Health-ISAC Hacking Healthcare 5

Tällä viikolla Hacking Healthcare™ keskittyy tekoälyriskiin, turvallisuuteen ja tietoturvaan liittyviin uusiin kehityssuuntiin. Erityisesti rikomme uuden sisäisen turvallisuuden ministeriön (DHS) Tekoälyn turvallisuus- ja turvallisuuslautakunta ja tarkista sitten DHS:n uudet ohjeet Turvallisuus- ja turvallisuusohjeet kriittisten infrastruktuurien omistajille ja käyttäjille.

Muistutuksena, tämä on Hacking Healthcare -blogin julkinen versio. Jos haluat lisäanalyysiä ja mielipiteitä, liity H-ISAC:n jäseneksi ja vastaanota tämän blogin TLP Amber -versio (saatavilla jäsenportaalissa).

Tervetuloa takaisin Hacking Healthcareen™.

Health-ISAC Americas Hobby Exercise 2024

Health-ISAC vauhdittaa jälleen valmistautumista vuosittaiseen Americas Hobby Exercise -harrastukseen! Uusille Health-ISAC-jäsenille Hobby Exercise on vuosittainen Healthcare and Public Health (HPH) -tapahtuma, jonka tarkoituksena on saada terveydenhuoltosektori ja strategiset kumppanit mukaan merkittäviin turvallisuus- ja kestävyyshaasteisiin. Kokonaistavoitteena on tiedottaa ja tarjota mahdollisuuksia organisaation jatkuvaan parantamiseen ja samalla lisätä terveydenhuoltoalan joustavuutta.

Seuraava linkki viime vuoden Harrastusharjoituksen jälkeen -raporttiin antaa hyvän yleiskatsauksen siitä, millaista vuorovaikutusta ja arvoa voit odottaa tämän vuoden tapahtumalta:

https://h-isac.org/hobby-exercise-2023-after-action-report/

Tämän vuoden harjoitus pidetään 6. kesäkuuta Venable LLP:n toimistossa Washington DC:ssä. Jäseniä kehotetaan ilmoittamaan kiinnostuksensa osallistua seuraavasta linkistä:

https://portal.h-isac.org/s/community-event?id=a1Y7V00000ZmFVwUAN

National Security Memorandum 22 tarkistaa Yhdysvaltain lähestymistapaa kriittiseen infrastruktuuriin

Bidenin hallinto julkaisi 30. huhtikuuta Kansallinen turvallisuusmuistio 22 (NSM-22): kriittisten infrastruktuurien turvallisuudesta ja kestävyydestä.^[I] Tämä muistio on uusin versio useista toimeenpanovallan muistioista, joissa on pyritty määrittelemään, mikä muodostaa Yhdysvaltojen kriittisen infrastruktuurin, ja hahmotella, miten hallituksen on tarkoitus parantaa kyseisen kriittisen infrastruktuurin turvallisuutta ja kestävyyttä. Kuten arvata saattaa, NSM-22:lla on suoria ja epäsuoria vaikutuksia terveydenhuolto- ja kansanterveysalaan (HPH).

Mikä on NSM-22 ja mitä se korvaa? 

Vuodesta 2013 lähtien Yhdysvaltojen liittohallitus on pitänyt presidentin politiikkaa koskevaa direktiiviä 21 (PPD-21) pysyvänä ohjeena sille, mikä on kriittistä infrastruktuuria Yhdysvalloissa, miten Yhdysvaltojen hallituksen tulisi turvata tämä infrastruktuuri, sekä hahmotella. yksityisen sektorin suunniteltu rooli. Vaikka tällä toimeenpanomuistiolla ei olekaan lainvoimaa, sitä ei koskaan kumottu tai korvattu viime viikolla.

Tämä päivitys käynnistettiin, kun HR6395, William M. (Mac) Thornberry National Defense Authorization Act for Fiscal Year 2021, hyväksyttiin, mikä edellytti DHS:n sihteeriä kuulemalla Sector Risk Management Agencies (SRMA) -johtajia. "Tarkistaa kriittisen infrastruktuurin turvaamisen nykyiset puitteet…" ja toimittaa raportin mahdollisista muutoksista.^[Ii] Presidentti Biden allekirjoitti raportin sisällön ja työskenteli NSM-22:sta.

NSM-22 Sisältö

Noin 35-sivuinen NSM-22 tarjoaa seuraavat tiedot "edistääkseen [Yhdysvaltojen] kansallista yhtenäisyyttä turvatun, toimivan ja kestävän kriittisen infrastruktuurin vahvistamiseksi ja ylläpitämiseksi":^[Iii]

• Kahdeksan politiikan periaatetta;
• Kahdeksan tavoitetta;
• Liittovaltion osastojen ja virastojen tehtävien ja vastuiden selventäminen;
• Riskienhallinnan ja kaikkiin uhkiin/vaaroihin perustuvan lähestymistavan edistäminen turvallisuuteen ja sietokykyyn;
• Turvallisuuden ja kestävyyden vähimmäisvaatimusten asettaminen kriittisen infrastruktuurin aloille;
• Kansallisen infrastruktuurin riskinhallintasuunnitelman suunta;
• Systemically Important Entities (SIE) -yritysten toistaminen;
• Tiedustelutietojen jakamisen ja tiedonvaihdon vahvistaminen;
• Kriittisen infrastruktuurin määritelmän, nimettyjen kriittisten infrastruktuurien sektoreiden ja vastuullisten SRMA-alueiden toistaminen; ja
• Toteutussuunnitelma liittovaltion yksiköiden toteuttamiseksi edellä kuvatulla tavalla.

Toiminta ja analyysi
**Sisältyy Health-ISAC-jäsenyyteen**

Tulevat kansainväliset kuulemiset/kokoukset

• EU
  1. Ei asiaankuuluvia kokouksia tällä hetkellä
• US
  1. Ei asiaankuuluvia kokouksia tällä hetkellä
• Muu maailma
  1. Ei asiaankuuluvia kokouksia tällä hetkellä

^[I]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Ii] https://www.congress.gov/bill/116th-congress/house-bill/6395

^[Iii]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[IV] Presidentin päätösdirektiivi/NSC-63

^[V] Presidentin politiikan direktiivi 21

^[Vi] "Järjestelmät ja omaisuus, olivatpa ne fyysisiä tai virtuaalisia ja jotka ovat niin tärkeitä Yhdysvalloille, että tällaisten järjestelmien ja omaisuuden kyvyttömyys tai tuhoutuminen heikentäisi kansallista turvallisuutta, kansallista taloudellista turvallisuutta, kansallista kansanterveyttä tai -turvallisuutta tai näiden yhdistelmää. asioita.”

^[Vii]https://www.washingtonpost.com/politics/2023/10/16/biden-administration-goes-back-drawing-board-water-cybersecurity/

^[VIII]https://www.cisa.gov/cross-sector-cybersecurity-performance-goals#:~:text=A%20common%20set%20of%20protections,known%20risks%20and%20adversary%20techniques

^[IX] https://hphcyber.hhs.gov/performance-goals.html

^[X]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xi]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xii] https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

• Aiheeseen liittyviä resursseja ja uutisia
• Health-ISAC Hacking Healthcare 5
• Tietoturvajohtajan käsikirja, osa 2 – 0Auth-tunnuksen haavoittuvuus, joka aiheutti Salesforce-tietomurron
• Kuukausittainen uutiskirje – toukokuu 2026
• Quarterly Threat Insights – Q1 2026
• Mitä Stryker-hyökkäys paljastaa lääkinnällisten laitteiden turvallisuudesta
• Tekoälyn turvallisen käytön käytännöt ja suojatoimet
• HSCC julkistaa kolmannen osapuolen tekoälyn riski- ja toimitusketjun läpinäkyvyysoppaan
• Anthropic paljastaa maagisen 0-päivän tietokonejumalan
• Terveydenhuolto tähtäimessä: Iraniin liittyvät kyberuhkat lisäävät riskiä sairaaloille, lääketieteelliselle teknologialle ja hoitoketjuille
• Health-ISAC merkitsee puutteita kyberturvallisuusriskien sietokyvyssä ja tietoturvaloukkauksiin reagoinnissa…