Loncat ke daftar isi utama

Peretasan H-ISAC di Bidang Kesehatan 9-9-2020

TLP White: Minggu ini, Hacking Healthcare meminta para pembaca untuk mulai memikirkan insiden siber-fisik dan seberapa siap organisasi Anda menghadapi konsekuensinya. Selanjutnya, kami akan membahas pengumuman terbaru bahwa Tiongkok akan meluncurkan inisiatif keamanan data global mereka sendiri dan apa yang mungkin diharapkan sebagai hasilnya. Terakhir, kami akan membahas secara singkat bagaimana Arahan Operasional Mengikat baru dari Departemen Keamanan Dalam Negeri (DHS), yang mengharuskan lembaga pemerintah untuk mengadopsi Kebijakan Pengungkapan Kerentanan, memengaruhi sektor perawatan kesehatan.

Sebagai pengingat, ini adalah versi publik dari blog Hacking Healthcare. Untuk analisis dan opini yang lebih mendalam, jadilah anggota H-ISAC dan terima versi TLP Amber dari blog ini (tersedia di Portal Anggota.)

 

Mohon luangkan waktu Anda sebentar untuk menjawab beberapa pertanyaan tentang topik Hacking Healthcare minggu ini. Kami akan menerbitkan hasilnya dalam edisi mendatang. Tautan survei mengikuti artikel di bawah ini.

 

 

Selamat datang kembali Peretasan Layanan Kesehatan.

 

1. Saatnya Mulai Memikirkan Tanggung Jawab Siber-Fisik.

Seiring dengan makin kaburnya perbedaan antara dunia maya dan dunia fisik, organisasi cenderung menghadapi tantangan baru terkait kewajiban, aturan, dan regulasi baru untuk insiden siber-fisik. Menurut Gartner, perubahan hukum dan regulasi ini cenderung terjadi dengan cepat karena sifat serius dari konsekuensi potensial.

Di antara prediksi Gartner yang paling mengejutkan adalah klaim bahwa 75% CEO dapat dimintai pertanggungjawaban pribadi atas insiden siber-fisik pada tahun 2024. Gartner memprediksi bahwa akan semakin sulit bagi CEO untuk "berpura-pura tidak tahu atau berlindung di balik polis asuransi."[1] Selain itu, mereka memperkirakan akan terjadi peningkatan tajam dalam insiden siber-fisik karena kurangnya perencanaan dan pengeluaran di area ini. Yang paling mengkhawatirkan adalah analisis mereka bahwa dampak finansial dari insiden siber-fisik yang mengakibatkan korban jiwa akan melampaui $50 miliar pada tahun 2023.[2]

Gartner juga menyebutkan kekhawatiran bahwa banyak organisasi tidak sepenuhnya menyadari semua sistem siber-fisik yang telah mereka terapkan. Dalam mengomentari perlunya mengatasi masalah ini, wakil presiden penelitian Gartner, Katell Thielemann, meminta para pemimpin teknologi untuk membantu para CEO memahami ancaman insiden siber-fisik dan perlunya membangun “Operational Resilience Management (ORM) di luar keamanan siber yang berpusat pada informasi.”[3]

Aksi & Analisis
** Keanggotaan diperlukan **

 

2. Tiongkok Meluncurkan Inisiatif Keamanan Data Globalnya.

Pada Selasa pagi, diumumkan bahwa Tiongkok bermaksud meluncurkan inisiatif keamanan data global. Menurut Global Times, inisiatif ini disebut-sebut sebagai standar keamanan data global yang potensial dan diduga akan mengatasi beberapa kekhawatiran yang sering dikutip pemerintah dan perusahaan terkait privasi dan keamanan data di Tiongkok.[4]

Global Times melaporkan bahwa inisiatif tersebut terdiri dari delapan proposal. Laporan tersebut menunjukkan bahwa inisiatif tersebut mencakup atau mendukung poin-poin berikut:[5], [6]

  • Negara-negara [harus] menangani keamanan data secara komprehensif, objektif dan berbasis bukti.
  • [Penentangan] terhadap aktivitas TIK yang menggunakan data untuk melakukan aktivitas yang merugikan keamanan dan kepentingan nasional negara lain
  • [Penentangan] terhadap pengawasan massal terhadap negara lain
  • Negara tidak boleh meminta perusahaan domestik untuk menyimpan data yang dihasilkan dan diperoleh di luar negeri di wilayah mereka sendiri
  • Negara harus menghormati kedaulatan, yurisdiksi dan tata kelola data negara lain, dan perjanjian akses data bilateral apa pun tidak boleh melanggar kedaulatan peradilan dan keamanan data negara ketiga.
  • Penyedia produk dan layanan TIK tidak boleh memasang pintu belakang (backdoor) pada produk dan layanan mereka untuk memperoleh data pengguna secara ilegal, atau mengendalikan atau memanipulasi sistem dan perangkat pengguna.
  • Perusahaan TIK tidak boleh mencari kepentingan yang tidak sah dengan memanfaatkan ketergantungan pengguna terhadap produk mereka, atau memaksa pengguna untuk memperbarui sistem dan perangkat mereka.

Zhao Lijian, juru bicara Kementerian Luar Negeri Tiongkok, diduga telah menyatakan bahwa “inisiatif tersebut bertujuan untuk menjaga keamanan data global dan rantai pasokan, mendorong pengembangan ekonomi digital, dan menyediakan cetak biru untuk perumusan aturan global.”[7] Selain itu, pejabat pemerintah Cina disebut-sebut telah melontarkan beberapa teguran terselubung terhadap kebijakan luar negeri Amerika Serikat terkait masalah ini. Saat ini belum jelas seberapa besar dukungan global terhadap inisiatif ini.

Aksi & Analisis
** Keanggotaan diperlukan **

 

3. Pengungkapan Kerentanan Pemerintah Mendapat Peningkatan.

Rabu lalu, Badan Keamanan Siber dan Keamanan Infrastruktur (CISA) di bawah DHS merilis Arahan Operasional Mengikat (BOD) yang telah lama ditunggu-tunggu tentang kebijakan pengungkapan kerentanan (VDP) untuk pemerintah federal. BOD 20-01 memberi waktu enam bulan kepada badan pemerintah untuk "membentuk VDP yang menolak tindakan hukum terhadap peneliti yang bertindak dengan itikad baik, memungkinkan peserta untuk mengirimkan laporan kerentanan secara anonim, dan mencakup setidaknya satu sistem atau layanan yang dapat diakses melalui internet."[8]

Sebagai pengingat, BOD adalah “arahan wajib kepada cabang eksekutif, departemen, dan lembaga federal untuk tujuan menjaga keamanan informasi federal dan sistem informasi” yang dapat dikeluarkan oleh DHS.[9] BOD khusus ini hadir dengan pengakuan DHS bahwa “kebijakan pengungkapan kerentanan meningkatkan ketahanan layanan daring pemerintah” dan merupakan “elemen penting dari program manajemen kerentanan perusahaan yang efektif.”[10]

Bagi lembaga yang tidak memiliki banyak pengalaman dalam menyusun kebijakan pengungkapan kerentanan, BOD 20-01 menguraikan berbagai persyaratan, memberikan panduan tentang penerapan, dan bahkan tautan ke templat VDP. Meskipun pembentukan VDP di pemerintah federal sejauh ini berjalan lambat, arahan wajib dengan instruksi penerapan yang jelas ini akan membantu mempercepat penerapan VDP.

Aksi & Analisis
** Keanggotaan diperlukan **

 

 

Survei

Silakan luangkan waktu satu menit untuk menjawab beberapa pertanyaan tentang Hacking Healthcare minggu ini dengan mengunjungi tautan ini:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

Kongres -

 

Selasa, 9th September:

– Senat – Komite Kesehatan, Pendidikan, Tenaga Kerja, dan Pensiun: Sidang untuk membahas vaksin, dengan fokus pada penyelamatan nyawa, memastikan kepercayaan, dan melindungi kesehatan masyarakat.

 

Rabu, 10th September:

– Tidak ada sidang yang relevan

 

Kamis, 11 September:

– Tidak ada sidang yang relevan

 

 

 

Internasional Sidang/Pertemuan -

 

– Tidak ada sidang yang relevan

 

 

EU -

Rabu, 10th September:

– Parlemen Eropa – Komite Lingkungan Hidup, Kesehatan Masyarakat, dan Keamanan Pangan

 

Kamis, 11 September:

– Parlemen Eropa – Komite Lingkungan Hidup, Kesehatan Masyarakat, dan Keamanan Pangan

 

 

 

 

Berbagai macam barang –

 

Ransomware menyerang dua organisasi milik negara di Timur Tengah dan Afrika Utara

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

Prancis peringatkan serangan Emotet terhadap perusahaan dan pemerintahan

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-perusahaan-administrasi/

Mikroskop yang Didukung AI Google Dapat Mengubah Diagnosis Kanker

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-perubahan-diagnostik-kanker/168220/

 

 

 

Konferensi, Webinar, dan KTT -

 

https://h-isac.org/events/

 

Hubungi kami: ikuti @HealthISAC, dan email di contact@h-isac.org

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • Sumber Daya & Berita Terkait