Farðu á aðalefni

Health-ISAC Hacking Healthcare 2-23-2021

TLP White: Í þessari viku, Að hakka heilsugæslu byrjar á því að varpa ljósi á nýja skýrslu sem bendir til þess að heilbrigðisstofnanir kunni ekki alltaf að meta netöryggisáhættuna sem tengist samskiptum þeirra við þriðja aðila viðskiptafélaga. Síðan skoðum við stuttlega hvernig Frakkland hefur vitnað í netárásir á sjúkrahús sín sem hvata að nýju 1 milljarði evra frumkvæði til að bæta heildar vistkerfi netöryggis síns.

Til að minna á, þetta er opinber útgáfa af Hacking Healthcare blogginu. Til að fá frekari ítarlega greiningu og álit skaltu gerast meðlimur H-ISAC og fá TLP Amber útgáfuna af þessu bloggi (fáanlegt á aðildargáttinni.)

 

Verið velkomin aftur til Að hakka heilsugæslu.

 

1. Ný skýrsla leggur áherslu á áhættu þriðja aðila fyrir heilbrigðisstofnanir

Stofnanir í heilbrigðisgeiranum, rétt eins og aðilar í öðrum geirum, reiða sig mjög á margs konar viðskiptafélaga þriðja aðila til að sinna fjölmörgum viðskiptaþörfum sínum á skilvirkan og hagkvæman hátt. Því miður, jafnvel fyrir stofnanir sem hafa fjármagn og sérfræðiþekkingu til að innleiða bestu starfsvenjur á netöryggi sjálfar, geta viðskiptafélagar þriðja aðila kynnt áhættu sem erfitt er að stjórna. Eins og ný skýrsla frá CI Security leggur áherslu á, gæti heilsugæslustofnanir í auknum mæli verið skotmark fyrir netárásir í gegnum tengingar þeirra við og treysta á þriðja aðila viðskiptafélaga.

2020 Skýrsla um gagnabrot í heilbrigðisþjónustu

CI Security gaf út sína 2020 Skýrsla um gagnabrot í heilbrigðisþjónustu í þessum mánuði. Í ritinu var greint frá því að gagnabrotum í heilbrigðisþjónustu fjölgaði á seinni hluta ársins og að „næstum þrír fjórðu allra brota [voru] bundnir við þriðja aðila.“[1] CI Security tók fram að þessi tilkynnta aukning kom ekki endilega á óvart, þar sem fyrstu áskoranir við að bregðast við COVID-19 höfðu áhrif á öryggisvenjur og rannsóknarúrræði. Höfundarnir voru hins vegar „hræddir“ vegna „sýnilegrar breytinga á aðferðum meðal netglæpamanna, sem hafa þróað aðferðir sínar til að ráðast á mjúkan kvið heilbrigðiskerfisins – viðskiptafélaga þriðja aðila.[2]

Í skýrslunni er haldið áfram að taka eftir fjölbreyttri þjónustu sem var í hættu, þar á meðal innheimtu, endurgreiðslur tryggingar og fjáröflunarhugbúnað. CI Security skýrir að minnsta kosti hluta þessarar breytingar til líkanna á því að þriðju aðilar séu óöruggir, en einnig vegna þess að þeir hafa möguleika á að smita mörg skotmörk og geta verið tilbúnir til að borga stærra lausnargjald sjálfir.[3]

Aðgerðir og greining
**Aðild krafist**

 

2. Netárásir á franska sjúkrahúsinu hjálpa til við að fjárfesta í upplýsingatækni

Árásir á heilbrigðisgeirann undanfarna mánuði hafa ekki farið fram hjá frönskum stjórnvöldum. Í síðustu viku gaf Emmanuel Macron Frakklandsforseti til kynna að hann hygðist efla netöryggisviðbúnað í landi sínu með því að fjárfesta „1 milljarð evra í innlenda netöryggisstefnu“.[4] Brýnt er að flutningurinn hafi verið aukinn af nýlegum netárásum á sjúkrahús í Dax og Villefranche-sur-Saône.[5]

Sagt er að sjúkrahúsin tvö hafi orðið fyrir barðinu á lausnarhugbúnaði sem „hafði áhrif á sjúkraskrár, skurðaðgerðartæki, lyfjastjórnun, tíma, [og] úthlutun rúms og læknis,“ og neyddist til að fresta aðgerðum sjúklinga.[6] Þrátt fyrir aðstoð frönsku upplýsingakerfaöryggisstofnunarinnar (ANSSI) er ekki búist við að reksturinn fari aftur í eðlilegt horf fyrr en eftir nokkrar vikur.[7] Sagt er að Macron hafi vísað til árásanna sem sönnunar fyrir nauðsynlegri fjárfestingu í netöryggi Frakklands.

Það er ekki alveg ljóst hvernig þessum milljarði evra verður varið, en fyrstu skýrslur benda til þess að „1 milljónum evra [verði varið] til að fjármagna rannsóknir og hjálpa fyrirtækjum að bæta tækni sína og þróa öflugri netvarnarkerfi.[8] Óstaðfestar fregnir herma að 350 milljónir evra verði tileinkaðar sjúkrahúsum.[9] Viðbótarstuðningur á þessu sviði mun líklega einnig koma frá nýrri netöryggismiðstöð opnuð í París sem mun styðja 1,500 einstaklinga frá opinberum aðilum og einkaaðilum.

Aðgerð og greining
**Aðild krafist**

 

Congress -

 

Þriðjudaginn 23. febrúar:

— Engar málefnalegar yfirheyrslur

 

Miðvikudaginn 24. febrúar:

— Engar málefnalegar yfirheyrslur

 

Fimmtudagur 25. febrúar:

– Fulltrúadeildin: Nefnd um fjárveitingar – Undirnefnd um vinnu-, heilbrigðis- og mannþjónustudeildir, menntamál og tengdar stofnanir:  Tilbúið eða ekki: US Public Health Infrastructure

 

 

alþjóðavettvangi Yfirheyrslur/fundir -

 

— Engar málefnalegar yfirheyrslur

 

 

ESB -

 

Fimmtudagur 25. febrúar:

– Evrópuþingið – Umhverfisnefnd Lýðheilsu og matvælaöryggis: Styrkt hlutverk Lyfjastofnunar Evrópu í hættuviðbúnaði og stjórnun lyfja og lækningatækja

 

 

 

 

 

Ráðstefnur, vefnámskeið og leiðtogafundir -       

 

 

https://h-isac.org/events/

 

Hafðu samband: fylgdu @HealthISAC og sendu tölvupóst á contact@h-isac.org

 

[1] https://www.healthcareitnews.com/news/business-associates-were-largely-blame-2020-breaches

[2] 2020 gagnabrotsskýrsla í heilbrigðisþjónustu: Greining á tilkynningum um brot á HHS árið 2020. Critical Insight af Critical Security. 2021

[3] 2020 gagnabrotsskýrsla í heilbrigðisþjónustu: Greining á tilkynningum um brot á HHS árið 2020. Critical Insight af Critical Security. 2021

[4] https://www.healthcareitnews.com/news/emea/emmanuel-macron-pledges-1bn-cybersecurity-after-hospital-ransomware-attacks

[5] https://www.healthcareitnews.com/news/emea/emmanuel-macron-pledges-1bn-cybersecurity-after-hospital-ransomware-attacks

[6] https://www.healthcareitnews.com/news/emea/emmanuel-macron-pledges-1bn-cybersecurity-after-hospital-ransomware-attacks

[7] https://www.healthcareitnews.com/news/emea/emmanuel-macron-pledges-1bn-cybersecurity-after-hospital-ransomware-attacks

[8] https://www.thelocal.fr/20210219/macron-announces-1bn-security-package-after-cyberattacks-on-french-hospitals

[9] https://www.hstoday.us/subject-matter-areas/cybersecurity/france-invests-e350-million-for-hospital-cybersecurity-after-attacks-increase/

Sannvottun: Heilsu-ISAC leiðarvísir fyrir CISOs
Health-ISAC ræður framkvæmdastjóra viðskiptaþróunar