رفتن به محتوای اصلی

H-ISAC Hacking Healthcare 9-9-2020

TLP White: این هفته، Hacking Healthcare از خوانندگان می خواهد که درباره حوادث فیزیکی سایبری فکر کنند و سازمان شما چقدر برای مقابله با عواقب آن آماده است. در مرحله بعد، ما اعلامیه اخیر مبنی بر اینکه چین در حال رونمایی از ابتکار عمل امنیت داده جهانی خود و آنچه که در نتیجه آن انتظار می رود را بررسی می کنیم. در نهایت، به طور خلاصه بررسی می‌کنیم که چگونه دستورالعمل عملیاتی الزام‌آور جدید وزارت امنیت داخلی (DHS) که سازمان‌های دولتی را ملزم به اتخاذ سیاست افشای آسیب‌پذیری می‌کند، بر بخش مراقبت‌های بهداشتی تأثیر می‌گذارد.

برای یادآوری، این نسخه عمومی وبلاگ هک بهداشت است. برای تجزیه و تحلیل عمیق و نظر بیشتر، عضو H-ISAC شوید و نسخه TLP Amber این وبلاگ (موجود در پورتال اعضا) را دریافت کنید.

 

لطفاً یک دقیقه از وقت خود را برای پاسخ به چند سؤال در مورد موضوعات مراقبت بهداشتی هک این هفته به ما اختصاص دهید. نتایج را در شماره آتی منتشر خواهیم کرد. لینک نظرسنجی در ادامه مقالات زیر آمده است.

 

 

بازگشت به هک مراقبت های بهداشتی.

 

1. زمان شروع به فکر کردن در مورد مسئولیت فیزیکی-سایبری است.

از آنجایی که تمایز بین دنیای سایبری و فیزیکی به طور فزاینده‌ای محو می‌شود، سازمان‌ها احتمالاً با چالش‌های جدیدی مرتبط با مسئولیت‌ها، قوانین و مقررات جدید برای حوادث فیزیکی-سایبری مواجه خواهند شد. به گفته گارتنر، این تغییرات قانونی و مقرراتی به دلیل ماهیت جدی عواقب بالقوه احتمالاً به سرعت رخ می دهد.

از جمله پیش‌بینی‌هایی که گارتنر انجام می‌دهد، این ادعاست که 75 درصد از مدیران اجرایی ممکن است شخصاً در قبال حوادث فیزیکی سایبری تا سال 2024 مسئول شناخته شوند. گارتنر پیش‌بینی می‌کند که «ادعای ناآگاهی یا عقب‌نشینی از بیمه‌نامه‌ها» برای مدیران اجرایی سخت‌تر خواهد بود.[1] علاوه بر این، آنها پیش بینی می کنند که به دلیل عدم برنامه ریزی و هزینه در این زمینه، افزایش سریع حوادث فیزیکی-سایبری رخ خواهد داد. نگران کننده ترین تحلیل آنها این است که تاثیر مالی حوادث فیزیکی-سایبری که منجر به تلفات مرگبار می شود تا سال 50 از 2023 میلیارد دلار خواهد گذشت.[2]

گارتنر همچنین به این نگرانی اشاره کرد که بسیاری از سازمان‌ها از تمام سیستم‌های فیزیکی سایبری که قبلاً مستقر کرده‌اند آگاه نیستند. در اظهار نظر در مورد نیاز به رسیدگی به این مسائل، معاون تحقیقات گارتنر، Katell Thielemann، از رهبران فناوری خواست تا به مدیران عامل در درک خطر حوادث فیزیکی سایبری و نیاز به ایجاد «مدیریت انعطاف‌پذیری عملیاتی (ORM) فراتر از سایبر اطلاعات محور کمک کنند. امنیت.”[3]

اقدام و تحلیل
** عضویت الزامی است **

 

2. چین از ابتکار جهانی امنیت داده خود رونمایی کرد.

صبح روز سه شنبه اعلام شد که چین قصد دارد یک ابتکار جهانی امنیت داده را راه اندازی کند. بر اساس گزارش گلوبال تایمز، این ابتکار به عنوان یک استاندارد جهانی بالقوه برای امنیت داده ها مطرح می شود و ادعا می کند که برخی از نگرانی های اغلب ذکر شده دولت ها و شرکت ها در رابطه با حریم خصوصی و امنیت داده ها در چین را برطرف می کند.[4]

گلوبال تایمز گزارش می دهد که این ابتکار از هشت پیشنهاد تشکیل شده است. گزارش نشان می دهد که ابتکار شامل نکات زیر است یا از آنها پشتیبانی می کند:[5], [6]

  • کشورها [باید] امنیت داده ها را به شیوه ای جامع، عینی و مبتنی بر شواهد مدیریت کنند
  • [مخالفت] با فعالیت‌های ICT که از داده‌ها برای انجام فعالیت‌هایی استفاده می‌کنند که امنیت و منافع ملی دیگر کشورها را تضعیف می‌کند.
  • [مخالفت] به نظارت جمعی علیه سایر کشورها
  • کشورها نباید از شرکت های داخلی درخواست کنند که داده های تولید شده و به دست آمده در خارج از کشور را در قلمرو خود ذخیره کنند
  • کشورها باید به حاکمیت، صلاحیت و حاکمیت داده‌های سایر کشورها احترام بگذارند و هرگونه توافق دوجانبه دسترسی به داده‌ها نباید به حاکمیت قضایی و امنیت داده‌های یک کشور ثالث تجاوز کند.
  • ارائه دهندگان خدمات و محصولات فناوری اطلاعات و ارتباطات نباید درهای پشتی را در محصولات و خدمات خود نصب کنند تا به طور غیرقانونی اطلاعات کاربران را به دست آورند، یا سیستم ها و دستگاه های کاربران را کنترل یا دستکاری کنند.
  • شرکت های فناوری اطلاعات و ارتباطات نباید با استفاده از وابستگی کاربران به محصولات خود به دنبال منافع نامشروع باشند و کاربران را مجبور به ارتقای سیستم ها و دستگاه های خود نکنند.

ژائو لیجیان، سخنگوی وزارت خارجه چین، گفته می‌شود که «هدف این ابتکار حفاظت از داده‌های جهانی و امنیت زنجیره تأمین، ترویج توسعه اقتصاد دیجیتال و ارائه طرحی برای تدوین قوانین جهانی است».[7] علاوه بر این، گفته می‌شود که مقامات دولت چین چندین سرزنش پنهانی به سیاست خارجی ایالات متحده در این زمینه کرده‌اند. در حال حاضر مشخص نیست که چقدر حمایت جهانی از این طرح وجود دارد.

اقدام و تحلیل
** عضویت الزامی است **

 

3. افشای آسیب پذیری دولت تقویت می شود.

چهارشنبه گذشته، آژانس امنیت سایبری و امنیت زیرساخت (CISA) تحت DHS دستورالعمل اجرایی الزام آور (BOD) مورد انتظار را در مورد سیاست های افشای آسیب پذیری (VDPs) برای دولت فدرال منتشر کرد. BOD 20-01 به سازمان‌های دولتی شش ماه مهلت می‌دهد تا «VDP‌هایی را ایجاد کنند که از اقدامات قانونی علیه محققانی که با حسن نیت عمل می‌کنند، به شرکت‌کنندگان اجازه می‌دهد تا گزارش‌های آسیب‌پذیری را به‌طور ناشناس ارسال کنند و حداقل یک سیستم یا سرویس قابل دسترسی به اینترنت را پوشش دهند، را ایجاد کنند».[8]

به عنوان یادآوری، BOD ها "یک دستورالعمل اجباری برای فدرال، شعبه اجرایی، ادارات و آژانس ها به منظور حفاظت از اطلاعات و سیستم های اطلاعاتی فدرال" هستند که ممکن است توسط DHS صادر شود.[9] این BOD خاص همراه با تشخیص DHS است که «سیاست‌های افشای آسیب‌پذیری انعطاف‌پذیری خدمات آنلاین دولت را افزایش می‌دهد» و «یک عنصر اساسی از یک برنامه مدیریت آسیب‌پذیری سازمانی مؤثر است».[10]

برای آژانس‌هایی که تجربه زیادی در ایجاد خط‌مشی افشای آسیب‌پذیری ندارند، BOD 20-01 به طور مفید نیازمندی‌های مختلف را تشریح می‌کند، راهنمایی در مورد پیاده‌سازی و حتی پیوندهایی به یک الگوی VDP ارائه می‌کند. در حالی که استقرار VDP در دولت فدرال تا کنون کند بوده است، این دستورالعمل اجباری با دستورالعمل های اجرایی واضح باید به تسریع پذیرش VDP کمک کند.

اقدام و تحلیل
** عضویت الزامی است **

 

 

بررسی

لطفاً با مراجعه به این لینک، یک دقیقه وقت بگذارید و به چند سوال در مورد مراقبت های بهداشتی هک این هفته پاسخ دهید:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

کنگره -

 

سه شنبه ، سپتامبر 9th:

- سنا - کمیته بهداشت، آموزش، کار و بازنشستگی: جلسات استماع برای بررسی واکسن ها، با تمرکز بر نجات زندگی، اطمینان از اعتماد، و حفاظت از سلامت عمومی.

 

چهارشنبه، سپتامبر 10th:

- بدون جلسات استماع مرتبط

 

پنجشنبه 11 شهریور:

- بدون جلسات استماع مرتبط

 

 

 

بین المللی جلسات استماع / جلسات -

 

- بدون جلسات استماع مرتبط

 

 

اتحادیه اروپا -

چهارشنبه، سپتامبر 10th:

– پارلمان اروپا – کمیته محیط زیست، بهداشت عمومی و ایمنی مواد غذایی

 

پنجشنبه 11 شهریور:

– پارلمان اروپا – کمیته محیط زیست، بهداشت عمومی و ایمنی مواد غذایی

 

 

 

 

چیزهای مختلف -

 

باج افزار به دو سازمان دولتی در خاورمیانه و شمال آفریقا حمله می کند

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

فرانسه در مورد حمله Emotet به شرکت ها، دولت هشدار داد

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-شرکت ها-اداری/

میکروسکوپ های مجهز به هوش مصنوعی گوگل می توانند تشخیص سرطان را تغییر دهند

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-تغییر-سرطان-تشخیص/168220/

 

 

 

کنفرانس ها، وبینارها و اجلاس سران -

 

https://h-isac.org/events/

 

با ما تماس بگیرید: @HealthISAC را دنبال کنید و به آدرس contact@h-isac.org ایمیل بزنید

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • منابع و اخبار مرتبط