Health-ISAC Hacking Healthcare 2

TLP White: Ovaj tjedan, Hakiranje zdravstva počinje isticanjem novog izvješća koje sugerira da zdravstvene organizacije možda neće uvijek cijeniti rizike kibernetičke sigurnosti povezane s njihovim odnosima s poslovnim suradnicima trećih strana. Zatim ćemo ukratko ispitati kako je Francuska navela kibernetičke napade na svoje bolnice kao poticaj za novu inicijativu vrijednu 1 milijardu eura za poboljšanje cjelokupnog ekosustava kibernetičke sigurnosti.

Podsjećamo, ovo je javna verzija bloga Hacking Healthcare. Za dodatnu dubinsku analizu i mišljenje, postanite član H-ISAC-a i primite TLP Amber verziju ovog bloga (dostupnu na Portalu za članove.)

Dobrodošli natrag u Hakiranje zdravstva.

1. Novo izvješće ističe rizike trećih strana za zdravstvene organizacije

Organizacije zdravstvenog sektora, baš kao i subjekti u drugim sektorima, uvelike se oslanjaju na širok raspon poslovnih suradnika trećih strana kako bi učinkovito i troškovno učinkovito odgovorili na svoje brojne poslovne potrebe. Nažalost, čak i za organizacije koje imaju resurse i stručnost da same implementiraju najbolje prakse kibernetičke sigurnosti, poslovni suradnici trećih strana mogu predstavljati rizike kojima je teško upravljati. Kako se ističe u novom izvješću CI Securityja, zdravstvene organizacije mogu sve više biti na meti kibernetičkih napada putem svojih veza s poslovnim suradnicima trećih strana i oslanjanja na njih.

Izvješće o povredi zdravstvenih podataka za 2020

CI Security objavio je svoj Izvješće o povredi zdravstvenih podataka za 2020 ovaj mjesec. Publikacija je izvijestila da su se povrede zdravstvenih podataka povećale u drugoj polovici godine i da je "gotovo tri četvrtine svih povreda [bilo] povezano s trećim stranama."[1] CI Security primijetio je da ovaj prijavljeni porast nije nužno iznenađujući jer su početni izazovi odgovora na COVID-19 utjecali na sigurnosne prakse i istražne resurse. Međutim, autori su bili 'uznemireni' zbog "očite promjene u taktici među kibernetičkim kriminalcima, koji su razvili svoje metode za napad na meko podzemlje zdravstvenih mreža - poslovne suradnike treće strane."[2]

U izvješću se dalje navodi širok izbor usluga koje su bile ugrožene, uključujući naplatu, nadoknadu osiguranja i softver za prikupljanje sredstava. CI Security pripisuje barem dio ovog pomaka vjerojatnosti da su poslovni suradnici trećih strana manje sigurni, ali i zato što imaju potencijal zaraziti više meta i možda su spremni sami platiti veću otkupninu.[3]

Radnje i analiza
**Potrebno članstvo**

2. Kibernetički napadi na francuske bolnice pomažu u poticanju IT ulaganja

Napadi na zdravstveni sektor posljednjih mjeseci nisu prošli nezapaženo od strane francuske vlade. Prošlog je tjedna francuski predsjednik Emmanuel Macron signalizirao svoju namjeru da pojača spremnost na kibernetičku sigurnost u svojoj zemlji ulaganjem “1 milijarde eura u nacionalnu strategiju kibernetičke sigurnosti”.[4] Hitnost ovog poteza navodno je pojačana nedavnim kibernetičkim napadima na bolnice u Daxu i Villefranche-sur-Saône.[5]

Dvije su bolnice navodno bile pogođene ransomwareom koji je "utjecao na kartone pacijenata, kirurške uređaje, upravljanje lijekovima, termine, [i] raspodjelu kreveta i liječnika", te je prisilio operacije pacijenata na odgodu.[6] Unatoč pomoći francuske Nacionalne agencije za sigurnost informacijskih sustava (ANSSI), povratak na normalan rad ne očekuje se još nekoliko tjedana.[7] Macron je navodno naveo napade kao dokaz potrebnog ulaganja u cjelokupnu kibernetičku sigurnost Francuske.

Nije sasvim jasno kako će se potrošiti ta milijarda eura, ali prva izvješća sugeriraju da će "1 milijuna eura [biti potrošeno] za financiranje istraživanja i pomoć tvrtkama da poboljšaju svoje tehnologije i razviju robusnije sustave kibernetičke obrane."[8] Nepotvrđena izvješća pokazuju da će 350 milijuna eura biti namijenjeno bolnicama.[9] Dodatna podrška u ovom području također će vjerojatno doći iz novog centra za kibernetičku sigurnost koji se otvara u Parizu i koji će podržavati 1,500 pojedinaca iz javnih i privatnih subjekata.

Akcija i analiza
**Potrebno članstvo**

Kongres -

Utorak, 23. veljače:

– Nema relevantnih rasprava

Srijeda, veljača 24thth:

– Nema relevantnih rasprava

Četvrtak, 25. veljače:

– Zastupnički dom: Odbor za izdvajanja – Pododbor za odjele za rad, zdravstvo i socijalne usluge, obrazovanje i srodne agencije:  Spremni ili ne: Infrastruktura javnog zdravstva SAD-a

International Saslušanja/sastanci -

– Nema relevantnih rasprava

EU -

Četvrtak, 25. veljače:

– Europski parlament – ​​Odbor za okoliš, javno zdravlje i sigurnost hrane: Ojačana uloga Europske agencije za lijekove u pripremi i upravljanju kriznim situacijama za lijekove i medicinske uređaje

Konferencije, webinari i sastanci na vrhu –       

https://h-isac.org/events/

Kontaktirajte nas: pratite @HealthISAC i pošaljite e-poštu na contact@h-isac.org

[1] https://www.healthcareitnews.com/news/business-associates-were-largely-blame-2020-breaches

[2] Izvješće o povredi zdravstvenih podataka za 2020.: Analiza izvješća o povredi zdravstvenih podataka u 2020.. Critical Insight by Critical Security. 2021

[3] Izvješće o povredi zdravstvenih podataka za 2020.: Analiza izvješća o povredi zdravstvenih podataka u 2020.. Critical Insight by Critical Security. 2021

[4] https://www.healthcareitnews.com/news/emea/emmanuel-macron-pledges-1bn-cybersecurity-after-hospital-ransomware-attacks

[5] https://www.healthcareitnews.com/news/emea/emmanuel-macron-pledges-1bn-cybersecurity-after-hospital-ransomware-attacks

[6] https://www.healthcareitnews.com/news/emea/emmanuel-macron-pledges-1bn-cybersecurity-after-hospital-ransomware-attacks

[7] https://www.healthcareitnews.com/news/emea/emmanuel-macron-pledges-1bn-cybersecurity-after-hospital-ransomware-attacks

[8] https://www.thelocal.fr/20210219/macron-announces-1bn-security-package-after-cyberattacks-on-french-hospitals

[9] https://www.hstoday.us/subject-matter-areas/cybersecurity/france-invests-e350-million-for-hospital-cybersecurity-after-attacks-increase/

• Povezani izvori i vijesti
• Porast CalPhishing napada u zdravstvenom sektoru
• Najbolje prakse za upravljanje identitetom i pristupom trećih strana
• Što zdravstveni lideri trebaju znati o kibernetičkoj sigurnosti u razdoblju 2026.-2027.
• Što Trumpova izvršna naredba o umjetnoj inteligenciji znači za zdravstveni sektor
• Izvješće o stanju prijetnji u zdravstvu i socijalnoj pomoći
• Agentska umjetna inteligencija u zdravstvu je rizičan prijedlog
• Live@eXchange 2. dan – Analitičar sigurnosti medicinskih uređaja Health-ISAC-a
• Health-ISAC Hacking Healthcare 6
• Nove ranjivosti usmjerene na zdravstvenu industriju
• Mjesečni bilten – lipanj 2026