Ugrás a tartalomra

H-ISAC Hacking Healthcare 9

TLP White: Ezen a héten a Hacking Healthcare arra kéri az olvasókat, hogy kezdjenek el gondolkodni a kiberfizikai eseményekről, és arról, hogy szervezete mennyire felkészült a következmények kezelésére. Ezután részletezzük a közelmúltban megjelent bejelentést, miszerint Kína bemutatja saját globális adatbiztonsági kezdeményezését, és mi várható ennek eredményeként. Végül röviden megvizsgáljuk, hogy a Nemzetbiztonsági Minisztérium (DHS) új kötelező érvényű működési irányelve, amely előírja a kormányzati szerveknek, hogy fogadjanak el sebezhetőségi közzétételi szabályzatot, hogyan érinti az egészségügyi szektort.

Emlékeztetőül: ez a Hacking Healthcare blog nyilvános verziója. Ha további mélyreható elemzést és véleményt szeretne kapni, legyen a H-ISAC tagja, és megkapja a blog TLP Amber verzióját (elérhető a tagportálon).

 

Kérjük, szánjon ránk egy percet, hogy válaszoljunk néhány kérdésre az e heti Hacking Healthcare témáival kapcsolatban. Az eredményeket egy következő számunkban tesszük közzé. A felmérés linkje az alábbi cikkeket követi.

 

 

Üdvözöljük a Hacking Healthcare.

 

1. Ideje gondolkodni a kiber-fizikai felelősségről.

Ahogy a kiber- és a fizikai világ közötti különbség egyre inkább elmosódik, a szervezeteknek valószínűleg új kihívásokkal kell szembenézniük a kiber-fizikai eseményekkel kapcsolatos új kötelezettségekkel, szabályokkal és szabályozásokkal kapcsolatban. A Gartner szerint ezek a jogi és szabályozási változások valószínűleg gyorsan bekövetkeznek a lehetséges következmények súlyossága miatt.

A Gartner leginkább szemöldökkeltő jóslatai közé tartozik az az állítás, hogy 75-re a vezérigazgatók 2024%-a személyesen felelőssé tehető a kiberfizikai eseményekért. A Gartner előrejelzése szerint a vezérigazgatók számára egyre nehezebb lesz „tudatlanságra hivatkozni vagy a biztosítási kötvények mögé vonulni”.[1] Ezen túlmenően azt jósolják, hogy a kiberfizikai incidensek gyors növekedése várható a tervezés és a kiadások hiánya miatt ezen a területen. A legaggasztóbb az az elemzésük, hogy a halálos áldozatokat okozó kiber-fizikai események pénzügyi hatása 50-ra meghaladja az 2023 milliárd dollárt.[2]

A Gartner arra az aggályra is hivatkozott, hogy sok szervezet nincs teljesen tisztában az általuk már telepített kiberfizikai rendszerekkel. Katell Thielemann, a Gartner kutatási alelnöke arra kérte a technológiai vezetőket, hogy segítsenek a vezérigazgatóknak megérteni a kiber-fizikai incidensek fenyegetését, és az információközpontú kiberen túlmutató „Operational Resilience Management (ORM)” létrehozásának szükségességét. biztonság."[3]

Akció és elemzés
** Tagság szükséges **

 

2. Kína bemutatja globális adatbiztonsági kezdeményezését.

Kedd reggel jelentették be, hogy Kína globális adatbiztonsági kezdeményezést kíván indítani. A Global Times szerint ezt a kezdeményezést az adatbiztonság potenciális világméretű szabványaként emlegették, és azt állítják, hogy eloszlatja a kormányok és vállalatok által gyakran idézett aggodalmakat az adatvédelemmel és a kínai adatbiztonsággal kapcsolatban.[4]

A Global Times jelentése szerint a kezdeményezés nyolc javaslatból áll. A jelentés azt sugallja, hogy a kezdeményezés a következő pontokat tartalmazza vagy támogatja:[5], [6]

  • Az államoknak átfogó, objektív és bizonyítékokon alapuló módon kell kezelniük az adatbiztonságot
  • [Ellenzés] az olyan IKT-tevékenységekkel szemben, amelyek adatokat használnak fel olyan tevékenységek végzésére, amelyek aláássák más államok nemzetbiztonságát és érdekeit
  • [Ellenzés] a többi állam elleni tömeges megfigyelés ellen
  • Az államok nem kérhetik a hazai vállalatokat, hogy a tengerentúlon előállított és megszerzett adatokat saját területükön tárolják
  • Az államoknak tiszteletben kell tartaniuk más államok szuverenitását, joghatóságát és adatkezelését, és semmilyen kétoldalú adathozzáférési megállapodás nem sértheti harmadik állam igazságügyi szuverenitását és adatbiztonságát.
  • Az IKT-termékek és -szolgáltatók nem telepíthetnek hátsó ajtókat termékeikbe és szolgáltatásaikba felhasználói adatok illegális megszerzése, illetve a felhasználók rendszereinek és eszközeinek ellenőrzése vagy manipulálása érdekében.
  • Az IKT-cégek nem törekedhetnek illegitim érdekekre azzal, hogy kihasználják a termékeiktől való felhasználói függést, és nem kényszeríthetik a felhasználókat rendszereik és eszközeik frissítésére.

Zhao Lijian, a kínai külügyminisztérium szóvivője állítólag kijelentette, hogy "a kezdeményezés célja a globális adatok és az ellátási lánc biztonságának védelme, a digitális gazdaság fejlődésének előmozdítása, valamint a globális szabályok megfogalmazásának tervezete".[7] Ezen túlmenően a kínai kormány tisztviselői állítólag több, halványan burkolt szemrehányást tettek az Egyesült Államok külpolitikája ellen ezekben az ügyekben. Egyelőre nem világos, hogy mekkora globális támogatottsággal rendelkezik ez a kezdeményezés.

Akció és elemzés
** Tagság szükséges **

 

3. A kormányzati sebezhetőség közzététele lendületet kap.

Múlt szerdán a DHS alá tartozó Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) kiadta a régóta várt kötelező érvényű működési irányelvet (BOD) a szövetségi kormány számára a sebezhetőségek közzétételére vonatkozó irányelvekről (VDP). A BOD 20-01 hat hónapot ad a kormányzati szerveknek, hogy „VDP-ket hozzanak létre, amelyek jogi lépéseket tesznek a jóhiszeműen cselekvő kutatókkal szemben, lehetővé teszik a résztvevők számára, hogy névtelenül nyújtsanak be sebezhetőségi jelentéseket, és legalább egy interneten elérhető rendszerre vagy szolgáltatásra terjedjenek ki”.[8]

Emlékeztetőül: a BOD-ok „kötelező utasítások a szövetségi, végrehajtó hatalmak, osztályok és ügynökségek felé a szövetségi információs és információs rendszerek védelme érdekében”, amelyeket a DHS bocsáthat ki.[9] Ez a konkrét BOD a DHS azon felismerésével jár, hogy „a sebezhetőség feltárására vonatkozó irányelvek növelik a kormány online szolgáltatásainak rugalmasságát”, és „a hatékony vállalati sebezhetőség-kezelési program alapvető elemei”.[10]

Azon ügynökségek számára, amelyek nem rendelkeznek nagy tapasztalattal a sebezhetőségre vonatkozó közzétételi szabályzat kidolgozásában, a BOD 20-01 hasznosan felvázolja a különféle követelményeket, útmutatást ad a megvalósításhoz, és még VDP-sablonra is hivatkozik. Míg a VDP létrehozása a szövetségi kormányban eddig lassú volt, ez a kötelező irányelv egyértelmű végrehajtási utasításokkal segíti a VDP elfogadását.

Akció és elemzés
** Tagság szükséges **

 

 

Felmérés

Kérjük, szánjon egy percet arra, hogy válaszoljon néhány kérdésre az e heti Hacking Healthcare-rel kapcsolatban az alábbi linken:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

Kongresszus -

 

9. Szeptember, kedd:

– Szenátus – Egészségügyi, Oktatási, Munkaügyi és Nyugdíjügyi Bizottság: Meghallgatások az oltások vizsgálatára, az életmentésre, a bizalom biztosítására és a közegészségügy védelmére összpontosítva.

 

Szerda, szeptember 10th:

– Nincs releváns meghallgatás

 

Szeptember 11., csütörtök:

– Nincs releváns meghallgatás

 

 

 

Nemzetközi Meghallgatások/találkozók -

 

– Nincs releváns meghallgatás

 

 

EU -

Szerda, szeptember 10th:

– Európai Parlament – ​​Környezetvédelmi, Közegészségügyi és Élelmiszerbiztonsági Bizottság

 

Szeptember 11., csütörtök:

– Európai Parlament – ​​Környezetvédelmi, Közegészségügyi és Élelmiszerbiztonsági Bizottság

 

 

 

 

Különféle termékek –

 

A Ransomware két állami szervezetet sújt a Közel-Keleten és Észak-Afrikában

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

Franciaország arra figyelmeztet, hogy az Emotet megtámadja a cégeket, az adminisztrációt

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-cégek-adminisztráció/

A Google mesterséges intelligenciáján alapuló mikroszkópok megváltoztathatják a rákdiagnosztikát

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-változás-rák-diagnosztika/168220/

 

 

 

Konferenciák, webináriumok és csúcstalálkozók -

 

https://h-isac.org/events/

 

Lépjen kapcsolatba velünk: kövesse a @HealthISAC címet, és írjon a contact@h-isac.org címre

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • Kapcsolódó források és hírek