Health-ISAC Hacking Healthcare 5

Ezen a héten a Hacking Healthcare™ a mesterséges intelligencia kockázatával, biztonságával és biztonságával kapcsolatos új fejleményekre összpontosít. Különösen az új Nemzetbiztonsági Minisztérium (DHS) létrehozását bontjuk le) Mesterséges Intelligencia Biztonsági és Biztonsági Tanácsa majd tekintse át az új DHS-útmutatót Biztonsági és biztonsági irányelvek kritikus infrastruktúrák tulajdonosai és üzemeltetői számára.

Emlékeztetőül: ez a Hacking Healthcare blog nyilvános verziója. Ha további mélyreható elemzést és véleményt szeretne kapni, legyen a H-ISAC tagja, és megkapja a blog TLP Amber verzióját (elérhető a tagportálon).

Üdvözöljük újra a Hacking Healthcare™ szolgáltatásban.

Health-ISAC Americas hobbi gyakorlat 2024

A Health-ISAC ismét felpörgeti az előkészületeket éves amerikai hobbi gyakorlatunkra! Az új Health-ISAC tagok számára a Hobby Exercise egy éves egészségügyi és közegészségügyi (HPH) esemény, amelynek célja, hogy bevonja az egészségügyi szektort és a stratégiai partnereket a jelentős biztonsági és ellenálló képességi kihívásokba. Átfogó célunk, hogy tájékoztatást adjunk és lehetőséget biztosítsunk a szervezet folyamatos fejlesztésére, miközben növeljük az egészségügyi szektor ellenálló képességét.

A következő link a tavalyi hobbi gyakorlatok cselekvés utáni jelentéséhez jó áttekintést nyújt arról, hogy milyen interakciókat és értéket várhat az idei eseménytől:

https://h-isac.org/hobby-exercise-2023-after-action-report/

Az idei gyakorlatra június 6-án kerül sor a Venable LLPs washingtoni irodájában. Kérjük a tagokat, hogy jelezzék részvételi szándékukat az alábbi linken:

https://portal.h-isac.org/s/community-event?id=a1Y7V00000ZmFVwUAN

A 22. nemzetbiztonsági memorandum felülvizsgálja a kritikus infrastruktúrákra vonatkozó amerikai megközelítést

Április 30-án a Biden-kormányzat közzétette a Nemzetbiztonsági memorandum 22 (NSM-22): a létfontosságú infrastruktúrák biztonságáról és ellenálló képességéről.^[I] Ez a memorandum egy sor olyan végrehajtói memorandum legújabb változata, amelyek célja annak meghatározása, hogy mi számít az Egyesült Államok létfontosságú infrastruktúrájának, és felvázolja, hogy a kormány miként kívánja javítani a kritikus infrastruktúra biztonságát és rugalmasságát. Ahogy az várható volt, az NSM-22 közvetlen és közvetett hatással lesz az egészségügyi és közegészségügyi (HPH) szektorra.

Mi az NSM-22, és mit helyettesít? 

2013 óta az Egyesült Államok szövetségi kormánya a 21. elnökpolitikai irányelvet (PPD-21) tekinti állandó útmutatásnak arra vonatkozóan, hogy mi minősül kritikus infrastruktúrának az Egyesült Államokban, hogyan kell az Egyesült Államok kormányának gondoskodnia az infrastruktúra biztonságáról, valamint felvázolja. a magánszektor elképzelt szerepe. Noha ez a végrehajtói memorandum nem rendelkezik jogi erővel, a múlt hétig soha nem hatályon kívül helyezték vagy lecserélték.

Ez a frissítés a HR6395, a William M. (Mac) Thornberry 2021-es pénzügyi évre vonatkozó nemzeti védelmi engedélyezési törvény elfogadásával indult, amely a DHS titkárát követelte meg az ágazati kockázatkezelési ügynökségek (SRMA) vezetőivel egyeztetve. hogy „felülvizsgálja a létfontosságú infrastruktúrák védelmének jelenlegi kereteit…” és jelentést nyújt be az esetleges felülvizsgálatokról.^[II] A jelentés tartalmát Biden elnök aláírta, és azon dolgoznak, hogy az NSM-22 legyen.

NSM-22 Tartalom

A nagyjából 35 oldalas NSM-22 a következőket nyújtja „[az Egyesült Államok] nemzeti egységének előmozdítása érdekében a biztonságos, működő és ellenálló kritikus infrastruktúra megerősítésére és fenntartására”:^[III]

• Nyolc politikai alapelv;
• Nyolc célkitűzés;
• A szövetségi osztályok és ügynökségek szerepének és felelősségének tisztázása;
• A kockázatkezelés, valamint a biztonság és az ellenálló képesség minden fenyegetést/veszélyt figyelembe vevő megközelítésének előmozdítása;
• Minimális biztonsági és rugalmassági követelmények előírása a kritikus infrastrukturális ágazatok számára;
• a nemzeti infrastrukturális kockázatkezelési terv iránya;
• A rendszerszinten fontos entitások (SIE) megismétlése;
• A hírszerzési adatok megosztásának és információcseréjének megerősítése;
• A létfontosságú infrastruktúra, a kijelölt kritikus infrastruktúra-szektorok és a felelős SRMA meghatározásának megismétlése; és
• Megvalósítási terv a szövetségi entitások számára a fent leírtak végrehajtására.

Akció és elemzés
**A Health-ISAC tagsággal együtt**

Közelgő nemzetközi meghallgatások/találkozók

• EU
  1. Jelenleg nincsenek releváns találkozók
• US
  1. Jelenleg nincsenek releváns találkozók
• A világ többi része
  1. Jelenleg nincsenek releváns találkozók

^[I]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[II] https://www.congress.gov/bill/116th-congress/house-bill/6395

^[III]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Iv] Elnöki határozati irányelv/NSC-63

^[V] Elnöki politikai irányelv 21

^[Vi] „Olyan fizikai vagy virtuális rendszerek és eszközök, amelyek annyira létfontosságúak az Egyesült Államok számára, hogy az ilyen rendszerek és eszközök működésképtelensége vagy megsemmisülése gyengítő hatást gyakorolna a nemzetbiztonságra, a nemzetgazdaság biztonságára, a nemzeti közegészségre vagy biztonságra, vagy ezek bármely kombinációjára. számít.”

^[Vii]https://www.washingtonpost.com/politics/2023/10/16/biden-administration-goes-back-drawing-board-water-cybersecurity/

^[Viii]https://www.cisa.gov/cross-sector-cybersecurity-performance-goals#:~:text=A%20common%20set%20of%20protections,known%20risks%20and%20adversary%20techniques

^[Ix] https://hphcyber.hhs.gov/performance-goals.html

^[X]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xi]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xii] https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

• Kapcsolódó források és hírek
• Health-ISAC Hacking Healthcare 5
• Egy CISO kézikönyve, 2. kötet – 0Auth token sebezhetőség, amely Salesforce incidenst okozott
• Havi hírlevél – 2026. május
• Quarterly Threat Insights – 1 I. negyedév
• Mit tár fel a Stryker támadás az orvostechnikai eszközök biztonságáról?
• A mesterséges intelligencia biztonságos használatára vonatkozó irányelvek és biztosítékok
• A HSCC bemutatta a harmadik féltől származó mesterséges intelligencia kockázatkezelési és ellátási lánc átláthatósági útmutatóját
• Az Anthropic bemutatja a varázslatos 0-napos számítógépistent
• Célkeresztben az egészségügy: Iránhoz köthető kiberfenyegetések kockázatot jelentenek a kórházak, az orvostechnikai eszközök és az ellátási láncok számára
• A Health-ISAC hiányosságokat jelez a kiberbiztonság és az incidensekre való reagálás terén…