Farðu á aðalefni

Health-ISAC Hacking Healthcare 11-20-2015

Í þessari viku fjallar Hacking Healthcare® hjá Health-ISAC® um nýlega samþykkta frumvarpslöggjöf í Bretlandi sem myndi uppfæra reglugerðir landsins um net- og upplýsingaöryggi (NIS). Vertu með okkur þegar við skoðum hvað breska ríkisstjórnin vonast til að ná fram með nýju löggjöfinni og hvernig hún gæti haft áhrif á heilbrigðisgeirann.

Til að minna á, þetta er opinber útgáfa af Hacking Healthcare blogginu. Til að fá frekari ítarlega greiningu og álit skaltu gerast meðlimur H-ISAC og fá TLP Amber útgáfuna af þessu bloggi (fáanlegt á aðildargáttinni.)

 

PDF útgáfa: 

 

Textaútgáfa:

Velkomin aftur til Hacking Healthcare®.

Breyting á reglugerð um net- og upplýsingaöryggi í Bretlandi kynnt fyrir þinginu 

Yfirlit

Áður en Bretland gekk úr Evrópusambandinu (ESB), eins og öll aðildarríki ESB, samþykkti Bretland reglugerðir og tilskipanir ESB, svo sem almennu persónuverndarreglugerðina (GDPR), með því að innleiða þær í landslög. Hins vegar, frá því að Bretland gekk úr ESB árið 2020, er það ekki lengur bundið af stefnu ESB og hefur þurft að móta sína eigin stefnu í málum eins og netöryggi og friðhelgi einkalífs. Afleiðing þessarar sundrunar hefur leitt til þess að Bretland hefur hægt og rólega uppfært lög og reglugerðir frá ESB-tímanum, oft sótt innblástur í og ​​verið nokkuð á eftir uppfærslum ESB á reglugerðum sínum.

Meðal mikilvægustu reglugerða frá ESB um netöryggi í Bretlandi eru reglugerðir um net- og upplýsingakerfi frá 2018 (NIS). Eins og við er að búast var innleiðing NIS í Bretlandi mjög svipuð og í öðrum aðildarríkjum ESB. Reglugerðirnar þjónuðu til að „[veita] lagalegar ráðstafanir til að auka almennt öryggisstig (bæði netöryggi og líkamlegt viðnám) net- og upplýsingakerfa sem eru mikilvæg fyrir veitingu stafrænnar þjónustu (netmarkaðir, leitarvélar, skýjatölvuþjónustu) og nauðsynlegrar þjónustu (samgöngur, orka, vatn, heilbrigðisþjónusta og stafræn innviðaþjónusta).“[I]

Þótt ESB hafi ýtt áfram með uppfærslu á netöryggiskerfinu fyrir árum síðan, en full innleiðing þess sé í gangi og á eftir áætlun, er Bretland fyrst núna að takast á við uppfærslu á netöryggiskerfinu, og nýjasta þróunin er lögð fram fyrir þingið frumvarp um netöryggi og viðnámsþrótt.[Ii] Þetta frumvarp myndi endurmóta upprunalega upplýsingaöryggiskerfið til að takast betur á við tækniframfarir, síbreytilegt ógnarumhverfi og bæta upp nokkra af göllum fyrstu útgáfunnar.

 

Hvers vegna uppfærslan?

Eins og áður hefur komið fram hefur margt breyst frá árinu 2018 og tækniþróun, síbreytilegt ógnarumhverfi, annmarkar á fyrstu útgáfu upplýsinga- og öryggi netsins og frjálsar hendur til að móta stefnu sem er sértæk fyrir Bretland hefur hvatt til þessarar uppfærslu. Nánar tiltekið mun uppfærslan fjalla um:

  • Tækniþróun: Tækniþróun eins og aukin áhersla gagnavera, þjónustuaðila og stórra álagsstýringa hefur hvatt til endurskoðunar á gildissviði netöryggisreglugerðanna til að ná yfir nýrri tækni.[iii]
  • Þróun ógnunarumhverfis: Í samantekt sinni á frumvarpinu útskýrði vísinda-, nýsköpunar- og tækniráðuneytið (DSIT) að „[s]íðasta ár var Bretland það land í Evrópu sem mest var beitt árásum á“ og vitnaði í tölfræði sem leiddi í ljós að „95% af mikilvægum innviðastofnunum Bretlands upplifðu gagnaleka árið 2024.“[Iv] Að auki sagði DSIT að „þar sem ógnin hefur orðið háværari, tíðari og flóknari, hefur varnir okkar orðið tiltölulega veikari.“[V]
  • Annmarkar á net- og upplýsingaöryggiskerfinu: Tvær eftirframkvæmdarúttektir (PIR) á reglugerðum um net- og upplýsingaöryggiskerfi voru gerðar árið 2020.[Vi] og 2022,[Vii] af bresku ríkisstjórninni. Þessar úttektir leiddu í ljós nokkra galla í reglugerðum um upplýsingaöryggi (NIS), þar á meðal niðurstöður um að „þótt stofnanir væru að gera ráðstafanir til að tryggja öryggi netkerfa sinna og upplýsingakerfa, þurfti að hraða umbótum“ og að NIS „virkaði ekki eins og til stóð á nokkrum lykilsviðum, svo sem umfangi reglugerðanna og fáum atvikaskýrslum sem sendar voru inn.“[viii]

 

Hvernig mun CSRB taka á þessum málum?

Við munum ekki fjalla um allar fyrirhugaðar breytingar á CSRB, sem telur 100 blaðsíður, sérstaklega þar sem margar þeirra eiga ekki endilega við um heilbrigðisgeirann. Samt sem áður lýsir DSIT CSRB á hærra plani sem byggðu upp í kringum þrjár meginstoðir:

  • Stækkað gildissviðCSRB myndi víkka út umfang net- og upplýsingatækni til að ná betur yfir „þjónustu sem er svo nauðsynleg að röskun hennar myndi hafa áhrif á daglegt líf okkar.“ Auk gagnavera, þjónustuaðila og stórra álagsstýringa er áhugaverðasta viðbótin „tilnefndir mikilvægir birgjar“, sem við munum fjalla um hér að neðan.
  • Árangursríkir eftirlitsaðilarCSRB myndi veita eftirlitsaðilum sterkari verkfærakistu til að tryggja að nýju reglugerðirnar um upplýsingaöryggi verði samþykktar og framfylgt. Þar á meðal væri nýtt kerfi fyrir tilkynningu atvika, ný upplýsingamiðlunarkerfi og vernd, og ný viðurlög við brotum á reglugerðum.
  • Virkja seigluÖryggis- og viðnámsöryggisráðið (CSRB) myndi innihalda verkfæri sem gera bresku ríkisstjórninni kleift að aðlagast á virkari hátt að síbreytilegum ógnum og nýjum göllum. Einkum myndi CSRB gera kleift að setja afleidda löggjöf sem gæti fært „fleiri geira undir gildissviðið eða uppfært og kynnt nýjar kröfur um öryggi og seiglu“ og veitt ríkisstjórninni ný völd sem myndu gera þeim kleift að „fyrirskipa eftirlitsaðilum eða eftirlitsskyldum aðilum að grípa til markvissra og hlutfallslegra aðgerða til að bregðast við yfirvofandi ógnum sem stofna þjóðaröryggi Bretlands í hættu.“[Ix]

 

Leið áfram 

CSRB hefur nýlega verið lagt fram í neðri deild breska þingsins og á enn langt í land með að það verði samþykkt.

 

Aðgerð og greining
**Fylgd með Health-ISAC aðild**

 

[i] https://www.gov.uk/government/collections/nis-directive-and-nis-regulations-2018 

[ii] https://bills.parliament.uk/bills/4035/publications

[iii] Stórir álagsstýringar eru skilgreindar sem „stofnanir sem stjórna 300 MW af rafmagni eða meira til að stjórna neyslutækjum fjartengt“

[iv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[v] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[vi] https://www.gov.uk/government/publications/review-of-the-network-and-information-systems-regulations

[vii] https://www.gov.uk/government/publications/second-post-implementation-review-of-the-network-and-information-systems-regulations-2018

[viii] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[ix] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[x] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xiii] Eftirlitsaðilar í þessu samhengi myndu fela í sér tilnefnda mikilvæga birgja samkvæmt DSIT.

[xiv] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xviii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xix] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xx] Í skýringum fyrir CSRB eru dæmi um atvik sem tengjast forstöðu og ransomware.

[xxi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/incident-reporting

Þú verður að vera nýsköpunarsamur því netglæpamenn eru alltaf að vera nýsköpunarsamir.
Sambandsríki og AHA vara heilbrigðisgeirann við vaxandi ógn af völdum Akira, á ný