Esta semana, Saúde-ISAC®'s Hacking Healthcare® esfuérzase por poñervos ao día do que está a suceder na Axencia de Ciberseguridade e Seguridade da Infraestrutura (CISA) despois de que o financiamento do Congreso puxese fin a un peche de 76 días que afectaba á esencial axencia cibernética.
As a reminder, this is the public version of the Hacking Healthcare blog. Para obter análises e opinións máis profundas, convértete en membro de H-ISAC e recibe a versión TLP Amber deste blog (dispoñible no Portal dos membros).
Versión PDF:
Versión de texto:
Benvido de novo a Hacking Healthcare® !
Exercicio de afeccións das Américas 2026
Antes de comezar co artigo de hoxe, achegámonos rapidamente á sétima edición anual do Americas Hobby Exercise e animamos aos membros de Health-ISAC a que consideren rexistrar o seu interese en asistir. O exercicio é un taller e unha práctica de mesa que dura todo o día con membros de Health-ISAC, axencias do Goberno dos Estados Unidos (USG) e outros sectores de infraestruturas críticas. O exercicio está deseñado para concienciar sobre os problemas aos que se enfronta o sector sanitario durante e despois dun incidente grave e para construír relacións duradeiras dentro e entre o sector sanitario e o goberno para fortalecer os plans e actividades de comprensión, resposta e recuperación.
O Exercicio de afeccións deste ano celebrarase o 24 de xuño en Washington, D.C. Os membros poden rexistrar o seu interese aquí:
https://portal.h-isac.org/s/community-event?id=a1YVn000005srUHMAY.
Para os interesados en saber máis, o informe do ano pasado pódese atopar aquí: https://health-isac.org/2025-americas-hobby-exercise-after-action-report/
Avaliación de CISA despois dun peche prolongado
O 30 de abril, tras 76 días de peche, o presidente Trump asinou un proxecto de lei de compromiso no Congreso para financiar o Departamento de Seguridade Nacional (DHS). Este financiamento permitiu que a CISA comezase a volver ao seu estado operativo a pleno rendemento. Como resultado, agora é un bo momento para avaliar en que se atopa a axencia coa tan esperada (e tecnicamente atrasada) norma final da Lei de Notificación de Incidentes Cibernéticos para Infraestruturas Críticas (CIRCIA), e que deberían facer os sectores de infraestruturas críticas coa iniciativa "CI Fortify" recentemente introducida pola CISA.
Actualización CIRCIA
Aprobada en 2022, a lei tiña como obxectivo principal establecer requisitos de presentación de informes para incidentes cibernéticos e pagos de rescates cubertos nunha serie de entidades cubertas. Espérase que estes informes axuden á CISA a responder onde sexa necesario, ao tempo que lles proporcionan aos responsables políticos unha imaxe máis clara do panorama xeral das ameazas e os seus impactos nas entidades cubertas. O papel da CISA na finalización da CIRCIA inclúe o desenvolvemento dunha norma definitiva que aclare moitos dos detalles técnicos da CIRCIA.
A linguaxe da CIRCIA finalmente ordenou á CISA que elaborase unha norma definitiva para outubro do ano pasado. Cando a CISA non cumpriu este prazo, especulouse que a nova data límite podería ser a primavera de 2026, baseándose nas evidencias da Axenda Unificada de Accións Reguladoras e Desreguladoras da primavera de 2025 que suxiren que podería publicarse en maio. O escepticismo sobre esta nova data límite aumentou cando a CISA publicou un aviso en febreiro deste ano anunciando a súa intención de celebrar unha serie de reunións públicas en marzo e abril para recoller máis comentarios das partes interesadas para "refinar" o "alcance e a carga" da CIRCIA.[I] Este esforzo viuse entón paralizado cando o peche do goberno suspendeu todas as operacións non esenciais.
Co peche xa rematado, a información actualmente dispoñible de CISA na súa páxina web de CIRCIA[Ii] indica que aínda teñen a intención de manter estas asembleas municipais e sinalan que o peche é "probable" e provocará "un atraso na emisión da norma definitiva da CIRCIA".[III]
Fortifica!
Malia que o peche rematou hai pouco, CISA lanzou unha nova iniciativa para crear resiliencia entre as entidades de infraestruturas críticas do país. O 5 de maio, CISA publicou un comunicado de prensa anunciando “CI Fortify”.[IV] A CISA describe o esforzo como unha guía "para axudar ás entidades de infraestrutura crítica (IC) de todos os sectores a prepararse para operar durante unha crise ou conflito, continuando a prestación de servizos vitais mesmo cando os seus sistemas están baixo ataque", ao mesmo tempo que "...reforzan a resiliencia e axudan ás entidades IC e aos seus socios a manter unha liña base de continuidade para os servizos críticos durante un ciberataque".[V]
A páxina web actual da iniciativa destaca especificamente as ameazas que supoñen os actores estatais-nación para as infraestruturas críticas, especialmente no contexto dun "conflito xeopolítico máis amplo". A iniciativa parece centrarse nas capacidades de "illamento" e "recuperación" como medio para "manter as operacións esenciais durante un conflito xeopolítico".[Vin] O illamento refírese á capacidade de desconectarse proactivamente de terceiros segundo sexa necesario e de manter a capacidade de prestar servizos esenciais durante un período prolongado (meses). A recuperación refírese a garantir unha documentación e copias de seguridade axeitadas e a abordar as dependencias de comunicacións.
Tamén hai unha "chamada á acción para os non operadores" que axuda a identificar como Provedores e provedores de sistemas de control de automatización industrial, Provedores e integradores de servizos xestionados, Provedores de seguridadee Voluntarios pode axudar cos esforzos.
Non parece haber obxectivos, prazos, financiamento ou novos recursos específicos relacionados con CI Fortify neste momento.
Acción e Análise
**Incluído coa subscrición Health-ISAC**
[I] https://www.federalregister.gov/documents/2026/02/13/2026-02948/cyber-incident-reporting-for-critical-infrastructure-act-circia-rulemaking-town-hall-meetings
[Ii] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia
[III] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia
[IV] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure
[V] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure
[Vin] https://www.cisa.gov/topics/industrial-control-systems/ci-fortify
[Vii] https://health-isac.org/health-isac-hacking-healthcare-2-19-2026/
[VIII] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/circia/faqs
[Ix] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/circia/faqs
[X] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure
[Xi] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure
- Recursos e noticias relacionados
- Informe sobre o panorama das ameazas na atención sanitaria e a asistencia social
- A IA axente na atención sanitaria é unha proposta arriscada
- Día 2 de Live@eXchange: analista de seguridade de dispositivos médicos de Health-ISAC
- Saúde-ISAC Hacking Healthcare 6-3-2026
- Novas vulnerabilidades dirixidas á industria sanitaria
- Boletín mensual de xuño de 2026
- O que realmente se precisa para garantir a asistencia sanitaria
- O inventario de dispositivos e o mapeo de PHI serán os máis importantes cando se descarte a nova HIPAA
- Verizon DBIR: A asistencia sanitaria deféndese do aumento dos ataques de enxeñaría social
- Informe sobre o estado do risco cibernético humano