H-ISAC Hacking Healthcare 2

TLP White: A Hacking Healthcare jelen kiadásában az FDA közleményével kezdjük, amely jelöléseket keres a Patient Engagement Advisory Committee tagjai közé. Ezután egy KPMG-jelentés eredményeit vizsgáljuk meg arról, hogyan tekintenek a mesterséges intelligenciára (AI) a különböző iparágak. Ezután tájékoztatjuk Önt egy zsarolóvírus-keresetről, amelyben a felperesek úgy tűnik, inkább állítólagos kárért, semmint tényleges kárért fizetnek. Végül megvizsgáljuk, hogy a csalók és rosszindulatú szereplők hogyan használják fel a koronavírust áldozataik megfertőzésére.

Emlékeztetőül: ez a Hacking Healthcare blog nyilvános verziója. Ha további mélyreható elemzést és véleményt szeretne kapni, legyen a H-ISAC tagja, és megkapja a blog TLP Amber verzióját (elérhető a tagportálon).

Üdvözöljük a Hacking Healthcare.

1. Megjegyzés: FDA, HHS magánszemélyek és iparági szervezetek jelölésére irányuló kérelem a betegek bevonásával foglalkozó tanácsadó bizottságba [1]

A bizottság tanácsot ad az orvostechnikai eszközökkel, az eszközszabályozással és a beteghasználattal kapcsolatos kérdésekben. A problémák közé tartozik az ügynökség útmutatása és irányelvei, a klinikai vizsgálat vagy a regiszter tervezése, a betegek preferenciáinak vizsgálata, az előny-kockázat meghatározása, az eszközök címkézése és még sok más. A szükséges szakterületek közé tartozik a kiberbiztonság, az előnyökről és kockázatokról szóló tájékoztatás a betegek felé; Orvosi eszközök címkézése és digitális egészségügyi technológia/mesterséges intelligencia.

További információk és benyújtási utasítások találhatók a szövetségi nyilvántartásban vagy az FDA honlapján.

2. Az egészségügyi szektor véleménye az AI-ról:

Mivel a mesterséges intelligencia továbbra is gyorsan beépül minden iparág alkotóelemeibe és folyamataiba, a hatásokról néha megoszlanak a vélemények. A KPMG nemrégiben készült tanulmánya azt vizsgálta, hogy a különböző iparágak hogyan látják az AI-t, az általános haszonra, az alkalmazottak felkészültségére és az elfogadási erőfeszítésekre összpontosítva. Az egészségügyi ágazat kitűnt abban a hitében, hogy a mesterséges intelligencia átalakító hatással lesz az ágazatra.

A KPMG megállapította, hogy az egészségügyi bennfentesek 90%-a úgy gondolja, hogy a mesterséges intelligencia javítja a betegek élményét.[2] Úgy gondolták, hogy a diagnosztika, az elektronikus egészségügyi nyilvántartások kezelése és a robotizált feladatok a három terület, amelyek közül a legvalószínűbb az előny.[3] Ugyanez a csoport azonban szinte egyenlő arányban oszlik meg abban a tekintetben, hogy a mesterséges intelligencia inkább hírverés volt-e, mint a valóság: 52%-uk hajlik a hype felé. Ez a felosztás kedvezőbb volt a mesterséges intelligencia számára, mint a kiskereskedelmi és a szállítási szektorban, ahol a bennfentesek több mint 64%-a szkeptikusabb volt. A „hype” miatti aggodalmak bizonyos mértékig a mesterséges intelligencia fogalmával kapcsolatos zűrzavarról szólnak, mivel ezt a kifejezést a cégek széles köre meglehetősen lazán dobja be a marketingben. Mindazonáltal az adatok összefolyása a gépi tanulással nagy lehetőséget rejt magában. Emiatt érdemes megjegyezni, hogy további eredmények azt mutatják, hogy az egészségügyi bennfentesek 69%-a szeretné, ha szervezeteik agresszívebben törekednének a mesterséges intelligencia átvételére.[4]

3.  A Kórházak elleni per állítólagos károkozás miatt:

A múlt hét elején a Puerto Rico-i kerületi S. kerületi bíróságon csoportos keresetet indítottak két Puerto Rico-i kórház ellen, azt állítva, hogy a felperesek „jelentős sérüléseket és károkat szenvedtek” a „biztonság megsértése” következtében. a teljes név, cím, születési dátum, nem, pénzügyi adatok és társadalombiztosítási számok."[5] Azonban ebben az öltönyben az a csavar, hogy még nem világos, hogy ellopták-e és nyilvánosságra hozták-e valaha a betegek adatait.[6]

A per egy 2019 februárjában végrehajtott zsarolóvírus-támadásból ered. A jelentések szerint nem volt bizonyíték arra, hogy a betegek adatait kiszűrték vagy nyilvánosságra hozták, és a kórházak megismételték, hogy ez továbbra is így van. Ez a panasz nem állítja, hogy a felperesek bizonyítékkal rendelkeznek arra vonatkozóan, hogy adataik nyilvánosságra kerültek, hanem a hitelfigyelés és a kapcsolódó szolgáltatások azonnali költségeire, valamint a támadás során ellopott adatokhoz köthető jövőbeli károkra összpontosít. . Ezenkívül a felperesek azt állítják, hogy a kórházak nem tettek megfelelő lépéseket az adatok védelme érdekében, sőt odáig mentek, hogy azt állították, hogy „engedték a hackereknek, hogy megszerezzék azokat”.[7]

4. A koronavírus kibertörzs.

Amint arról a legutóbbi számunkban beszéltünk, a koronavírus gazdasági hatásai tovább nőnek. A modern kereskedelem és kereskedelem összekapcsolt jellege azt jelenti, hogy földrajzi közelségtől függetlenül minden méretű és iparági vállalkozás számíthat negatív hatásokra. Az ellátási lánc sérülékenységeinek jobb feltérképezéséhez és a rövid távú mérséklések megállapításához szükséges információk gyűjtése során a rosszindulatú szereplők egy lehetőséget fedeztek fel.

Úgy tűnik, hogy a kelet-európai és oroszországi csalók olyan ágazatokat célzó kampányokat kezdtek, mint a szállítás és a gyártás, e-mailekkel, amelyek mélyreható elemzést ígérnek, vagy fontos megjegyzéseket tesznek arról, hogy a koronavírus hogyan érintheti ágazatukat.[8]^,[9]Az e-mailek tartalmaznak egy mellékletet, amely állításuk szerint további fontos információkat tartalmaz, de valójában adatlopásra tervezett kártevőt tartalmaznak.[10] Érdekes megjegyezni, hogy ez a rosszindulatú program egy két évnél régebbi sebezhetőséget használ ki, ami ismét rávilágít az időben történő javítás fontosságára.

Kongresszus -

kedd, február 18:

– Nincs releváns meghallgatás

Február 19th február:

– Nincs releváns meghallgatás

20th csütörtök, február:

– Nincs releváns meghallgatás

Nemzetközi Meghallgatások/találkozók -

EU -

kedd, február 18

Európai Parlament – ​​Környezetvédelmi, Közegészségügyi és Élelmiszerbiztonsági Bizottság

Konferenciák, webináriumok és csúcstalálkozók -

– H-ISAC tagtalálkozó az RSA konferencián – San Francisco, CA (2.)

https://h-isac.org/hisacevents/h-isac-member-meet-up-at-rsa-conference-2/

– H-ISAC Analysts Security Workshop – Titusville, FL (3)

https://h-isac.org/hisacevents/h-isac-analysts-security-workshop-titusville-fl/

– H-ISAC tagtalálkozó a HIMSS globális konferencián – Helyszín TBA (3.)

https://h-isac.org/hisacevents/h-isac-member-meet-up-at-himss/

– Intelligens IoT – London – ExCeL London, Egyesült Királyság (3.)

https://www.ieee-smartiot.org/

– H-ISAC biztonsági műhely – Chennai, India (3.)

https://h-isac.org/hisacevents/h-isac-security-workshop-india/

– H-ISAC havi fenyegetés-tájékoztató – webinárium (3.)

H-ISAC havi fenyegetési tájékoztató – 31. március 2020

– 2020-as APAC-csúcs – Szingapúr (3.–31.)

/csúcsok/

–H-ISAC biztonsági műhely – Cambridge, MA (4.)

https://h-isac.org/hisacevents/h-isac-security-workshop-cambridge-ma/

–H-ISAC biztonsági műhely – Atlanta, GA (4.)

https://h-isac.org/hisacevents/h-isac-security-workshop-atlanta/

– Egészségügyi kiberbiztonsági fórum – Közép-Atlanti-óceán – Philadelphia, PA (4.)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426497

–H-ISAC 2020 tavaszi csúcstalálkozó – Szingapúr (3-31)

/csúcsok/

–H-ISAC biztonsági műhely – Frederick, MD (6.)

https://h-isac.org/hisacevents/h-isac-security-workshop-frederick-md/

–AAMI Exchange – New Orleans, LA (6-12)

https://h-isac.org/hisacevents/aami-exchange/

– Egészségügyi kiberbiztonsági fórum – Rocky Mountain – Denver, CO (7.)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426499

– Egészségügyi kiberbiztonsági fórum – Délkelet – Nashville, TN (9.)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426517

– Egészségügyi kiberbiztonsági fórum – Northeast – Boston, MA (9.)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/427126

– Csúcstalálkozó a biztonságról és a harmadik felek kockázatairól – National Harbor, MD (9.–28.)

GRF Summit on Security & Third Party Risk Digital Series

– Egészségügyi kiberbiztonsági fórum – Texas – Houston, TX (10.)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840

– Egészségügyi kiberbiztonsági fórum – Pacific Northwest – Seattle, WA (10.)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428886

– Egészségügyi kiberbiztonsági fórum – Kalifornia – Los Angeles, CA (11.)

Különféle termékek –

– Az FDA, a MITER tippeket kínál az orvosi eszközök kiberbiztonságához

https://www.healthcareitnews.com/news/fda-mitre-offer-tips-med-device-cybersecurity

– A PKI rossz irányítása sebezhetővé teszi az egészségügyi szervezeteket

https://www.healthcareitnews.com/news/pki-mismanagement-leaves-healthcare-organizations-vulnerable

– Az Egyesült Államok 4 kínai katonai tisztet vádol 2017-ben az Equifax Hack miatt

https://krebsonsecurity.com/2020/02/u-s-charges-4-chinese-military-officers-in-2017-equifax-hack/

– Az egyik legpusztítóbb botnet most átterjedhet a közeli Wi-Fi hálózatokra

https://arstechnica.com/information-technology/2020/02/one-of-the-most-destructive-botnets-can-now-spread-to-nearby-wi-fi-networks/

Lépjen kapcsolatba velünk: kövesse a @HealthISAC címet, és írjon a contact@h-isac.org címre

[1] https://www.federalregister.gov/documents/2020/02/13/2020-02872/request-for-nominations-of-individuals-and-industry-organizations-for-the-patient-engagement

[2] https://advisory.kpmg.us/content/dam/advisory/en/pdfs/2020/living-in-ai-world.pdf

[3] https://advisory.kpmg.us/content/dam/advisory/en/pdfs/2020/living-in-ai-world.pdf

[4] https://advisory.kpmg.us/content/dam/advisory/en/pdfs/2020/living-in-ai-world.pdf

[5] https://www.classaction.org/media/quintero-et-al-v-metro-santurce-inc-et-al.pdf

[6] https://www.cyberscoop.com/hospital-pavia-class-action-lawsuit-ransomware/

[7] https://www.classaction.org/media/quintero-et-al-v-metro-santurce-inc-et-al.pdf

[8] https://www.cyberscoop.com/coronavirus-phishing-emails-proofpoint-research/

[9] https://www.proofpoint.com/us/corporate-blog/post/coronavirus-themed-attacks-target-global-shipping-concerns

[10] https://www.cyberscoop.com/coronavirus-phishing-emails-proofpoint-research/

• Kapcsolódó források és hírek
• Egy massachusettsi kórház elutasította a mentőautókat egy kibertámadás után
• Podcast: Phil Englert az orvostechnikai eszközök kiberbiztonságáról
• A belső fenyegetés ismét növekszik
• „Elszalasztott lehetőség”: Az amerikai kormány távolmaradása az RSAC konferenciáról űrt hagy maga után
• Health-ISAC Hacking Healthcare 3
• Health-ISAC Hacking Healthcare 3
• Health-ISAC havi hírlevél – 2026. április
• Utójelentés: Health-ISAC Resilience Gyakorlatsorozat 2025
• Miért ijesztő kilátás a Microsoft Intune szerepe a Stryker kibertámadásában?
• Texas kormányzója elrendelte a kínai gyártmányú orvostechnikai eszközök állami felülvizsgálatát