Salud-ISAC Hackeando la sanidad 5-9-2024

Esta semana, Hacking Healthcare™ se centra en los nuevos avances en torno a los riesgos, la seguridad y la protección de la IA. En particular, analizamos la creación del nuevo Departamento de Seguridad Nacional (DHS)) Junta de Seguridad y Protección de Inteligencia Artificial y luego revisar las nuevas pautas del DHS Directrices de seguridad para propietarios y operadores de infraestructuras críticas.

Como recordatorio, esta es la versión pública del blog Hacking Healthcare. Para obtener más análisis y opiniones en profundidad, conviértase en miembro de H-ISAC y reciba la versión TLP Amber de este blog (disponible en el Portal de miembros).

Bienvenido nuevamente a Hacking Healthcare™.

Ejercicio de pasatiempos de Salud-ISAC Américas 2024

¡El Health-ISAC está intensificando una vez más los preparativos para nuestro ejercicio anual de las Américas! Para los nuevos miembros del Health-ISAC, el ejercicio de las Américas es un evento anual de atención médica y salud pública (HPH) diseñado para involucrar al sector de la atención médica y a los socios estratégicos en los desafíos importantes de seguridad y resiliencia. El objetivo general es informar y brindar oportunidades para la mejora continua organizacional al tiempo que se aumenta la resiliencia del sector de la atención médica.

El siguiente enlace al Informe posterior a la acción del ejercicio de hobby del año pasado proporciona una buena descripción general de los tipos de interacción y valor que puede esperar del evento de este año:

https://h-isac.org/hobby-exercise-2023-after-action-report/

El ejercicio de este año se llevará a cabo el 6 de junio en la oficina de Venable LLP en Washington, DC. Se anima a los miembros a registrar su interés en participar en el siguiente enlace:

https://portal.h-isac.org/s/community-event?id=a1Y7V00000ZmFVwUAN

El Memorándum de Seguridad Nacional 22 revisa el enfoque de EE.UU. sobre infraestructura crítica

El 30 de abril, la administración Biden publicó la Memorando de Seguridad Nacional 22 (NSM-22): sobre la seguridad y la resiliencia de las infraestructuras críticas.^[i]. Este memorando es la última revisión de una serie de memorandos ejecutivos que han buscado definir qué constituye una infraestructura crítica de los EE. UU. y describir cómo el gobierno debe mejorar la seguridad y la resiliencia de esa infraestructura crítica. Como es de esperar, la NSM-22 tendrá impactos directos e indirectos en el sector de la atención médica y la salud pública (HPH).

¿Qué es el NSM-22 y qué reemplaza? 

Desde 2013, el gobierno federal de los Estados Unidos ha recurrido a la Directiva de Política Presidencial 21 (PPD-21) como guía permanente sobre lo que constituye una infraestructura crítica en los Estados Unidos, cómo el gobierno de los Estados Unidos debe procurar proteger esa infraestructura y delinear el papel previsto para el sector privado. Si bien ese memorando ejecutivo no tiene fuerza de ley, nunca fue derogado ni reemplazado hasta la semana pasada.

Esta actualización se puso en marcha con la aprobación de la HR6395, la Ley de Autorización de Defensa Nacional William M. (Mac) Thornberry para el Año Fiscal 2021, que requería que el secretario del DHS, en consulta con los jefes de las Agencias de Gestión de Riesgos Sectoriales (SRMAs), “revise el marco actual para asegurar la infraestructura crítica…” y presente un informe relacionado con posibles revisiones.^[ii] El contenido de ese informe fue aprobado por el presidente Biden y se trabajó en lo que se convertiría en el NSM-22.

Contenido del NSM-22

Con una extensión de aproximadamente 35 páginas, el NSM-22 proporciona lo siguiente para “promover la unidad nacional de esfuerzos [de los Estados Unidos] para fortalecer y mantener una infraestructura crítica segura, funcional y resiliente”:^[iii]

• Ocho principios de política;
• Ocho objetivos;
• Aclaración sobre las funciones y responsabilidades de los departamentos y agencias federales;
• La promoción de la gestión de riesgos y un enfoque de seguridad y resiliencia que abarque todas las amenazas y peligros;
• La imposición de requisitos mínimos de seguridad y resiliencia para sectores de infraestructura crítica;
• La dirección de un plan nacional de gestión de riesgos de infraestructura;
• La reiteración de Entidades de Importancia Sistémica (IES);
• Un fortalecimiento del intercambio de inteligencia e información;
• Una reiteración de la definición de infraestructura crítica, los sectores de infraestructura crítica designados y las SRMA responsables; y
• Un plan de implementación para que las entidades federales ejecuten lo descrito anteriormente.

Acción y análisis
**Incluido con la membresía de Health-ISAC**

Próximas audiencias y reuniones internacionales

• EU
  1. No hay reuniones relevantes en este momento
• US
  1. No hay reuniones relevantes en este momento
• Resto del mundo
  1. No hay reuniones relevantes en este momento

^[i].https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[ii] https://www.congress.gov/bill/116th-congress/house-bill/6395

^[iii]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[iv] Directiva de decisión presidencial/NSC-63

^[V] Directiva de política presidencial 21

^[VI] “Sistemas y activos, ya sean físicos o virtuales, tan vitales para los Estados Unidos que la incapacidad o destrucción de dichos sistemas y activos tendría un impacto debilitante en la seguridad nacional, la seguridad económica nacional, la salud o seguridad pública nacional, o cualquier combinación de esas cuestiones”.

^[Vii]https://www.washingtonpost.com/politics/2023/10/16/biden-administration-goes-back-drawing-board-water-cybersecurity/

^[Viii]https://www.cisa.gov/cross-sector-cybersecurity-performance-goals#:~:text=A%20common%20set%20of%20protections,known%20risks%20and%20adversary%20techniques

^[Ex] https://hphcyber.hhs.gov/performance-goals.html

^[X]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xi]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xii] https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

• Recursos y noticias relacionados
• Salud-ISAC Hackeando la sanidad 5-11-2026
• Manual del CISO, vol. 2: Vulnerabilidad del token 0Auth que provocó la filtración de datos en Salesforce.
• Boletín Mensual – Mayo 2026
• Análisis trimestral de amenazas: primer trimestre de 1
• Lo que revela el ataque a Stryker sobre la seguridad de los dispositivos médicos
• Políticas y salvaguardias para el uso seguro de la IA
• HSCC presenta una guía sobre riesgos de IA de terceros y transparencia en la cadena de suministro.
• Anthropic presenta un mágico dios informático de día cero.
• El sector sanitario en el punto de mira: las ciberamenazas vinculadas a Irán aumentan el riesgo para los hospitales, la tecnología médica y las cadenas de suministro de atención sanitaria.
• Health-ISAC señala deficiencias en la ciberresiliencia y la respuesta ante incidentes…