Santé-Piratage du système de santé par l'ISAC 2/8/2022

9 février 2022 | Le piratage des soins de santé

TLP Blanc

Cette semaine, Le piratage des soins de santé L'article commence par examiner un article qui prétend qu'un civil américain a pris l'initiative de lancer une cyberattaque contre le gouvernement de la République populaire démocratique de Corée (RPDC). Nous examinons comment cette affaire se rapporte au débat plus large autour de l'hacktivisme et des maux de tête que ce type d'action pourrait causer au gouvernement américain. Ensuite, nous explorons l'information selon laquelle le Département de la sécurité intérieure (DHS) a lancé la création d'un Cyber Safety Review Board (CSRB), notamment en quoi cela pourrait être bénéfique et en quoi cela pourrait ne pas l'être.

Pour rappel, il s'agit de la version publique du blog Hacking Healthcare. Pour des analyses et des avis plus approfondis, devenez membre de H-ISAC et recevez la version TLP Amber de ce blog (disponible sur le portail des membres).

Bon retour à Le piratage des soins de santé.

Version PDF:

Télécharger

Version texte:

1. Un Américain aurait piraté l'infrastructure Internet de la RPDC

La semaine dernière, un article de Wired affirmait que les problèmes inhabituels de connectivité Internet dont la RPDC semblait souffrir depuis quelques semaines n’étaient en fait pas causés par des problèmes internes ou par un gouvernement extérieur en représailles aux tests de missiles continus de la RPDC.[1] Selon Wired, la cause en était un civil américain indépendant, mécontent d'avoir été pris dans une cyberopération de la RPDC contre des chercheurs en cybersécurité et du manque apparent de réponse publique du gouvernement américain à cette opération.

L'individu, identifié uniquement comme P4x, a déclaré à Wired que ses actions « semblaient être la bonne chose à faire » afin d'imposer certains coûts au gouvernement de la RPDC.[2] Il a ajouté : « Je veux qu’ils comprennent que si vous venez vers nous, cela signifie que certaines de vos infrastructures seront hors service pendant un certain temps. »[3]

Sous couvert d'avoir découvert « de nombreuses vulnérabilités connues mais non corrigées », P4x a mené des attaques par déni de service (DDoS) à grande échelle. Ses attaques semblent avoir été assez efficaces, la quasi-totalité des sites Internet de la RPDC ayant été mis hors service.[4] Alors que P4x a déclaré qu'il reconnaissait que ses actions étaient comparables à «déchirer des bannières gouvernementales ou à dégrader des bâtiments», il a déclaré qu'il considérait le fait d'avoir contrarié le gouvernement nord-coréen comme un succès.[5]

Il est peut-être inquiétant de constater que P4x ne semble pas satisfait de la fin de ses opérations après son attaque DDoS. Il a révélé à Wired qu'il espérait pirater les systèmes de la RPDC pour voler des informations et les partager avec des experts.[6] Il cherche également à étendre son opération individuelle en recrutant d’autres « hacktivistes » pour son projet « FU North Korea ». L’objectif serait de « maintenir l’honnêteté de la Corée du Nord » et de « mener des attaques et des collectes d’informations proportionnées afin d’empêcher la Corée du Nord de pirater le monde occidental sans aucun contrôle ».[7]

Bien que P4x soit manifestement mécontent d'avoir été la cible de la précédente cyber-opération de la RPDC, une source non négligeable de motivation semble provenir de sa déception face à la réaction du gouvernement américain. Outre l'absence de représailles publiques contre la RPDC, P4x estime que le FBI n'a pas répondu de manière adéquate à sa propre demande d'aide, ce qui lui donne le sentiment d'être quelque peu seul face à un acteur étatique.

Action et analyse
**Adhésion requise**

2. Comité d'examen de la cybersécurité du DHS

Un élément attendu depuis longtemps du décret exécutif sur la cybersécurité de l'administration Biden semble enfin être en voie d'achèvement. La section 5 du décret de mai dernier Décret exécutif sur l'amélioration de la cybersécurité de la nation Le secrétaire à la Sécurité intérieure a été chargé de créer un comité d'examen de la cybersécurité (CSRB) pour traiter les incidents cybernétiques importants. Après plusieurs mois de silence, un avis du Federal Register annonçant la création du comité a été publié le 2 février.[8]

Le décret exécutif sur la cybersécurité stipule que le CSRB « doit examiner et évaluer, en ce qui concerne les cyberincidents importants… affectant les systèmes d’information de l’exécutif civil fédéral ou les systèmes non fédéraux, les activités de menace, les vulnérabilités, les activités d’atténuation et les réponses de l’agence. »[9] Comme réitéré dans l'avis du Federal Register, « Une fois son examen d'un incident applicable terminé, le CSRB peut élaborer des conseils, des informations ou des recommandations à l'intention du Secrétaire pour améliorer les pratiques et la politique de cybersécurité et de réponse aux incidents », qui peuvent ensuite être transmis au président.[10] L'objectif de ces activités, comme l'a résumé le Département de la sécurité intérieure (DHS), est « que le gouvernement, l'industrie et la communauté de sécurité au sens large puissent mieux protéger les réseaux et les infrastructures de notre nation ».[11]

Parmi les personnes qui doivent être incluses dans la composition du CSRB figurent le Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CSIA) et « des représentants de fournisseurs de logiciels ou de cybersécurité du secteur privé appropriés ».[12] L’ajout d’autres membres du secteur privé se fera au cas par cas, à la discrétion du secrétaire à la Sécurité intérieure. L’avis du Federal Register semble élargir le potentiel d’adhésion du secteur privé en reformulant légèrement le décret exécutif pour qu’il se lise comme suit : « Les membres du CSRB incluront également des personnes d’entités du secteur privé, notamment des fournisseurs de cybersécurité ou de logiciels appropriés. »

L'avis précise en outre que le CSRB sera composé d'un maximum de 20 membres et que « les membres seront des experts en la matière issus de professions appropriées et de diverses communautés à l'échelle nationale, seront géographiquement équilibrés et comprendront des représentants d'un éventail large et inclusif d'industries. »[13] Le comité sera présidé par Rob Silvers, sous-secrétaire d'État à la stratégie, à la politique et aux plans du département de la Sécurité intérieure. Bien que les conclusions du CSRB soient rendues publiques chaque fois que possible, l'avis reconnaît que les rédactions devront être effectuées « conformément à la loi applicable et à la nécessité de protéger les informations sensibles contre toute divulgation ».[14]

Action et analyse
**Adhésion requise**

Congrès

Mardi 8 Février^th:

– Sénat – Comité de la sécurité intérieure et des affaires gouvernementales : Réagir et tirer les leçons de la vulnérabilité Log4Shell

Mercredi, Février 9th:

– Aucune audience pertinente

Jeudi, février 10th:

– Aucune audience pertinente

International Audiences/Réunions -

– Aucune réunion pertinente

UE -

Mercredi 9 février :

– Cyberattaque contre le HSE : un signal d’alarme pour les soins de santé dans toute l’Europe | Comment la recherche financée par l’Europe peut renforcer votre cyber-résilience en 2022

Conférences, webinaires et sommets

https://h-isac.org/events/

Contactez-nous : suivez @HealthISAC et envoyez un e-mail à contact@h-isac.org

À propos de l’auteur

Le piratage des soins de santé est écrit par John Banghart, qui a été conseiller principal sur les incidents de cybersécurité et la préparation et a dirigé les efforts du Conseil de sécurité nationale pour faire face aux incidents de cybersécurité importants, notamment ceux survenus à l'OPM et à la Maison Blanche. John est actuellement directeur principal des services de cybersécurité chez Venable. Il a notamment été directeur de la cybersécurité fédérale au Conseil de sécurité nationale, conseiller principal en cybersécurité pour les Centers for Medicare and Medicaid Services, et chercheur en cybersécurité et expert en politique au National Institute of Standards and Technology (NIST) et au Bureau du sous-secrétaire au commerce pour les normes et la technologie.

Vous pouvez joindre John au jbanghart@h-isac.org et jfbanghart@venable.com.

[1] https://www.wired.com/story/north-korea-hacker-internet-outage/

[2] https://www.wired.com/story/north-korea-hacker-internet-outage/

[3] https://www.wired.com/story/north-korea-hacker-internet-outage/

[4] https://www.wired.com/story/north-korea-hacker-internet-outage/

[5] https://www.wired.com/story/north-korea-hacker-internet-outage/

[6] https://www.wired.com/story/north-korea-hacker-internet-outage/

[7] https://www.wired.com/story/north-korea-hacker-internet-outage/

[8] https://www.federalregister.gov/documents/2022/02/03/2022-02171/notice-of-the-establishment-of-the-cyber-safety-review-board

[9] https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

[10] https://www.federalregister.gov/documents/2022/02/03/2022-02171/notice-of-the-establishment-of-the-cyber-safety-review-board

[11] https://www.dhs.gov/news/2022/02/03/dhs-launches-first-ever-cyber-safety-review-board

[12] https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

[13] https://www.federalregister.gov/documents/2022/02/03/2022-02171/notice-of-the-establishment-of-the-cyber-safety-review-board

[14] https://www.federalregister.gov/documents/2022/02/03/2022-02171/notice-of-the-establishment-of-the-cyber-safety-review-board

Santé-Piratage du système de santé par l'ISAC 2/15/2022

Enquête sur les signalements de violations de données