personas ajenas a la empresa habían accedido de forma inapropiada a datos de usuarios almacenados en un servicio de terceros basado en la nube”, lo que les otorgó acceso a “cierta información personal de 57 millones de usuarios de Uber en todo el mundo, incluidos “los nombres y números de licencia de conducir de alrededor de 600,000 conductores en los Estados Unidos”.[ 4 ] El único problema fue que esta declaración se produjo en noviembre de 2017, un año después de que se produjera la violación.
Según explica el Departamento de Justicia, resulta que el motivo de la demora y la posterior investigación del Buró Federal de Investigaciones (FBI) fue que el entonces CSO de Uber, Joe Sullivan, coordinó un intento de "ocultar a la FTC tanto el hackeo en sí como el hecho de que la filtración de datos había dado lugar a que los hackers obtuvieran millones de registros asociados a los usuarios y conductores de Uber".[ 5 ] Las acciones de Sullivan incluyen lo que el fiscal de Estados Unidos para el Distrito Norte de California, David Anderson, ha descrito como “un pago ilegal a los piratas informáticos para que silenciaran a los piratas informáticos, disfrazado como un pago de recompensa por errores.[ 6 ] Uber se vio obligado a pagar 148 millones de dólares en un acuerdo de 2018, y la semana pasada, Sullivan fue acusado de obstrucción de la justicia y encubrimiento de un delito grave, todo lo cual podría llevar a una pena combinada de 8 años de prisión.[ 7 ]
Acción y análisis
**Se requiere membresía**
3. El intento ruso de comprometer a Tesla fue frustrado por una acción interna.
La semana pasada, un nuevo informe del Departamento de Justicia describió lo que parece ser un audaz intento ruso de comprometer la red informática de Tesla este verano. Afortunadamente, el supuesto plan fue frustrado por las acciones de un informante que alertó diligentemente a las autoridades y puso en marcha un arresto. Si bien en última instancia resultó en un resultado positivo para Tesla, la historia destaca una de las muchas tácticas utilizadas por actores cibernéticos maliciosos y reitera cuán importantes son los empleados para la ciberseguridad de una organización.
El 25 de agosto, el Departamento de Justicia publicó un comunicado de prensa titulado Ciudadano ruso arrestado por conspiración para introducir malware en la red informática de una empresa de Nevada que describió ampliamente el presunto plan criminal.[ 8 ] A mediados de julio, Egor Igorevich Kriuchkov, un ciudadano ruso, intentó “reclutar a un empleado de una empresa para introducir malware” en la red de una empresa.[ 9 ] La empresa en cuestión era Tesla, y el objetivo del malware era extraer datos y retenerlos para pedir un rescate.[ 10 ] Curiosamente, Kriuchkov viajó a Estados Unidos para reclutar al informante y discutir la operación en persona. El recluta elegido, que al parecer es un ciudadano no estadounidense que habla ruso, probablemente fue seleccionado con mucha antelación.[ 11 ]
Afortunadamente, el informante informó diligentemente a la empresa sobre esta actitud maliciosa y el FBI intervino de inmediato. Durante las semanas siguientes, con la orientación del FBI, el informante recopiló información valiosa sobre la operación rusa, incluida su infraestructura, procesos y procedimientos, así como detalles que ayudaron al FBI a identificar a las personas involucradas. Kriuchkov ha sido arrestado y está a la espera de juicio.
Acción y análisis
**Se requiere membresía**
Congreso –
Martes 1 de septiembre:
– No hay audiencias relevantes
Miércoles 2 de septiembre:
– No hay audiencias relevantes
Jueves 3 de septiembre:
– No hay audiencias relevantes
Internacional Audiencias/Reuniones –
– No hay audiencias relevantes
UE -
Miércoles 2 de septiembre:
– Reunión de la Comisión de Medio Ambiente, Salud Pública y Seguridad Alimentaria
Jueves 3 de septiembre:
– Reunión de la Comisión de Medio Ambiente, Salud Pública y Seguridad Alimentaria
Artículos varios –
Encuesta: Casi 3 de cada 4 estadounidenses quieren una mayor supervisión gubernamental sobre la privacidad de los datos
El NIST pide estándares para mejorar las capacidades forenses en la nube
Los motores de búsqueda pueden revelar información sanitaria de los pacientes, advierte la ACR
https://healthitsecurity.com/news/search-engines-may-expose-patient-health-information-acr-warns
Contáctenos: siga a @HealthISAC y envíe un correo electrónico a contact@h-isac.org
Conferencias, seminarios web y cumbres –
— DETENGA LA HEMORRAGIA DE DATOS: MINIMICE EL RIESGO DE TERCEROS EN LA ATENCIÓN MÉDICA POR RISKRECON – Seminario web (9 de septiembre de 1)
–Foro de Ciberseguridad en el Sector Sanitario – Sureste – Seminario web (9/9/2020)
https://endeavor.swoogo.com/Southeast_Virtual_Healthcare_Innovation_Cybersecurity_Forum
— Taller virtual de búsqueda de amenazas H-ISAC patrocinado por RiskIQ – Seminario web (9/9/2020)
https://h-isac.org/hisacevents/h-isac-threat-hunting-workshop-sponsored-by-riskiq-members-only/
–Serie de seminarios web del Consejo Europeo H-ISAC – Seminario web (9/10/2020)
https://h-isac.org/hisacevents/h-isac-european-council-webinar-series-2/
–Cómo mantenerse a la vanguardia del ransomware Maze y WastedLocker de SafeBreach – Seminario web (9/16/2020)
https://h-isac.org/hisacevents/how-to-stay-ahead-of-maze-and-wastelocker-ransomware-by-safebreach/
–Resiliencia en ciberseguridad en el mundo del COVID-19 – Webinar (9/18/2020)
https://h-isac.org/hisacevents/cybersecurity-resilience-in-the-world-of-covid-19/
— Foro de Servicios de Confianza de ENISA – CA Day 2020 – Schloßplatz Berlín, Alemania (9/22/2020)
https://h-isac.org/hisacevents/enisa-trust-services-forum-ca-day-2020/
–Foro sobre ciberseguridad en el sector sanitario – Noreste – Seminario web (9/22/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/427126
–Capacitación sobre inteligencia sobre amenazas cibernéticas de H-ISAC – Titusville, FL (9/22/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-titusville-fl/
–Taller de seguridad H-ISAC – Virtual (9/23/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-forchheim-germany/
–Cumbre sobre seguridad y riesgos de terceros – National Harbor, MD (9/28/2020-9/30/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840
–Informe mensual sobre amenazas para miembros del H-ISAC – Seminario web (9/29/2020)
https://h-isac.org/hisacevents/h-isac-monthly-member-threat-briefing-12/
— La Conferencia MedTech – Virtual (10/5/2020)
https://h-isac.org/hisacevents/the-medtech-conference-toronto/
— Foro sobre ciberseguridad en el sector sanitario – Houston, TX (10/8/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840
— Conferencia sobre seguridad y privacidad de NCHICA AMC – Durham, Carolina del Norte (10/21/2020-10/22/2020)
https://h-isac.org/hisacevents/nchica-amc-security-privacy-conference/
— Cumbre Europea H-ISAC 2020 – Santpoort-Noord, Países Bajos (10/20/2020-10/22/2020)
https://h-isac.org/summits/european-2020-summit/
–CYSEC 2020 – Dubrovnik, Croacia (10/27/2020 – 10/28/2020)
https://h-isac.org/hisacevents/cysec-2020-croatia/
–Foro sobre ciberseguridad en el sector sanitario – Noroeste del Pacífico – Seattle, Washington (10/28/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428886
–TALLER VIRTUAL DE SEGURIDAD DE DISPOSITIVOS MÉDICOS H-ISAC – Webinar (10/29/2020)
https://h-isac.org/hisacevents/h-isac-virtual-medical-device-security-workshop/
–Taller de seguridad H-ISAC – Seattle, WA – (10/29/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-seattle-wa-2/
–Foro sobre ciberseguridad en el sector sanitario – California – Los Ángeles, CA (11/12/2020)
Foro sobre ciberseguridad en el ámbito sanitario – California
–Taller de seguridad H-ISAC – París, Francia (11/18/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-paris-france/
–Cumbre de Otoño de H-ISAC – Phoenix, AZ (11/30/2020-12/4/2020)
https://h-isac.org/summits/fall-summit-2020/
— Taller de seguridad H-ISAC – Praga, República Checa (12/8/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-prague/
— Cumbre APAC 2021 – Singapur (3/23/2021-3/25/2021)
[ 1 ] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html
[ 2 ] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html
[ 3 ] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html
[ 4 ] https://www.uber.com/newsroom/2016-data-incident/
[ 5 ] https://www.justice.gov/usao-ndca/press-release/file/1306781/download
[ 6 ] https://www.zdnet.com/article/former-uber-cso-charged-for-2016-hack-cover-up/
[ 7 ] https://www.zdnet.com/article/former-uber-cso-charged-for-2016-hack-cover-up/
[ 8 ] https://www.justice.gov/opa/pr/russian-national-arrested-conspiracy-introduce-malware-nevada-companys-computer-network
[ 9 ] https://www.justice.gov/opa/pr/russian-national-arrested-conspiracy-introduce-malware-nevada-companys-computer-network
[ 10 ] https://news.clearancejobs.com/2020/08/26/company-insider-works-with-fbi-to-turn-the-tables-on-russias-million-dollar-attempt-to-hijack-the-network/
[ 11 ] https://news.clearancejobs.com/2020/08/26/company-insider-works-with-fbi-to-turn-the-tables-on-russias-million-dollar-attempt-to-hijack-the-network/
- Recursos y noticias relacionados