Vai al contenuto principale

H-ISAC Hacking Sanità 9-9-2020

TLP White: Questa settimana, Hacking Healthcare chiede ai lettori di iniziare a pensare agli incidenti cyber-fisici e a quanto la vostra organizzazione sia preparata ad affrontare le conseguenze. Poi, analizziamo il recente annuncio secondo cui la Cina sta svelando la propria iniziativa globale sulla sicurezza dei dati e cosa ci si potrebbe aspettare di conseguenza. Infine, esaminiamo brevemente come la nuova direttiva operativa vincolante del Department of Homeland Security (DHS), che richiede alle agenzie governative di adottare una politica di divulgazione delle vulnerabilità, influisce sul settore sanitario.

Come promemoria, questa è la versione pubblica del blog Hacking Healthcare. Per ulteriori analisi approfondite e opinioni, diventa membro di H-ISAC e ricevi la versione TLP Amber di questo blog (disponibile nel Member Portal).

 

Vi preghiamo di dedicarci un minuto del vostro tempo per rispondere ad alcune domande sugli argomenti di questa settimana di Hacking Healthcare. Pubblicheremo i risultati in un prossimo numero. Il link al sondaggio segue gli articoli qui sotto.

 

 

Bentornati Hackerare l'assistenza sanitaria.

 

1. È il momento di iniziare a pensare alla responsabilità ciberfisica.

Poiché la distinzione tra il mondo fisico e quello informatico si fa sempre più confusa, è probabile che le organizzazioni si trovino ad affrontare nuove sfide legate a nuove responsabilità, regole e normative per gli incidenti informatici e fisici. Secondo Gartner, è probabile che questi cambiamenti legali e normativi si verifichino rapidamente a causa della natura seria delle potenziali conseguenze.

Tra le previsioni più sorprendenti di Gartner c'è quella secondo cui il 75% dei CEO potrebbe essere ritenuto personalmente responsabile per incidenti cyber-fisici entro il 2024. Gartner prevede che sarà sempre più difficile per i CEO "dichiarare ignoranza o ritirarsi dietro polizze assicurative".[1] Inoltre, prevedono che ci sarà un rapido aumento degli incidenti cyber-fisici a causa della mancanza di pianificazione e di spesa in quest'area. La cosa più preoccupante è la loro analisi secondo cui l'impatto finanziario degli incidenti cyber-fisici che causano vittime mortali supererà i 50 miliardi di dollari entro il 2023.[2]

Gartner ha anche citato la preoccupazione che molte organizzazioni non siano pienamente consapevoli di tutti i sistemi cyber-fisici che hanno già implementato. Nel commentare la necessità di affrontare queste problematiche, il vicepresidente della ricerca di Gartner, Katell Thielemann, ha invitato i leader della tecnologia ad aiutare i CEO a comprendere la minaccia degli incidenti cyber-fisici e la necessità di stabilire un "Operational Resilience Management (ORM) oltre la sicurezza informatica incentrata sulle informazioni".[3]

Azione e analisi
** È richiesta l'iscrizione **

 

2. La Cina lancia la sua iniziativa globale per la sicurezza dei dati.

Martedì mattina è stato annunciato che la Cina intende lanciare un'iniziativa globale sulla sicurezza dei dati. Secondo il Global Times, questa iniziativa è pubblicizzata come un potenziale standard mondiale per la sicurezza dei dati e sostiene di affrontare alcune delle preoccupazioni spesso citate che governi e aziende hanno avuto riguardo alla privacy e alla sicurezza dei dati in Cina.[4]

Il Global Times riporta che l'iniziativa è composta da otto proposte. Il reportage suggerisce che l'iniziativa include o supporta i seguenti punti:[5], [6]

  • Gli Stati [dovrebbero] gestire la sicurezza dei dati in modo completo, obiettivo e basato su prove
  • [Opposizione] alle attività ICT che utilizzano i dati per condurre attività che compromettono la sicurezza nazionale e gli interessi di altri stati
  • [Opposizione] alla sorveglianza di massa contro altri stati
  • Gli Stati non dovrebbero richiedere alle aziende nazionali di archiviare i dati generati e ottenuti all'estero nel proprio territorio
  • Gli Stati dovrebbero rispettare la sovranità, la giurisdizione e la governance dei dati degli altri Stati e qualsiasi accordo bilaterale di accesso ai dati non dovrebbe violare la sovranità giudiziaria e la sicurezza dei dati di uno Stato terzo.
  • I fornitori di prodotti e servizi ICT non devono installare backdoor nei loro prodotti e servizi per ottenere illegalmente dati degli utenti o controllare o manipolare i sistemi e i dispositivi degli utenti.
  • Le aziende ICT non dovrebbero perseguire interessi illegittimi sfruttando la dipendenza degli utenti dai loro prodotti, né costringerli ad aggiornare i loro sistemi e dispositivi

Zhao Lijian, portavoce del Ministero degli Esteri cinese, avrebbe dichiarato che “l’iniziativa mira a salvaguardare la sicurezza globale dei dati e della catena di fornitura, promuovere lo sviluppo dell’economia digitale e fornire un modello per la formulazione di regole globali”.[7] Inoltre, si dice che i funzionari del governo cinese abbiano fatto diversi rimproveri appena velati alla politica estera degli Stati Uniti su queste questioni. Al momento non è chiaro quanto sostegno globale esista per questa iniziativa.

Azione e analisi
** È richiesta l'iscrizione **

 

3. La divulgazione delle vulnerabilità governative riceve un impulso.

Mercoledì scorso, la Cybersecurity and Infrastructure Security Agency (CISA) del DHS ha rilasciato una tanto attesa Direttiva Operativa Vincolante (BOD) sulle politiche di divulgazione delle vulnerabilità (VDP) per il governo federale. La BOD 20-01 concede alle agenzie governative sei mesi per "stabilire VDP che rinuncino ad azioni legali contro i ricercatori che agiscono in buona fede, consentano ai partecipanti di inviare report sulle vulnerabilità in forma anonima e coprano almeno un sistema o servizio accessibile tramite Internet".[8]

Si ricorda che i BOD sono “una direttiva obbligatoria rivolta al governo federale, al ramo esecutivo, ai dipartimenti e alle agenzie allo scopo di salvaguardare le informazioni e i sistemi informativi federali” che può essere emessa dal DHS.[9] Questo particolare BOD nasce dal riconoscimento da parte del DHS che "le policy di divulgazione delle vulnerabilità migliorano la resilienza dei servizi online del governo" e sono "un elemento essenziale di un programma efficace di gestione delle vulnerabilità aziendali".[10]

Per le agenzie che non hanno molta esperienza nella stesura di una policy di divulgazione delle vulnerabilità, BOD 20-01 delinea utilmente i vari requisiti, fornisce indicazioni sull'implementazione e persino link a un modello VDP. Sebbene l'istituzione del VDP nel governo federale sia stata finora lenta, questa direttiva obbligatoria con chiare istruzioni di implementazione dovrebbe aiutare ad accelerare l'adozione del VDP.

Azione e analisi
** È richiesta l'iscrizione **

 

 

Indagine

Vi preghiamo di dedicare un minuto per rispondere ad alcune domande sull'Hacking Healthcare di questa settimana, visitando questo link:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

Congresso -

 

Martedì, settembre 9th:

– Senato – Commissione per la salute, l’istruzione, il lavoro e le pensioni: audizioni per esaminare i vaccini, concentrandosi sul salvataggio di vite umane, garantendo la fiducia e proteggendo la salute pubblica.

 

Mercoledì, settembre 10th:

– Nessuna udienza rilevante

 

Giovedì 11 settembre:

– Nessuna udienza rilevante

 

 

 

Internazionale Udienze/Riunioni -

 

– Nessuna udienza rilevante

 

 

UNIONE EUROPEA -

Mercoledì, settembre 10th:

– Parlamento europeo – Commissione per l’ambiente, la sanità pubblica e la sicurezza alimentare

 

Giovedì 11 settembre:

– Parlamento europeo – Commissione per l’ambiente, la sanità pubblica e la sicurezza alimentare

 

 

 

 

Varie –

 

Il ransomware colpisce due organizzazioni statali in Medio Oriente e Nord Africa

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

La Francia mette in guardia contro gli attacchi di Emotet alle aziende e all'amministrazione

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-aziende-amministrazione/

I microscopi alimentati dall'intelligenza artificiale di Google potrebbero cambiare la diagnosi del cancro

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-cambiamento-diagnostica-cancro/168220/

 

 

 

Conferenze, webinar e summit -

 

https://h-isac.org/events/

 

Contattaci: segui @HealthISAC e scrivi a contact@h-isac.org

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • Risorse e notizie correlate