Vai al contenuto principale

H-ISAC Hacking Sanità 9-1-2020

TLP White: Questa settimana, Hacking Healthcare inizia con un esame della pubblicazione della newsletter estiva sulla sicurezza informatica dell'Office of Civil Rights (OCR) dell'Health and Human Services (HHS), che sostiene che l'implementazione di un inventario delle risorse IT (information technology) può aiutare la conformità HIPAA. Successivamente, vi informiamo sulle recenti accuse mosse all'ex Chief Security Officer (CSO) di Uber Joe Sullivan per il suo ruolo nell'insabbiamento di una violazione dei dati del 2016 e prendiamo in considerazione cosa potrebbe fare il settore sanitario per disincentivare tale comportamento. Infine, analizziamo un attacco di minaccia interna con un lieto fine e prendiamo in considerazione cosa possono fare le organizzazioni per mitigare tali attacchi.

Come promemoria, questa è la versione pubblica del blog Hacking Healthcare. Per ulteriori analisi approfondite e opinioni, diventa membro di H-ISAC e ricevi la versione TLP Amber di questo blog (disponibile nel Member Portal).

 

Bentornati Hackerare l'assistenza sanitaria.

 

1. L'OCR propone l'inventario delle risorse IT come vantaggio per la conformità HIPAA.

Nell'agosto 25th, l'OCR ha rilasciato il suo Newsletter sulla sicurezza informatica estate 2020. In esso, l'OCR ha osservato che un aspetto comune in molte delle loro indagini è la mancanza di visibilità di un'organizzazione su dove sono archiviate le informazioni sanitarie protette elettroniche (ePHI). Questa mancanza di intuito crea impedimenti alle organizzazioni che cercano di valutare il rischio aziendale quando si tratta di conformità alla norma di sicurezza HIPAA. Secondo l'OCR, le organizzazioni dovrebbero seriamente considerare la creazione e il mantenimento di un "inventario aggiornato delle risorse IT" per ottenere una migliore visibilità su dove sono archiviate le ePHI, il che migliorerà la loro capacità di rimanere conformi all'HIPAA ed evitare sanzioni.[1]

Che cos'è un inventario delle risorse IT?

Nella sua newsletter, l'OCR definisce l'inventario delle risorse IT come "un elenco completo delle risorse IT di un'organizzazione con le relative informazioni descrittive", che può essere circoscritto in modo da includere hardware, software e dati.[2] Mentre un inventario di asset IT può essere circoscritto solo per includere hardware, software e dati correlati a ePHI, OCR nota che ci sono vantaggi significativi per coloro che lo circoscrivono per includere la totalità degli asset di un'organizzazione. Per coloro che cercano maggiori dettagli, la funzione Identify del NIST Cybersecurity Framework dedica un'intera categoria alla gestione degli asset, completa di riferimenti informativi a noti standard internazionali.

Come posso implementare un inventario delle risorse IT?

Sebbene questo processo possa essere condotto manualmente utilizzando soluzioni interne personalizzate esattamente in base alle specifiche della tua organizzazione, sul mercato sono disponibili numerose soluzioni di gestione delle risorse IT che possono essere valutate per soddisfare le esigenze specifiche delle entità sanitarie. Come nota OCR, queste soluzioni dedicate possono spesso includere utili funzionalità come "processi di scoperta e aggiornamento automatizzati per la gestione delle risorse e dell'inventario".[3]

Azione e analisi

**È richiesta l'iscrizione**

 

2. Il Dipartimento di Giustizia degli Stati Uniti (DOJ) accusa il CSO di aver occultato una violazione.

Nel 2016, Uber, la nota compagnia di trasporti, ha subito una grave violazione che ha compromesso i dati di milioni di utenti. Tuttavia, nonostante la portata della violazione, Uber ha rifiutato di rivelare l'incidente per un anno. La storia dietro il lungo ritardo e le conseguenze che ne sono derivate dovrebbero fungere da monito per qualsiasi organizzazione che decida di non onorare i propri obblighi di segnalare le violazioni alle autorità competenti.

Uber ha descritto la violazione del 2016 affermando che "due individui esterni all'azienda hanno avuto accesso in modo inappropriato ai dati degli utenti archiviati su un servizio di terze parti basato su cloud", che ha concesso loro l'accesso ad "alcune informazioni personali di 57 milioni di utenti Uber in tutto il mondo, tra cui "i nomi e i numeri di patente di circa 600,000 autisti negli Stati Uniti".[4] L'unico problema è che questa affermazione è stata fatta nel novembre 2017, un anno dopo la violazione.

Come spiega il Dipartimento di Giustizia, pare che il motivo del ritardo e dell'indagine finale del Federal Bureau of Investigation (FBI) fosse dovuto al fatto che l'allora CSO di Uber, Joe Sullivan, aveva coordinato un tentativo di "nascondere e nascondere alla FTC sia l'attacco informatico in sé sia ​​il fatto che la violazione dei dati aveva permesso agli hacker di ottenere milioni di dati associati agli utenti e agli autisti di Uber".[5]  Le azioni di Sullivan includono quella che è stata descritta dal procuratore degli Stati Uniti per il distretto settentrionale della California David Anderson come "un pagamento illegale di denaro per nascondere la verità" agli hacker, mascherato da ricompensa per aver scoperto un bug.[6] Uber è stata costretta a pagare 148 milioni di dollari in un accordo del 2018 e la scorsa settimana Sullivan è stato accusato di ostruzione alla giustizia e di mancata condanna per un crimine, tutti reati che potrebbero comportare una pena complessiva di 8 anni di prigione.[7]

Azione e analisi

**È richiesta l'iscrizione**

 

3. Il tentativo russo di compromettere Tesla sventato dall'azione di un insider.

La scorsa settimana, un nuovo rapporto del DOJ ha delineato quello che sembra essere un audace tentativo russo di compromettere la rete informatica di Tesla quest'estate. Fortunatamente, il presunto piano è stato sventato dalle azioni di un insider che ha diligentemente allertato le autorità e ha avviato un arresto. Sebbene alla fine abbia portato a un esito positivo per Tesla, la storia evidenzia una delle tante tattiche utilizzate da attori informatici malintenzionati e ribadisce quanto siano importanti i dipendenti per la sicurezza informatica di un'organizzazione.

Il 25 agosto, il Dipartimento di Giustizia ha pubblicato un comunicato stampa intitolato Un cittadino russo arrestato per cospirazione volta a introdurre malware nella rete informatica di un'azienda del Nevada che delineava a grandi linee il presunto piano criminale.[8] A metà luglio, Egor Igorevich Kriuchkov, cittadino russo, ha tentato di "reclutare un dipendente di un'azienda per introdurre un malware" nella rete aziendale.[9] L'azienda in questione era Tesla e l'obiettivo del malware era estrarre dati e tenerli in ostaggio.[10] È interessante notare che Kriuchkov si è effettivamente recato negli Stati Uniti per reclutare l'insider e discutere dell'operazione di persona. La recluta scelta, che a quanto si dice è un cittadino non statunitense di lingua russa, è stata probabilmente individuata con largo anticipo.[11]

Fortunatamente, l'insider ha diligentemente segnalato questo approccio malevolo all'azienda e l'FBI è stata prontamente coinvolta. Nelle settimane successive, con la guida dell'FBI, l'insider ha raccolto informazioni preziose sull'operazione russa, tra cui la loro infrastruttura, i processi e le procedure, nonché dettagli che hanno aiutato l'FBI a identificare gli individui coinvolti. Kriuchkov è stato da allora arrestato ed è in attesa di processo.

Azione e analisi

**È richiesta l'iscrizione**

 

 

 

 

Congresso -

 

Martedì 1 settembre:

– Nessuna udienza rilevante

 

Mercoledì 2 settembre:

– Nessuna udienza rilevante

 

Giovedì 3 settembre:

– Nessuna udienza rilevante

 

 

 

Internazionale Udienze/Riunioni -

 

– Nessuna udienza rilevante

 

 

UNIONE EUROPEA -

 

Mercoledì 2 settembre:

– Riunione della Commissione per l’ambiente, la sanità pubblica e la sicurezza alimentare

 

Giovedì 3 settembre:

– Riunione della Commissione per l’ambiente, la sanità pubblica e la sicurezza alimentare

 

 

Varie –

 

 

Sondaggio: quasi 3 americani su 4 vogliono una maggiore supervisione governativa sulla privacy dei dati

https://www.nextgov.com/analytics-data/2020/08/survey-nearly-3-4-americans-want-more-government-oversight-data-privacy/167983/

Il NIST chiede standard per migliorare le capacità forensi nel cloud

https://www.nextgov.com/it-modernization/2020/08/nist-calls-standards-improve-forensic-capabilities-cloud/168051/

I motori di ricerca potrebbero esporre le informazioni sanitarie dei pazienti, avverte l'ACR

https://healthitsecurity.com/news/search-engines-may-expose-patient-health-information-acr-warns

 

 

Contattaci: segui @HealthISAC e scrivi a contact@h-isac.org

 

Conferenze, webinar e summit -

— FERMARE L’EMORRAGIA DEI DATI: RIDURRE AL MINIMO IL RISCHIO DI TERZE PARTI NELL’ASSISTENZA SANITARIA CON RISKRECON – Webinar (9/1/2020)

https://h-isac.org/hisacevents/stop-hemorrhaging-data-minimize-third-party-risk-in-healthcare-by-riskrecon/

–Healthcare Cybersecurity Forum – Southeast – Webinar (9/9/2020)

https://endeavor.swoogo.com/Southeast_Virtual_Healthcare_Innovation_Cybersecurity_Forum

— Workshop virtuale sulla caccia alle minacce H-ISAC sponsorizzato da RiskIQ – Webinar (9/9/2020)

https://h-isac.org/hisacevents/h-isac-threat-hunting-workshop-sponsored-by-riskiq-members-only/

–H-ISAC European Council Webinar Series – Webinar (9/10/2020)

https://h-isac.org/hisacevents/h-isac-european-council-webinar-series-2/

–Come anticipare Maze e WastedLocker Ransomware di SafeBreach – Webinar (9/16/2020)

https://h-isac.org/hisacevents/how-to-stay-ahead-of-maze-and-wastelocker-ransomware-by-safebreach/

– Resilienza della sicurezza informatica nel mondo del COVID-19 – Webinar (9/18/2020)

https://h-isac.org/hisacevents/cybersecurity-resilience-in-the-world-of-covid-19/

— ENISA Trust Services Forum – CA Day 2020 – Schloßplatz Berlino, Germania (9/22/2020)

https://h-isac.org/hisacevents/enisa-trust-services-forum-ca-day-2020/

–Healthcare Cybersecurity Forum – Nordest – Webinar (9/22/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/427126

–Corso di formazione sulle minacce informatiche H-ISAC – Titusville, FL (9/22/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-titusville-fl/

– Workshop sulla sicurezza H-ISAC – Virtuale (9/23/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-forchheim-germany/

– Summit sulla sicurezza e sui rischi di terze parti – National Harbor, MD (9/28/2020-9/30/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840

–H-ISAC Briefing mensile sulle minacce per i membri – Webinar (9/29/2020)

https://h-isac.org/hisacevents/h-isac-monthly-member-threat-briefing-12/

— La conferenza MedTech – Virtuale (10/5/2020)

https://h-isac.org/hisacevents/the-medtech-conference-toronto/

— Forum sulla sicurezza informatica sanitaria – Houston, TX (10/8/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840

— Conferenza sulla sicurezza e la privacy NCHICA AMC – Durham, Carolina del Nord (10/21/2020-10/22/2020)

https://h-isac.org/hisacevents/nchica-amc-security-privacy-conference/

— Summit europeo H-ISAC 2020 – Santpoort-Noord, Paesi Bassi (10/20/2020-10/22/2020)

https://h-isac.org/summits/european-2020-summit/

–CYSEC 2020 – Dubrovnik, Croazia (10/27/2020 – 10/28/2020)

https://h-isac.org/hisacevents/cysec-2020-croatia/

–Forum sulla sicurezza informatica sanitaria – Pacific Northwest – Seattle, WA (10/28/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428886

–WORKSHOP SULLA SICUREZZA DEI DISPOSITIVI MEDICI VIRTUALI H-ISAC – Webinar (10/29/2020)

https://h-isac.org/hisacevents/h-isac-virtual-medical-device-security-workshop/

– Workshop sulla sicurezza H-ISAC – Seattle, WA – (10/29/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-seattle-wa-2/

–Forum sulla sicurezza informatica sanitaria – California – Los Angeles, CA (11/12/2020)

Forum sulla sicurezza informatica sanitaria – California

– Workshop sulla sicurezza H-ISAC – Parigi, Francia (11/18/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-paris-france/

–Vertice autunnale dell'H-ISAC – Phoenix, Arizona (11/30/2020-12/4/2020)

https://h-isac.org/summits/fall-summit-2020/

— Workshop sulla sicurezza H-ISAC – Praga, Repubblica Ceca (12/8/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-prague/

— Summit APAC 2021 – Singapore (3/23/2021-3/25/2021)

 

[1] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html

[2] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html

[3] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html

[4] https://www.uber.com/newsroom/2016-data-incident/

[5] https://www.justice.gov/usao-ndca/press-release/file/1306781/download

[6] https://www.zdnet.com/article/former-uber-cso-charged-for-2016-hack-cover-up/

[7] https://www.zdnet.com/article/former-uber-cso-charged-for-2016-hack-cover-up/

[8] https://www.justice.gov/opa/pr/russian-national-arrested-conspiracy-introduce-malware-nevada-companys-computer-network

[9] https://www.justice.gov/opa/pr/russian-national-arrested-conspiracy-introduce-malware-nevada-companys-computer-network

[10] https://news.clearancejobs.com/2020/08/26/company-insider-works-with-fbi-to-turn-the-tables-on-russias-million-dollar-attempt-to-hijack-the-network/

[11] https://news.clearancejobs.com/2020/08/26/company-insider-works-with-fbi-to-turn-the-tables-on-russias-million-dollar-attempt-to-hijack-the-network/

  • Risorse e notizie correlate