דלג לתוכן ראשי

H-ISAC Hacking Healthcare 9-9-2020

TLP White: השבוע, Hacking Healthcare מבקש מהקוראים להתחיל לחשוב על תקריות סייבר-פיזיות ועד כמה הארגון שלכם מוכן להתמודד עם ההשלכות. בשלב הבא, אנו מפרקים את ההכרזה האחרונה שסין חושפת את יוזמת אבטחת המידע הגלובלית שלה ומה עשוי לצפות כתוצאה מכך. לבסוף, אנו בוחנים בקצרה כיצד ההנחיה המבצעית המחייבת החדשה של המחלקה לביטחון פנים (DHS), המחייבת סוכנויות ממשלתיות לאמץ מדיניות גילוי פגיעות, משפיעה על מגזר הבריאות.

כזכור, זוהי הגרסה הציבורית של הבלוג Hacking Healthcare. לניתוח מעמיק נוסף וחוות דעת, הפוך לחבר ב-H-ISAC וקבל את גרסת TLP Amber של בלוג זה (זמינה בפורטל החברים).

 

אנא הקדישו לנו דקה מזמנכם כדי לענות על כמה שאלות על נושאי ה-Hacking Healthcare של השבוע. נפרסם את התוצאות בגיליון הקרוב. קישור לסקר מלווה את המאמרים שלהלן.

 

 

ברוך הבא חזרה ל פריצת שירותי בריאות.

 

1. הגיע הזמן להתחיל לחשוב על אחריות סייבר-פיזית.

ככל שההבחנה בין עולם הסייבר והפיזי מיטשטשת יותר ויותר, ארגונים עשויים להתמודד עם אתגרים חדשים הקשורים לחובות, כללים ורגולציות חדשות לאירועי סייבר-פיזיים. לדברי גרטנר, השינויים המשפטיים והרגולטוריים הללו עשויים להתרחש במהירות בשל האופי החמור של ההשלכות הפוטנציאליות.

בין התחזיות היותר מרימות גבות שגרטנר מעלה היא הטענה ש-75% מהמנכ"לים עלולים להיות אחראים אישית לתקריות סייבר-פיזיות עד 2024. גרטנר צופה שיהיה יותר ויותר קשה למנכ"לים "להתחנן בבורות או לסגת מאחורי פוליסות ביטוח".[1] בנוסף, הם צופים כי תהיה עלייה מהירה באירועי סייבר-פיזיים עקב חוסר תכנון והוצאות בתחום זה. המדאיג ביותר הוא הניתוח שלהם לפיו ההשפעה הכספית של תקריות סייבר-פיזיות הגורמות לנפגעים קטלניים תעבור 50 מיליארד דולר עד 2023.[2]

גרטנר גם ציינה את החשש שארגונים רבים אינם מודעים לחלוטין לכל מערכות הסייבר-פיזיות שהם כבר פרסו. בהתייחסו לצורך לטפל בבעיות אלו, סגנית נשיא המחקר של גרטנר, Katell Thielemann, קראה למנהיגי הטכנולוגיה לעזור למנכ"לים להבין את האיום של תקריות סייבר-פיזיות ואת הצורך בהקמת "ניהול חוסן תפעולי (ORM) מעבר לסייבר ממוקד מידע. בִּטָחוֹן."[3]

פעולה וניתוח
** חובה חברות **

 

2. סין חושפת את יוזמת אבטחת המידע הגלובלית שלה.

ביום שלישי בבוקר פורסם כי סין מתכוונת להשיק יוזמה עולמית לאבטחת מידע. לפי ה-Global Times, יוזמה זו נחשבת כסטנדרט עולמי פוטנציאלי לאבטחת מידע, ונטען כי היא נותנת מענה לכמה מהחששות המצוינים לעתים קרובות של ממשלות ותאגידים בנוגע לפרטיות ואבטחת נתונים בסין.[4]

הגלובל טיימס מדווח כי היוזמה מורכבת משמונה הצעות. הדיווח מצביע על כך שהיוזמה כוללת או תומכת בנקודות הבאות:[5], [6]

  • מדינות [צריכות] לטפל באבטחת מידע באופן מקיף, אובייקטיבי ומבוסס ראיות
  • [התנגדות] לפעילויות ICT המשתמשות בנתונים לביצוע פעילויות המערערות את הביטחון הלאומי והאינטרסים של מדינות אחרות
  • [התנגדות] למעקב המוני נגד מדינות אחרות
  • מדינות לא צריכות לבקש מחברות מקומיות לאחסן נתונים שנוצרו והושגו מעבר לים בטריטוריה שלהם
  • מדינות צריכות לכבד את הריבונות, סמכות השיפוט והממשל של נתונים של מדינות אחרות, וכל הסכם גישה דו-צדדי לנתונים לא אמור לפגוע בריבונות השיפוטית ובאבטחת המידע של מדינה שלישית
  • מוצרי תקשוב וספקי שירות אינם צריכים להתקין דלתות אחוריות במוצרים ובשירותים שלהם כדי להשיג נתוני משתמשים באופן לא חוקי, או לשלוט או לתפעל מערכות ומכשירים של משתמשים
  • חברות ICT לא צריכות לחפש אינטרסים לא לגיטימיים על ידי ניצול תלות המשתמש במוצרים שלהן, ולא לאלץ משתמשים לשדרג את המערכות והמכשירים שלהם

ג'או ליג'יאן, דובר משרד החוץ הסיני, נטען כי הצהיר כי "היוזמה נועדה לשמור על אבטחת מידע ושרשרת אספקה ​​גלובלית, לקדם את פיתוח הכלכלה הדיגיטלית ולספק מתווה לגיבוש כללים גלובליים".[7] בנוסף, נאמר כי פקידי ממשל סין הטילו מספר תוכחות דק למדיניות החוץ של ארצות הברית בנושאים אלו. כרגע לא ברור כמה תמיכה גלובלית קיימת ביוזמה זו.

פעולה וניתוח
** חובה חברות **

 

3. גילוי פגיעות ממשלתי מקבל דחיפה.

ביום רביעי שעבר, הסוכנות לאבטחת סייבר ותשתיות (CISA) תחת DHS פרסמה הוראה מבצעית מחייבת (BOD) המיוחלת למדיניות גילוי פגיעות (VDPs) עבור הממשל הפדרלי. BOD 20-01 נותן לסוכנויות ממשלתיות שישה חודשים "להקים VDPs שמונעים פעולות משפטיות נגד חוקרים הפועלים בתום לב, מאפשרים למשתתפים להגיש דוחות פגיעות באופן אנונימי ולכסות לפחות מערכת או שירות אחד נגיש לאינטרנט".[8]

כזכור, BODs הם "הנחיה חובה לפדרלי, הרשות המבצעת, מחלקות וסוכנויות למטרות הגנה על מידע ומערכות מידע פדרליות" שעשויות להיות מונפקות על ידי DHS.[9] BOD הספציפי הזה מגיע עם ההכרה של DHS ש"מדיניות גילוי פגיעות משפרת את הגמישות של השירותים המקוונים של הממשלה" והיא "מרכיב חיוני של תוכנית יעילה לניהול פגיעות ארגונית".[10]

עבור סוכנויות שאין להן ניסיון רב ביצירת מדיניות גילוי פגיעות, BOD 20-01 מתאר בצורה מועילה את הדרישות השונות, מספק הנחיות לגבי יישום ואפילו קישורים לתבנית VDP. בעוד שהתבססות VDP בממשלה הפדרלית הייתה איטית עד כה, הנחיה מחייבת זו עם הוראות יישום ברורות אמורה לעזור להאיץ את אימוץ VDP.

פעולה וניתוח
** חובה חברות **

 

 

סֶקֶר

אנא הקדישו דקה אחת כדי לענות על כמה שאלות על ה-Hacking Healthcare של השבוע על ידי ביקור בקישור זה:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

הקונגרס -

 

יום שלישי, ספטמבר 9th:

– סנאט – ועדה לבריאות, חינוך, עבודה ופנסיה: שימועים לבחינת חיסונים, תוך התמקדות בהצלת חיים, הבטחת אמון והגנה על בריאות הציבור.

 

יום רביעי, ספטמבר 10th:

- אין דיונים רלוונטיים

 

יום חמישי, 11 בספטמבר:

- אין דיונים רלוונטיים

 

 

 

ברמה בינלאומית שימועים/פגישות -

 

- אין דיונים רלוונטיים

 

 

אירופה -

יום רביעי, ספטמבר 10th:

– הפרלמנט האירופי – ועדה לאיכות הסביבה, בריאות הציבור ובטיחות המזון

 

יום חמישי, 11 בספטמבר:

– הפרלמנט האירופי – ועדה לאיכות הסביבה, בריאות הציבור ובטיחות המזון

 

 

 

 

שונות -

 

תוכנת כופר פוגעת בשני ארגונים ממשלתיים במזרח התיכון ובצפון אפריקה

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

צרפת מזהירה מפני תקיפת אמוט חברות, ממשל

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-חברות-מינהל/

מיקרוסקופים המופעלים על ידי AI של גוגל יכולים לשנות את אבחון הסרטן

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-שינוי-סרטן-אבחון/168220/

 

 

 

כנסים, סמינרים מקוונים ופסגות -

 

https://h-isac.org/events/

 

צור איתנו קשר: עקוב אחר @HealthISAC, ושלח דוא"ל לכתובת contact@h-isac.org

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • משאבים וחדשות קשורים