Salute-ISAC Hacking Healthcare 5-9-2024

Questa settimana, Hacking Healthcare™ si concentra sui nuovi sviluppi in merito a rischio, sicurezza e protezione dell'IA. In particolare, analizziamo l'istituzione del nuovo Department of Homeland Security (DHS) Consiglio per la sicurezza e la protezione dell'intelligenza artificiale e quindi rivedere le nuove linee guida del DHS Linee guida sulla sicurezza e la protezione per proprietari e operatori di infrastrutture critiche.

Come promemoria, questa è la versione pubblica del blog Hacking Healthcare. Per ulteriori analisi approfondite e opinioni, diventa membro di H-ISAC e ricevi la versione TLP Amber di questo blog (disponibile nel Member Portal).

Bentornati su Hacking Healthcare™.

Esercizio di hobby Health-ISAC Americas 2024

L'Health-ISAC sta nuovamente intensificando i preparativi per il nostro annuale Americas Hobby Exercise! Per i nuovi membri dell'Health-ISAC, l'Hobby Exercise è un evento annuale di Healthcare and Public Health (HPH) progettato per coinvolgere il settore sanitario e i partner strategici su importanti sfide di sicurezza e resilienza. L'obiettivo generale è informare e fornire opportunità di miglioramento continuo organizzativo, aumentando al contempo la resilienza del settore sanitario.

Il seguente collegamento al Hobby Exercise After Action Report dell'anno scorso fornisce una buona panoramica dei tipi di interazione e valore che ci si può aspettare dall'evento di quest'anno:

https://h-isac.org/hobby-exercise-2023-after-action-report/

L'esercitazione di quest'anno si terrà il 6 giugno presso l'ufficio di Venable LLP a Washington, DC. I soci sono invitati a registrare il proprio interesse a partecipare tramite il seguente link:

https://portal.h-isac.org/s/community-event?id=a1Y7V00000ZmFVwUAN

Il Memorandum sulla sicurezza nazionale 22 rivede l'approccio degli Stati Uniti alle infrastrutture critiche

Il 30 aprile, l’amministrazione Biden ha pubblicato il Memorandum sulla sicurezza nazionale 22 (NSM-22): sulla sicurezza e la resilienza delle infrastrutture critiche.^[I] Questo memorandum è l'ultima revisione di una serie di memorandum esecutivi che hanno cercato di definire cosa costituisce l'infrastruttura critica degli Stati Uniti e delineare come il governo intende migliorare la sicurezza e la resilienza di tale infrastruttura critica. Come ci si potrebbe aspettare, NSM-22 avrà impatti diretti e indiretti sul settore sanitario e della salute pubblica (HPH).

Cos'è l'NSM-22 e cosa sostituisce? 

Dal 2013, il governo federale degli Stati Uniti ha guardato alla Direttiva politica presidenziale 21 (PPD-21) come guida permanente per ciò che costituisce un'infrastruttura critica negli Stati Uniti, come il governo degli Stati Uniti dovrebbe cercare di proteggere tale infrastruttura, nonché delineare il ruolo previsto del settore privato. Sebbene tale memorandum esecutivo non abbia forza di legge, non è mai stato abrogato o sostituito fino alla scorsa settimana.

Questo aggiornamento è stato avviato con l'approvazione dell'HR6395, il William M. (Mac) Thornberry National Defense Authorization Act per l'anno fiscale 2021, che ha richiesto al segretario del DHS, in consultazione con i responsabili delle agenzie di gestione dei rischi settoriali (SRMA), di "rivedere l'attuale quadro per la protezione delle infrastrutture critiche..." e di presentare un rapporto relativo alle possibili revisioni.^[Ii] Il contenuto di quel rapporto è stato approvato dal presidente Biden e ha dato il via ai lavori su quello che sarebbe diventato l'NSM-22.

Contenuto NSM-22

Lungo circa 35 pagine, il NSM-22 fornisce quanto segue per “promuovere l’unità nazionale di sforzi [degli Stati Uniti] per rafforzare e mantenere infrastrutture critiche sicure, funzionanti e resilienti”:^[Iii]

• Otto principi politici;
• Otto obiettivi;
• Chiarimenti sui ruoli e le responsabilità dei dipartimenti e delle agenzie federali;
• La promozione della gestione del rischio e di un approccio alla sicurezza e alla resilienza che tenga conto di tutte le minacce e dei pericoli;
• L'imposizione di requisiti minimi di sicurezza e resilienza per i settori delle infrastrutture critiche;
• L'orientamento di un piano nazionale di gestione dei rischi infrastrutturali;
• La reiterazione delle entità di importanza sistemica (SIE);
• Un rafforzamento della condivisione di intelligence e dello scambio di informazioni;
• Una ripetizione della definizione di infrastruttura critica, dei settori infrastrutturali critici designati e delle SRMA responsabili; e
• Un piano di attuazione affinché le entità federali possano mettere in pratica quanto sopra descritto.

Azione e analisi
**Incluso con l'iscrizione a Health-ISAC**

Prossime udienze/riunioni internazionali

• EU
  1. Nessuna riunione rilevante al momento
• US
  1. Nessuna riunione rilevante al momento
• Resto del Mondo
  1. Nessuna riunione rilevante al momento

^[I]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Ii] https://www.congress.gov/bill/116th-congress/house-bill/6395

^[Iii]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Iv] Direttiva della decisione presidenziale/NSC-63

^[V] Direttiva sulla politica presidenziale 21

^[Vi] “Sistemi e risorse, fisiche o virtuali, così vitali per gli Stati Uniti che l’incapacità o la distruzione di tali sistemi e risorse avrebbe un impatto debilitante sulla sicurezza nazionale, sulla sicurezza economica nazionale, sulla salute o sicurezza pubblica nazionale, o su qualsiasi combinazione di tali questioni”.

^[Vii]https://www.washingtonpost.com/politics/2023/10/16/biden-administration-goes-back-drawing-board-water-cybersecurity/

^[Viii]https://www.cisa.gov/cross-sector-cybersecurity-performance-goals#:~:text=A%20common%20set%20of%20protections,known%20risks%20and%20adversary%20techniques

^[Ix] https://hphcyber.hhs.gov/performance-goals.html

^[X]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xi]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xii] https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

• Risorse e notizie correlate
• Un ospedale del Massachusetts respinge le ambulanze dopo un attacco informatico.
• Podcast: Phil Englert sulla sicurezza informatica dei dispositivi medici.
• La minaccia interna si ripresenta
• 'Un'occasione persa': l'assenza del governo statunitense dalla conferenza RSAC lascia un vuoto incolmabile
• Salute-ISAC Hacking Healthcare 3-26-2026
• Salute-ISAC Hacking Healthcare 3-19-2026
• Newsletter mensile di Health-ISAC – Aprile 2026
• Rapporto post-intervento: Serie di esercitazioni sulla resilienza Health-ISAC 2025
• Perché il ruolo di Microsoft Intune nell'attacco informatico a Stryker è una prospettiva inquietante
• Il governatore del Texas ordina una revisione statale dei dispositivi medici di fabbricazione cinese.