H-ISAC Hacking Healthcare 9-9-2020
TLP White: Ovaj tjedan, Hacking Healthcare traži od čitatelja da počnu razmišljati o cyber-fizičkim incidentima i koliko je vaša organizacija spremna nositi se s posljedicama. Zatim ćemo analizirati nedavnu objavu da Kina predstavlja vlastitu inicijativu za globalnu sigurnost podataka i što se može očekivati kao rezultat. Na kraju, ukratko ispitujemo kako nova obvezujuća operativna direktiva Ministarstva domovinske sigurnosti (DHS), koja zahtijeva od vladinih agencija da usvoje Politiku otkrivanja ranjivosti, utječe na zdravstveni sektor.
Podsjećamo, ovo je javna verzija bloga Hacking Healthcare. Za dodatnu dubinsku analizu i mišljenje, postanite član H-ISAC-a i primite TLP Amber verziju ovog bloga (dostupnu na Portalu za članove.)
Molimo da nam date minutu svog vremena da odgovorimo na nekoliko pitanja o ovotjednim temama Hacking Healthcare. Rezultate ćemo objaviti u narednom broju. Poveznica za anketu slijedi članke u nastavku.
Dobrodošli natrag u Hakiranje zdravstva.
1. Vrijeme je da počnete razmišljati o cyber-fizičkoj odgovornosti.
Kako se razlika između cyber i fizičkog svijeta sve više zamagljuje, organizacije će se vjerojatno suočiti s novim izazovima povezanim s novim obvezama, pravilima i propisima za cyber-fizičke incidente. Prema Gartneru, ove zakonske i regulatorne promjene vjerojatno će se dogoditi brzo zbog ozbiljne prirode mogućih posljedica.
Među predviđanjima Gartnera koja dižu obrve je tvrdnja da bi se 75% izvršnih direktora moglo smatrati osobno odgovornim za kibernetičke incidente do 2024. Gartner predviđa da će izvršnim direktorima biti sve teže "pozvati se na neznanje ili se povući iza polica osiguranja".[1] Osim toga, predviđaju da će doći do brzog porasta cyber-fizičkih incidenata zbog nedostatka planiranja i troškova u ovom području. Najviše zabrinjava njihova analiza da će financijski učinak cyber-fizičkih incidenata koji rezultiraju smrtonosnim žrtvama prijeći 50 milijardi dolara do 2023. godine.[2]
Gartner je također naveo zabrinutost da mnoge organizacije nisu u potpunosti svjesne svih cyber-fizičkih sustava koje su već postavile. Komentirajući potrebu rješavanja ovih problema, Gartnerov potpredsjednik za istraživanje, Katell Thielemann, pozvao je tehnološke čelnike da pomognu izvršnim direktorima razumjeti prijetnju kibernetičkih incidenata i potrebu za uspostavom „Upravljanja operativnom otpornošću (ORM) izvan kibernetičkog sustava usmjerenog na informacije sigurnost."[3]
Akcija i analiza
** Potrebno članstvo **
2. Kina predstavlja svoju Globalnu inicijativu za sigurnost podataka.
U utorak ujutro objavljeno je da Kina namjerava pokrenuti globalnu inicijativu za sigurnost podataka. Prema Global Timesu, ova se inicijativa reklamira kao potencijalni svjetski standard za sigurnost podataka i navodno rješava neke od često citiranih zabrinutosti koje su vlade i korporacije imale u vezi s privatnošću i sigurnošću podataka u Kini.[4]
Global Times izvještava da se inicijativa sastoji od osam prijedloga. Izvještavanje sugerira da inicijativa uključuje ili podržava sljedeće točke:[5], [6]
- Države [trebaju] rješavati sigurnost podataka na sveobuhvatan, objektivan način utemeljen na dokazima
- [Protivljenje] ICT aktivnostima koje koriste podatke za provođenje aktivnosti koje podrivaju nacionalnu sigurnost i interese drugih država
- [Protivljenje] masovnom nadzoru protiv drugih država
- Države ne bi trebale zahtijevati od domaćih tvrtki da podatke stvorene i dobivene u inozemstvu pohranjuju na svom teritoriju
- Države bi trebale poštivati suverenitet, nadležnost i upravljanje podacima drugih država, a svaki bilateralni sporazum o pristupu podacima ne bi trebao narušavati pravosudni suverenitet i sigurnost podataka treće države
- Pružatelji ICT proizvoda i usluga ne bi trebali instalirati stražnja vrata u svoje proizvode i usluge kako bi nezakonito dobili korisničke podatke ili kontrolirali ili manipulirali korisničkim sustavima i uređajima
- ICT tvrtke ne bi trebale tražiti nelegitimne interese iskorištavanjem ovisnosti korisnika o njihovim proizvodima, niti prisiljavati korisnike da nadograđuju svoje sustave i uređaje
Zhao Lijian, glasnogovornik kineskog ministarstva vanjskih poslova, navodno je izjavio da "inicijativa ima za cilj zaštititi globalne podatke i sigurnost opskrbnog lanca, promicati razvoj digitalne ekonomije i pružiti nacrt za formuliranje globalnih pravila."[7] Uz to, kaže se da su dužnosnici kineske vlade iznijeli nekoliko slabo prikrivenih prijekora vanjskoj politici Sjedinjenih Država po ovim pitanjima. Trenutno je nejasno kolika globalna podrška postoji za ovu inicijativu.
Akcija i analiza
** Potrebno članstvo **
3. Pojačano otkrivanje ranjivosti vlade.
Prošle srijede Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) pod DHS-om objavila je dugo očekivanu obvezujuću operativnu direktivu (BOD) o politikama otkrivanja ranjivosti (VDP) za saveznu vladu. BOD 20-01 daje vladinim agencijama šest mjeseci da "uspostave VDP-ove koji se odriču pravnih postupaka protiv istraživača koji djeluju u dobroj vjeri, dopuštaju sudionicima da anonimno podnose izvješća o ranjivosti i pokrivaju barem jedan internetski dostupan sustav ili uslugu."[8]
Kao podsjetnik, BOD su "obavezne upute saveznoj, izvršnoj vlasti, odjelima i agencijama u svrhu zaštite federalnih informacija i informacijskih sustava" koje može izdati DHS.[9] Ovaj određeni BOD dolazi s priznanjem DHS-a da "politike otkrivanja ranjivosti povećavaju otpornost vladinih online usluga" i da su "bitni element učinkovitog programa upravljanja ranjivostima poduzeća".[10]
Za agencije koje nemaju mnogo iskustva u izradi politike otkrivanja ranjivosti, BOD 20-01 korisno ocrtava različite zahtjeve, pruža smjernice za implementaciju, pa čak i poveznice na VDP predložak. Iako je uspostava VDP-a u federalnoj vladi do sada bila spora, ova obvezna direktiva s jasnim uputama za provedbu trebala bi ubrzati usvajanje VDP-a.
Akcija i analiza
** Potrebno članstvo **
Pregled
Odvojite minutu i odgovorite na nekoliko pitanja o ovotjednom događaju Hacking Healthcare posjetom ovoj poveznici:
https://www.surveymonkey.com/r/QQD76GW
Kongres -
Utorak, rujan 9th:
– Senat – Odbor za zdravstvo, obrazovanje, rad i mirovine: Saslušanja za ispitivanje cjepiva, s fokusom na spašavanje života, osiguranje povjerenja i zaštitu javnog zdravlja.
Srijeda, rujan 10th:
– Nema relevantnih rasprava
Četvrtak, 11. rujna:
– Nema relevantnih rasprava
International Saslušanja/sastanci -
– Nema relevantnih rasprava
EU -
Srijeda, rujan 10th:
– Europski parlament – Odbor za okoliš, javno zdravlje i sigurnost hrane
Četvrtak, 11. rujna:
– Europski parlament – Odbor za okoliš, javno zdravlje i sigurnost hrane
Razno –
Ransomware pogađa dvije državne organizacije na Bliskom istoku i u sjevernoj Africi
https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/
Francuska upozorava da Emotet napada tvrtke, administraciju
https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-tvrtke-uprava/
Mikroskopi koje pokreće Googleov AI mogli bi promijeniti dijagnostiku raka
https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-promjena-rak-dijagnostika/168220/
Konferencije, webinari i sastanci na vrhu -
Kontaktirajte nas: pratite @HealthISAC i pošaljite e-poštu na contact@h-isac.org
[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl
[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl
[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl
[4] https://www.globaltimes.cn/content/1200228.shtml
[5] https://www.globaltimes.cn/content/1200228.shtml
[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7
[7] https://www.globaltimes.cn/content/1200228.shtml
[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/
[9] https://cyber.dhs.gov/bod/20-01/
[10] https://cyber.dhs.gov/bod/20-01/
- Povezani izvori i vijesti