H-ISAC Hacking Healthcare 9
TLP White: Sel nädalal palub Hacking Healthcare lugejatel hakata mõtlema küberfüüsilistele vahejuhtumitele ja sellele, kui valmis on teie organisatsioon tagajärgedega toimetulemiseks. Järgmisena võtame lahti hiljutise teate, et Hiina avalikustab oma ülemaailmse andmeturbealgatuse ja selle, mida võib oodata. Lõpuks uurime lühidalt, kuidas sisejulgeolekuministeeriumi (DHS) uus siduv tegevusdirektiiv, mis nõuab valitsusasutustelt haavatavuse avalikustamise poliitika vastuvõtmist, mõjutab tervishoiusektorit.
Tuletame meelde, et see on Hacking Healthcare'i ajaveebi avalik versioon. Täiendava põhjaliku analüüsi ja arvamuse saamiseks astuge H-ISACi liikmeks ja hankige selle ajaveebi TLP Amber versioon (saadaval liikmete portaalis).
Palun andke meile minut aega, et vastata mõnele küsimusele selle nädala häkkimise tervishoiu teemade kohta. Tulemused avaldame tulevases numbris. Küsitluse link järgneb allolevatele artiklitele.
Tere tulemast tagasi Tervishoiu häkkimine.
1. Aeg hakata mõtlema küberfüüsilisele vastutusele.
Kuna vahe küber- ja füüsilise maailma vahel hägustub, seisavad organisatsioonid tõenäoliselt silmitsi uute väljakutsetega, mis on seotud uute kohustuste, reeglite ja eeskirjadega küberfüüsiliste intsidentide suhtes. Gartneri sõnul toimuvad need õiguslikud ja regulatiivsed muudatused tõenäoliselt kiiresti võimalike tagajärgede tõsiduse tõttu.
Gartneri kulmu kergitavate ennustuste hulgas on väide, et 75. aastaks võib 2024% tegevjuhtidest võtta isiklikult vastutavaks küberfüüsiliste vahejuhtumite eest. Gartner ennustab, et tegevjuhtidel on üha raskem "teadmatusest tugineda või kindlustuspoliiside taha taganeda".[1] Lisaks ennustavad nad, et selle valdkonna planeerimise ja kulutuste puudumise tõttu suureneb küberfüüsiliste vahejuhtumite arv kiiresti. Kõige murettekitavam on nende analüüs, et surmaga lõppenud küberfüüsiliste vahejuhtumite finantsmõju ületab 50. aastaks 2023 miljardit dollarit.[2]
Gartner viitas ka murele, et paljud organisatsioonid ei ole täielikult teadlikud kõigist küberfüüsikalistest süsteemidest, mida nad on juba kasutusele võtnud. Kommenteerides vajadust nende probleemidega tegeleda, kutsus Gartneri teadusuuringute asepresident Katell Thielemann tehnoloogiajuhte üles aitama tegevjuhtidel mõista küberfüüsiliste vahejuhtumite ohtu ja vajadust luua „Operational Resilience Management (ORM) lisaks teabekesksele küberkeskkonnale. turvalisus."[3]
Tegevus ja analüüs
** Vajalik liikmelisus**
2. Hiina avalikustab oma ülemaailmse andmeturbe algatuse.
Teisipäeva hommikul teatati, et Hiina kavatseb käivitada ülemaailmse andmeturbealgatuse. Ajalehe Global Times andmetel peetakse seda algatust potentsiaalseks ülemaailmseks andmeturbe standardiks ja väidetakse, et see käsitleb mõningaid valitsuste ja ettevõtete sageli viidatud muresid seoses andmete privaatsuse ja turvalisusega Hiinas.[4]
Global Times teatab, et algatus koosneb kaheksast ettepanekust. Aruandlus viitab sellele, et algatus sisaldab või toetab järgmisi punkte:[5], [6]
- Riigid [peaksid] käsitlema andmeturvet kõikehõlmavalt, objektiivselt ja tõenditepõhiselt
- [Opositsioon] IKT-tegevusele, mis kasutab andmeid tegevuste läbiviimiseks, mis kahjustavad teiste riikide riiklikku julgeolekut ja huve
- [Opositsioon] massilisele jälgimisele teiste riikide vastu
- Riigid ei tohiks nõuda, et kodumaised ettevõtted säilitaksid välismaal loodud ja saadud andmeid oma territooriumil
- Riigid peaksid austama teiste riikide suveräänsust, jurisdiktsiooni ja andmete haldamist ning ükski kahepoolne andmetele juurdepääsu leping ei tohiks rikkuda kolmanda riigi õiguslikku suveräänsust ja andmeturvet.
- IKT-toodete ja -teenuste pakkujad ei tohiks paigaldada oma toodetesse ja teenustesse tagauksi, et ebaseaduslikult hankida kasutajaandmeid või kontrollida või manipuleerida kasutajate süsteeme ja seadmeid.
- IKT-ettevõtted ei tohiks taotleda ebaseaduslikke huve, kasutades ära kasutajate sõltuvust oma toodetest, ega sundida kasutajaid oma süsteeme ja seadmeid uuendama.
Hiina välisministeeriumi pressiesindaja Zhao Lijian on väidetavalt väitnud, et "algatuse eesmärk on kaitsta ülemaailmseid andmeid ja tarneahela turvalisust, edendada digitaalmajanduse arengut ja anda kava globaalsete reeglite sõnastamiseks."[7] Lisaks on väidetavalt Hiina valitsusametnikud nendes küsimustes USA välispoliitikale mitu õrnalt varjatud etteheiteid. Praegu on ebaselge, kui suur ülemaailmne toetus sellele algatusele on.
Tegevus ja analüüs
** Vajalik liikmelisus**
3. Valitsuse haavatavuse avalikustamine saab tõuke.
Eelmisel kolmapäeval avaldas DHS-i alluvuses asuv küberturvalisuse ja infrastruktuuri turbeamet (CISA) föderaalvalitsuse jaoks kauaoodatud siduva tegevusdirektiivi (BOD) haavatavuse avalikustamise poliitika (VDP) kohta. BOD 20-01 annab valitsusasutustele kuus kuud aega, et luua VDP-d, mis lubavad õiguslikke meetmeid võtta teadlaste vastu, kes tegutsevad heauskselt, võimaldavad osalejatel esitada anonüümselt haavatavuse aruandeid ja hõlmavad vähemalt ühte Interneti-juurdepääsuga süsteemi või teenust.[8]
Tuletame meelde, et BOD-id on "kohustuslik juhend föderaal-, täitevvõimule, osakondadele ja asutustele föderaalse teabe ja infosüsteemide kaitsmise eesmärgil", mille võib välja anda DHS.[9] Selle konkreetse BOD-iga kaasneb DHS tõdemus, et "haavatavuse avalikustamise poliitika suurendab valitsuse võrguteenuste vastupidavust" ja on "tõhusa ettevõtte haavatavuse haldamise programmi oluline element".[10]
Agentuuride jaoks, kellel pole haavatavuse avalikustamise poliitika koostamisel palju kogemusi, kirjeldab BOD 20-01 kasulikult erinevaid nõudeid, annab juhiseid rakendamiseks ja isegi linke VDP mallile. Kuigi VDP loomine föderaalvalitsuses on seni olnud aeglane, peaks see kohustuslik direktiiv koos selgete rakendusjuhistega aitama VDP vastuvõtmist kiirendada.
Tegevus ja analüüs
** Vajalik liikmelisus**
Uuring
Palun leidke üks minut, et vastata mõnele küsimusele selle nädala häkkimise tervishoiu kohta, külastades seda linki:
https://www.surveymonkey.com/r/QQD76GW
Kongress -
Teisipäev, september 9:
– Senat – tervishoiu-, haridus-, töö- ja pensionikomisjon: kuulamised vaktsiinide uurimiseks, keskendudes elude päästmisele, usalduse tagamisele ja rahvatervise kaitsele.
Kolmapäev, september 10:
– Asjakohaseid ärakuulamisi pole
Neljapäeval, 11. septembril:
– Asjakohaseid ärakuulamisi pole
rahvusvaheliselt Kuulamised/koosolekud -
– Asjakohaseid ärakuulamisi pole
EL -
Kolmapäev, september 10:
– Euroopa Parlament – keskkonna-, rahvatervise- ja toiduohutuse komisjon
Neljapäeval, 11. septembril:
– Euroopa Parlament – keskkonna-, rahvatervise- ja toiduohutuse komisjon
Mitmesugused asjad –
Ransomware tabab kahte riiklikku organisatsiooni Lähis-Idas ja Põhja-Aafrikas
https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/
Prantsusmaa hoiatab Emoteti ründamise eest ettevõtteid, administratsiooni
https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-ettevõtted-haldus/
Google'i tehisintellektil töötavad mikroskoobid võivad muuta vähidiagnostikat
https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-Change-cancer-diagnostics/168220/
Konverentsid, veebiseminarid ja tippkohtumised -
Võtke meiega ühendust: järgige @HealthISAC ja saatke e-kiri aadressil contact@h-isac.org
[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl
[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl
[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl
[4] https://www.globaltimes.cn/content/1200228.shtml
[5] https://www.globaltimes.cn/content/1200228.shtml
[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7
[7] https://www.globaltimes.cn/content/1200228.shtml
[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/
[9] https://cyber.dhs.gov/bod/20-01/
[10] https://cyber.dhs.gov/bod/20-01/
- Seotud ressursid ja uudised