H-ISAC Hacking Healthcare 9-1-2020
TLP White: השבוע, Hacking Healthcare מתחילה בבחינה של הוצאת המשרד לזכויות האזרח (OCR) של משרד הבריאות ושירותי האנוש (HHS) של ניוזלטר אבטחת הסייבר שלהם בקיץ, מה שהופך את המקרה ליישום של נכס טכנולוגיית מידע (IT) מלאי יכול לסייע בעמידה בתקן HIPAA. לאחר מכן, אנו מתדרכים אתכם לגבי ההאשמות האחרונות שהוטלו נגד קצין האבטחה הראשי של אובר (CSO) לשעבר, ג'ו סאליבן, על תפקידו בטיוח על פרצת מידע משנת 2016, ונחשוב מה מגזר הבריאות יכול לעשות כדי למנוע התנהגות כזו. לבסוף, אנו מפרקים מתקפת איום פנימי עם סוף טוב ושוקלים מה ארגונים יכולים לעשות כדי לצמצם התקפות כאלה.
כזכור, זוהי הגרסה הציבורית של הבלוג Hacking Healthcare. לניתוח מעמיק נוסף וחוות דעת, הפוך לחבר ב-H-ISAC וקבל את גרסת TLP Amber של בלוג זה (זמינה בפורטל החברים).
ברוך הבא חזרה ל פריצת שירותי בריאות.
1. OCR מציג מלאי נכסי IT כהטבה לתאימות HIPAA.
באוגוסט 25th, OCR פרסמו את שלהם ניוזלטר אבטחת סייבר 2020. בו, OCR ציין כי היבט שכיח ברבות מהחקירות שלהם הוא חוסר הנראות של ארגון היכן מאוחסן מידע בריאותי מוגן אלקטרוני (ePHI). חוסר התובנה הזה יוצר מכשולים לארגונים המעוניינים להעריך את הסיכון הכלל-ארגוני שלהם בכל הנוגע לתאימות לכללי האבטחה של HIPAA. לדעת OCR, ארגונים צריכים לשקול ברצינות יצירה ותחזוקה של "מלאי נכסי מידע מעודכן (IT)" כדי לקבל נראות טובה יותר של היכן מאוחסן ePHI, מה שישפר את יכולתם להישאר תואם HIPAA ולמנוע עונשים.[1]
מהו מלאי נכסי IT?
בתוך הניוזלטר שלהם, OCR מגדיר מלאי של נכסי IT כ"רשימה מקיפה של נכסי IT של ארגון עם מידע תיאורי תואם", אשר עשוי להיות מוקף לכלול חומרה, תוכנה ונתונים.[2] בעוד שמלאי נכסי IT יכול להיות מוגבל רק כך שיכלול חומרה, תוכנה ונתונים הקשורים ל-ePHI, OCR מציין שיש יתרונות משמעותיים לאלה שמקיפים אותו כך שיכלול את מכלול הנכסים של הארגון. למי שמחפש פרטים נוספים, הפונקציה Identify של NIST Cybersecurity Framework מקדישה קטגוריה שלמה לניהול נכסים, עם הפניות אינפורמטיביות לתקנים בינלאומיים ידועים.
כיצד אוכל ליישם מלאי נכסי IT?
אמנם תהליך זה יכול להתבצע באופן ידני באמצעות פתרונות ביתיים המותאמים בדיוק למפרטי הארגון שלך, אך ישנם פתרונות ניהול נכסי IT רבים בשוק שניתן להעריך כך שיתאימו לצרכים הספציפיים של גופי בריאות. כפי שמציין OCR, פתרונות ייעודיים אלה יכולים לכלול לעתים קרובות תכונות מועילות כגון "תהליכי גילוי ועדכון אוטומטיים לניהול נכסים ומלאי."[3]
פעולה וניתוח
**נדרשת חברות**
2. משרד המשפטים האמריקאי (DOJ) מאשים את ה-CSO על הסתרת הפרה.
בשנת 2016, אובר, חברת התחבורה הידועה, סבלה מפרצה גדולה שפגעה בנתונים על מיליוני המשתמשים שלה. עם זאת, למרות המשמעות של ההפרה, אובר סירבה לחשוף את התקרית במשך שנה. הסיפור מאחורי העיכוב הארוך, והנפילה הנובעת מכך, צריכים לשמש כסיפור אזהרה עבור כל ארגון שמחליט שלא לכבד את חובותיו לדווח על הפרות לרשויות הרלוונטיות.
אובר תיארה את ההפרה של 2016 בכך שקבעה, "שני אנשים מחוץ לחברה ניגשו באופן בלתי הולם לנתוני משתמשים המאוחסנים בשירות מבוסס ענן של צד שלישי", מה שהעניק להם גישה ל"מידע אישי של 57 מיליון משתמשי אובר ברחבי העולם, כולל "השמות ומספרי רישיון הנהיגה של כ-600,000 נהגים בארצות הברית".[4] הבעיה היחידה הייתה שההצהרה הזו התרחשה בנובמבר 2017, שנה לאחר התרחשות ההפרה.
כפי שמסביר זאת ה-DOJ, מסתבר שהסיבה לעיכוב ולחקירת הבולשת הפדרלית (FBI) בסופו של דבר הייתה שה-CSO של אובר דאז, ג'ו סאליבן, תיאם ניסיון "למנוע ולהסתיר מה-FTC גם את הפריצה עצמה והעובדה שפצת הנתונים הביאה לכך שההאקרים השיגו מיליוני רשומות הקשורות למשתמשים ולנהגים של אובר.[5] פעולותיו של סאליבן כוללות את מה שתואר על ידי פרקליט ארה"ב של המחוז הצפוני של קליפורניה דיוויד אנדרסון כ"כסף שקט לא חוקי [תשלום]" להאקרים המחופשים לתשלום פרס באג.[6] אובר נאלצה לשלם 148 מיליון דולר בהסדר משנת 2018, ובשבוע האחרון הואשם סאליבן בשיבוש מהלכי משפט וכליאה שגויה של פשע, כל אלה עלולים להוביל ל-8 שנות מאסר ביחד.[7]
פעולה וניתוח
**נדרשת חברות**
3. ניסיון רוסי להתפשר על טסלה סוכל על ידי פעולה פנימית.
בשבוע שעבר, דו"ח חדש של DOJ הציג את מה שנראה כניסיון רוסי נועז לסכן את רשת המחשבים של טסלה בקיץ הקרוב. למרבה המזל, התוכנית לכאורה סוכלה על ידי פעולות של מקורב שהתריע בצייתנות לרשויות והניע מעצר. למרות שבסופו של דבר הביא לתוצאה חיובית עבור טסלה, הסיפור מדגיש את אחת מהטקטיקות הרבות בהן משתמשות שחקני סייבר זדוניים ומדגיש עד כמה העובדים חשובים לאבטחת הסייבר של הארגון.
ב-25 באוגוסט, DOJ פרסם הודעה לעיתונות בשם אזרח רוסי נעצר בגין קשירת קשר להחדרת תוכנה זדונית לרשת המחשבים של חברת נבאדה אשר התווה בהרחבה את התוכנית הפלילית לכאורה.[8] באמצע יולי, אגור איגורביץ' קריוצ'קוב, אזרח רוסי, ניסה "לגייס עובד של חברה כדי להחדיר תוכנות זדוניות" לרשת של חברה.[9] השאלה של החברה הייתה טסלה, והמטרה של התוכנה הזדונית הייתה לחלץ נתונים ולהחזיק אותם תמורת כופר.[10] מעניין שקריוצ'קוב עשה את דרכו לארצות הברית על מנת לגייס את המקורב ולדון במבצע באופן אישי. המתגייס הנבחר, שעל פי הדיווחים הוא אזרח דובר רוסית שאינו אמריקאי, סומן כנראה זמן רב מראש.[11]
למרבה המזל, המקורב דיווח בצייתנות על גישה זדונית זו לחברה וה-FBI היה מעורב מיידית. במהלך השבועות הבאים, בהנחיית ה-FBI, אסף המקורב מידע רב ערך על המבצע הרוסי, כולל התשתית, התהליכים והנהלים שלהם, כמו גם פרטים שסייעו ל-FBI לזהות את האנשים המעורבים. קריוצ'קוב נעצר מאז וממתין למשפט.
פעולה וניתוח
**נדרשת חברות**
הקונגרס -
יום שלישי, 1 בספטמבר:
- אין דיונים רלוונטיים
יום רביעי, 2 בספטמבר:
- אין דיונים רלוונטיים
יום חמישי, 3 בספטמבר:
- אין דיונים רלוונטיים
ברמה בינלאומית שימועים/פגישות -
- אין דיונים רלוונטיים
אירופה -
יום רביעי, 2 בספטמבר:
– ישיבת ועדה לאיכות הסביבה, בריאות הציבור ובטיחות המזון
יום חמישי, 3 בספטמבר:
– ישיבת ועדה לאיכות הסביבה, בריאות הציבור ובטיחות המזון
שונות -
סקר: כמעט 3 מתוך 4 אמריקאים רוצים יותר פיקוח ממשלתי על פרטיות נתונים
NIST קורא לתקנים לשיפור היכולות הפורנזיות בענן
מנועי חיפוש עלולים לחשוף מידע על בריאות המטופל, מזהירה ACR
https://healthitsecurity.com/news/search-engines-may-expose-patient-health-information-acr-warns
צור איתנו קשר: עקוב אחר @HealthISAC, ושלח דוא"ל לכתובת contact@h-isac.org
כנסים, סמינרים מקוונים ופסגות -
- עצור נתוני דימום: צמצם את הסיכון של צד שלישי בטיפולי בריאות על ידי RISKRECON - סמינר מקוון (9/1/2020)
– פורום אבטחת סייבר של שירותי בריאות – דרום מזרח – סמינר מקוון (9/9/2020)
https://endeavor.swoogo.com/Southeast_Virtual_Healthcare_Innovation_Cybersecurity_Forum
— סדנת ציד איומים וירטואלית של H-ISAC בחסות RiskIQ - סמינר מקוון (9/9/2020)
https://h-isac.org/hisacevents/h-isac-threat-hunting-workshop-sponsored-by-riskiq-members-only/
– סדרת הסמינרים המקוונים של המועצה האירופית H-ISAC – סמינר מקוון (9/10/2020)
https://h-isac.org/hisacevents/h-isac-european-council-webinar-series-2/
-כיצד להקדים את Maze and WastedLocker Ransomware מאת SafeBreach - סמינר מקוון (9/16/2020)
https://h-isac.org/hisacevents/how-to-stay-ahead-of-maze-and-wastelocker-ransomware-by-safebreach/
– חוסן אבטחת סייבר בעולם של COVID-19 – סמינר מקוון (9/18/2020)
https://h-isac.org/hisacevents/cybersecurity-resilience-in-the-world-of-covid-19/
- ENISA Services Trust Forum - CA Day 2020 - Schloßplatz Berlin, גרמניה (9/22/2020)
https://h-isac.org/hisacevents/enisa-trust-services-forum-ca-day-2020/
– פורום אבטחת סייבר של שירותי בריאות – צפון מזרח – סמינר מקוון (9/22/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/427126
–H-ISAC Cyber Threat Intel Training – Titusville, FL (9/22/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-titusville-fl/
– סדנת אבטחה של H-ISAC – וירטואלית (9/23/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-forchheim-germany/
– פסגה בנושא אבטחה וסיכוני צד שלישי – National Harbor, MD (9/28/2020-9/30/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840
– תדרוך איומים חודשי של H-ISAC – סמינר מקוון (9/29/2020)
https://h-isac.org/hisacevents/h-isac-monthly-member-threat-briefing-12/
- כנס MedTech - וירטואלי (10/5/2020)
https://h-isac.org/hisacevents/the-medtech-conference-toronto/
- פורום אבטחת סייבר בתחום הבריאות - יוסטון, טקסס (10/8/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840
— ועידת אבטחה ופרטיות של NCHICA AMC – דורהאם, צפון קרוליינה (10/21/2020-10/22/2020)
https://h-isac.org/hisacevents/nchica-amc-security-privacy-conference/
— הפסגה האירופית של H-ISAC 2020 - סנפורט-נורד, הולנד (10/20/2020-10/22/2020)
https://h-isac.org/summits/european-2020-summit/
–CYSEC 2020 – דוברובניק, קרואטיה (10/27/2020 – 10/28/2020)
https://h-isac.org/hisacevents/cysec-2020-croatia/
– פורום אבטחת סייבר של שירותי בריאות – פסיפיק צפון מערב – סיאטל, וושינגטון (10/28/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428886
–H-ISAC VIRTUAL MEDICAL DEVICE SURKSHOP – סמינר מקוון (10/29/2020)
https://h-isac.org/hisacevents/h-isac-virtual-medical-device-security-workshop/
– H-ISAC סדנת אבטחה – סיאטל, וושינגטון – (10/29/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-seattle-wa-2/
-פורום אבטחת סייבר של שירותי בריאות - קליפורניה - לוס אנג'לס, קליפורניה (11/12/2020)
פורום אבטחת סייבר בתחום הבריאות - קליפורניה
– H-ISAC סדנת אבטחה – פריז, צרפת (11/18/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-paris-france/
– H-ISAC סתיו פסגת – פיניקס, AZ (11/30/2020-12/4/2020)
https://h-isac.org/summits/fall-summit-2020/
- סדנת אבטחה של H-ISAC - פראג, צ'כיה (12/8/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-prague/
— פסגת APAC 2021 - סינגפור (3/23/2021-3/25/2021)
[1] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html
[2] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html
[3] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html
[4] https://www.uber.com/newsroom/2016-data-incident/
[5] https://www.justice.gov/usao-ndca/press-release/file/1306781/download
[6] https://www.zdnet.com/article/former-uber-cso-charged-for-2016-hack-cover-up/
[7] https://www.zdnet.com/article/former-uber-cso-charged-for-2016-hack-cover-up/
[8] https://www.justice.gov/opa/pr/russian-national-arrested-conspiracy-introduce-malware-nevada-companys-computer-network
[9] https://www.justice.gov/opa/pr/russian-national-arrested-conspiracy-introduce-malware-nevada-companys-computer-network
[10] https://news.clearancejobs.com/2020/08/26/company-insider-works-with-fbi-to-turn-the-tables-on-russias-million-dollar-attempt-to-hijack-the-network/
[11] https://news.clearancejobs.com/2020/08/26/company-insider-works-with-fbi-to-turn-the-tables-on-russias-million-dollar-attempt-to-hijack-the-network/
- משאבים וחדשות קשורים