TLP White: Esta semana, Hacking Healthcare analiza el anuncio de la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (“CISA”) de una nueva estrategia para proteger los sistemas de control industrial (“ICS”) en sectores de infraestructura crítica de los ciberataques. A continuación, analizamos investigaciones recientes sobre amenazas que ilustran la rapidez con la que actores maliciosos pueden encontrar y explotar bases de datos mal configuradas en entornos de nube, pero por qué eso no debería disuadir a las organizaciones de atención médica de implementarlas. Por último, analizamos un proyecto respaldado por la Fundación Nacional de Ciencias de los Estados Unidos (“NSF”) para proteger los datos de los pacientes relacionados con la investigación de COVID-19 y exploramos sus implicaciones.
Como recordatorio, esta es la versión pública del blog Hacking Healthcare. Para obtener más análisis y opiniones en profundidad, conviértase en miembro de H-ISAC y reciba la versión TLP Amber de este blog (disponible en el Portal de miembros).
Bienvenido de nuevo a Hackeando la atención médica.
1. CISA se compromete con una nueva estrategia de seguridad para ICS.
La semana pasada, el director de CISA, Chris Krebs, anunció una nueva estrategia para proteger los ICS en sectores de infraestructura crítica de los ciberataques.[ 1 ] La nueva estrategia pone énfasis en el uso de análisis de datos, la capacitación mejorada y la implementación de nuevas soluciones tecnológicas.[ 2 ] Krebs profundizó diciendo: “Vamos a desarrollar capacidades de datos profundos para analizar y entregar información que la comunidad pueda usar para interrumpir la cadena de muerte de ICS”.[ 3 ] El anuncio se produjo durante una reunión virtual del Grupo de Trabajo Conjunto del ICS (“ICSJWG”), que es un esfuerzo colaborativo público-privado de intercambio de información centrado en proteger y reducir los riesgos para el ICS.[ 4 ]
Este no es el único avance reciente en materia de ciberseguridad de los sistemas de control industrial (ICS) que ha realizado la CISA. Hace poco menos de un mes, la CISA, el Departamento de Energía (“DOE”) y el Centro Nacional de Seguridad Cibernética (“NCSC”) del Reino Unido publicaron un documento conjunto titulado Prácticas recomendadas de ciberseguridad para sistemas de control industrial.[ 5 ] La infografía de dos páginas describe de manera clara y concisa diversas consideraciones, riesgos, impactos y pasos proactivos en materia de ciberseguridad que deben seguir los propietarios y operadores de ICS para mejorar su preparación en materia de ciberseguridad.
Para quienes no estén tan familiarizados con los ICS, se trata de un término amplio que abarca una variedad de sistemas de control que se encuentran normalmente en sectores industriales e infraestructuras críticas. Como señala el Instituto Nacional de Normas y Tecnología de Estados Unidos (“NIST”), “Estos sistemas de control son vitales para el funcionamiento de las infraestructuras críticas de Estados Unidos, que suelen ser sistemas altamente interconectados y mutuamente dependientes”.[ 6 ] Dentro del sector de la salud, los ICS se pueden encontrar en diversos procesos de fabricación, químicos y farmacéuticos.
Análisis y acción
*Se requiere membresía de H-ISAC*
2. ¿Con qué rapidez se comprometen las bases de datos mal configuradas?
No es raro ver noticias sobre investigadores de seguridad que se topan con bases de datos no seguras llenas de información personal o comercial confidencial. A menudo, los investigadores pueden tardar días o semanas en ponerse en contacto con los propietarios de esas bases de datos no seguras para protegerlas. Si bien la mayoría de las veces estas bases de datos no seguras son producto de configuraciones incorrectas accidentales, ¿con qué rapidez podrían verse comprometidas por actores maliciosos si se las deja sin protección? Según una investigación de Comparitech, muy rápidamente.
Del 11 al 22 de mayo, Comparitech construyó una base de datos ficticia en un servidor en la nube y la dejó sin protección. Comparitech estaba interesado en averiguar exactamente cuánto tiempo se necesitaría para solucionar un error de configuración antes de que se pudiera acceder, robar o modificar información confidencial.[ 7 ] A pesar de la inmensidad de Internet y la posibilidad de que una base de datos relativamente anodina sea ignorada, Comparitech informa que la primera solicitud no autorizada llegó solo 8 horas y 35 minutos después de que se implementara la base de datos falsa.[ 8 ]
Durante los siguientes 11 días, Comparitech registró 175 solicitudes no autorizadas de direcciones IP de numerosos países, incluidos Estados Unidos, Rumania, China y los Países Bajos.[ 9 ] Cabe destacar que la base de datos no fue indexada inicialmente en motores de búsqueda populares como Shodan hasta el siglo XVI.th de mayo. Al ser indexada, la base de datos recibió la primera de su registro diario de 22 solicitudes no autorizadas en el plazo de un minuto desde su inclusión en la lista.[ 10 ] Además, una semana después de concluida la investigación, la base de datos fue atacada, su contenido fue eliminado y se dejó un mensaje de rescate.
Acción y análisis
*Se requiere membresía de H-ISAC*
3. La NSF financia una herramienta para ayudar a proteger los datos de pacientes utilizados para la investigación.
En circunstancias normales, la actitud vigilante del sector sanitario para proteger los datos de los pacientes puede irritar a quienes sienten que unas protecciones de privacidad y seguridad innecesariamente estrictas obstaculizan su capacidad para realizar investigaciones médicas. En una época en la que todo el mundo está ansioso por destacar los poderes transformadores de los macrodatos, los recursos de computación en la nube y la interoperabilidad, existe tensión entre las distintas partes interesadas que participan en el proceso de investigación sobre cómo garantizar que los datos de los pacientes se traten con la privacidad y la seguridad que requieren. Esta tensión se ha acentuado durante una pandemia mundial en la que hacer que los datos estén más disponibles para la investigación o para compartirlos podría generar avances significativos en nuestra comprensión de la COVID-19.
En un intento por abordar parte de este problema, la NSF ha otorgado $200,000 en fondos de subvención a científicos informáticos de la Universidad de Texas en Dallas y del Centro Médico de la Universidad de Vanderbilt.[ 11 ] El objetivo es crear “una herramienta de software de código abierto para ayudar a los responsables de las políticas y a los proveedores de atención médica a tomar [decisiones sobre cuánta información los proveedores de atención médica pueden revelar a los investigadores sin violar la privacidad del paciente]”.[ 12 ] El equipo combinado de la Universidad de Texas y Vanderbilt se está “[centrando] en los riesgos de que un individuo sea identificado cuando se divulgan datos de pacientes con fines de investigación”, y se esfuerza por ser más exhaustivos en las características que se evalúan que aquellas que se examinan con las herramientas existentes.[ 13 ]
Acción y análisis
*Se requiere membresía de H-ISAC*
Congreso –
Martes, Junio 16th:
– No hay audiencias relevantes
Miércoles, junio 17:
– Senado – Comisión de Salud, Educación, Trabajo y Pensiones: Audiencias para examinar la telesalud, centrándose en las lecciones aprendidas de la pandemia de COVID-19.
Jueves, junio 18th:
– Senado – Comité de Relaciones Exteriores: Audiencias para examinar la preparación, prevención y respuesta ante el COVID-19 y las pandemias internacionales.
– Cámara de Representantes – Comité Selecto Permanente sobre Inteligencia: Audiencia sobre tendencias emergentes en operaciones de influencia extranjera en línea: redes sociales, COVID-19 y seguridad electoral
Internacional Audiencias/Reuniones –
– No hay audiencias relevantes
UE -
Conferencias, seminarios web y cumbres –
— Pruebas y medidas correctivas de posturas prácticas para un personal remoto por parte de Safebreach – Seminario web (6/16/2020)
https://h-isac.org/hisacevents/safebreach-navi-webinar/
–Cómo los ataques de autenticación amenazan su entorno de atención médica por Qomplx – Seminario web (6 de julio de 17)
https://h-isac.org/hisacevents/authentication-attacks-qomplx/
–Mesa redonda de CISO: tiempos sin precedentes, por Forescout – Seminario web (6/18/2020)
https://h-isac.org/hisacevents/ciso-roundtable-unprecedented-times-forescout/
–Riesgo interno: equilibrio entre tecnología, comportamiento y datos, por Booz Allen Hamilton – seminario web (6/23/2020)
— Cómo protegerse de las amenazas de IoT en el sector sanitario, por Palo Alto Networks – Seminario web (6/24/2020)
https://h-isac.org/hisacevents/palo-alto-networks-navigator-webinar/
— Serie digital de cumbres GRF: El ejercicio definitivo de preparación para la respuesta a incidentes: ¿está preparado para trabajar de forma remota? – Seminario web (6/25/2020)
Informe mensual sobre amenazas para miembros de H-ISAC: seminario web (6/30/2020)
https://h-isac.org/hisacevents/h-isac-monthly-member-threat-briefing-9/
–Foro sobre ciberseguridad en el sector sanitario – Atlántico medio – Filadelfia, Pensilvania (7/17/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426497
–Foro sobre ciberseguridad en el sector sanitario – Rocky Mountain – Denver, Colorado (7/20/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426499
–Taller virtual de seguridad H-ISAC – Virtual (7/29/2020)
https://h-isac.org/hisacevents/nz-virtual-workshop/
–Foro sobre ciberseguridad en el sector sanitario – Sudeste – Nashville, TN (9/9/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426517
–Foro sobre ciberseguridad en el sector sanitario – Noreste – Boston, MA (9/22/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/427126
–Capacitación sobre inteligencia sobre amenazas cibernéticas de H-ISAC – Titusville, FL (9/22/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-titusville-fl/
–Taller de seguridad H-ISAC – Forchheim, Alemania
https://h-isac.org/hisacevents/h-isac-security-workshop-forchheim-germany/
–Cumbre sobre seguridad y riesgos de terceros – National Harbor, MD (9/28/2020-9/30/2020)
Serie digital de la Cumbre GRF sobre seguridad y riesgo de terceros
–Foro sobre ciberseguridad en el sector sanitario – Texas – Houston, TX (10/8/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840
–CYSEC 2020 – Dubrovnik, Croacia (10/27/2020 – 10/28/2020)
https://h-isac.org/hisacevents/cysec-2020-croatia/
–Taller de seguridad de H-ISAC – Mounds View, MN (10/27/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-buffalo-ny/
–Foro sobre ciberseguridad en el sector sanitario – Noroeste del Pacífico – Seattle, Washington (10/28/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428886
–Taller de seguridad H-ISAC – Seattle, WA – (10/29/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-seattle-wa-2/
–Foro sobre ciberseguridad en el sector sanitario – California – Los Ángeles, CA (11/12/2020)
–Taller de seguridad H-ISAC – París, Francia (11/18/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-paris-france/
Artículos varios –
–El saqueo de claves criptográficas del ultraseguro SGX vuelve a poner a Intel en apuros
–Los piratas informáticos vulneraron los datos de A1 Telekom, el mayor proveedor de servicios de Internet de Austria
https://www.zdnet.com/article/hackers-breached-a1-telekom-austrias-largest-isp/
–Una 'interrupción' en la red informática obliga a Honda a cancelar parte de la producción
https://www.cyberscoop.com/honda-ransomware-snake-ekans/
Contáctenos: siga a @HealthISAC y envíe un correo electrónico a contact@h-isac.org
[ 1 ] https://www.cyberscoop.com/dhs-cisa-industrial-control-system-security-strategy/
[ 2 ] https://www.cyberscoop.com/dhs-cisa-industrial-control-system-security-strategy/
[ 3 ] https://www.cyberscoop.com/dhs-cisa-industrial-control-system-security-strategy/
[ 4 ] https://www.us-cert.gov/ics/Industrial-Control-Systems-Joint-Working-Group-ICSJWG
[ 5 ]https://www.cisa.gov/sites/default/files/publications/Cybersecurity_Best_Practices_for_Industrial_Control_Systems.pdf
[ 6 ] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf
[ 7 ] https://www.comparitech.com/blog/information-security/unsecured-database-honeypot/
[ 8 ] https://www.comparitech.com/blog/information-security/unsecured-database-honeypot/
[ 9 ] https://www.comparitech.com/blog/information-security/unsecured-database-honeypot/
[ 10 ] https://www.comparitech.com/blog/information-security/unsecured-database-honeypot/
[ 11 ] https://www.healthcareitnews.com/news/nsf-funds-software-safeguard-patient-data-during-covid-19-research
[ 12 ] https://www.utdallas.edu/news/science-technology/patient-privacy-covid-19-2020/
[ 13 ] https://www.utdallas.edu/news/science-technology/patient-privacy-covid-19-2020/
- Recursos y noticias relacionados