דלג לתוכן ראשי

Health-ISAC Hacking Healthcare 11-20-2015

השבוע, Hacking Healthcare® של Health-ISAC® בוחן את הצעת החוק האחרונה שהוצגה בממלכה המאוחדת (UK) אשר תעדכן את תקנות אבטחת הרשת והמידע (NIS) שלה. הצטרפו אלינו כשאנחנו מפרטים מה ממשלת בריטניה מקווה להשיג עם החקיקה החדשה וכיצד היא עשויה להשפיע על מגזר הבריאות.

כזכור, זוהי הגרסה הציבורית של הבלוג Hacking Healthcare. לניתוח מעמיק נוסף וחוות דעת, הפוך לחבר ב-H-ISAC וקבל את גרסת TLP Amber של בלוג זה (זמינה בפורטל החברים).

 

גרסת PDF: 

 

גרסת טקסט:

ברוכים הבאים חזרה ל-Hacking Healthcare®.

רפורמה בתקנות אבטחת רשתות ומידע (NIS) בבריטניה הוצגה לפרלמנט 

סקירה כללית

לפני פרישתה של בריטניה מהאיחוד האירופי (EU), כמו כל מדינות האיחוד האירופי, אימצה בריטניה תקנות והנחיות של האיחוד האירופי, כגון תקנת הגנת המידע הכללית (GDPR) על ידי תעתוקן לחוק הלאומי. עם זאת, מאז עזיבתה את האיחוד האירופי בשנת 2020, היא אינה מחויבת עוד לגישות המדיניות של האיחוד האירופי ונאלצה להתוות מסלול משלה בנושאים כמו אבטחת סייבר ופרטיות. תוצאת הפילוג הזה הובילה את בריטניה למסלול של עדכון איטי של חוקי ותקנות מתקופת האיחוד האירופי, תוך שהיא שואבת השראה מעדכוני הרגולציה של האיחוד האירופי עצמו ומפגרת מעט אחריה.

בין התקנות הקריטיות יותר הקשורות לאבטחת סייבר מתקופת האיחוד האירופי בבריטניה נמצאות תקנות מערכות הרשת והמידע משנת 2018 (NIS). כצפוי, אימוץ תקנות NIS בבריטניה היה דומה מאוד לשאר המדינות החברות באיחוד האירופי. התקנות שימשו "[לספק] צעדים משפטיים להגברת רמת האבטחה הכוללת (הן חוסן סייבר והן חוסן פיזי) של מערכות רשת ומידע החיוניות לאספקת שירותים דיגיטליים (שווקים מקוונים, מנועי חיפוש מקוונים, שירותי מחשוב ענן) ושירותים חיוניים (תחבורה, אנרגיה, מים, בריאות ושירותי תשתית דיגיטלית)".[אני]

בעוד שהאיחוד האירופי קידם עדכון בנושא מערכות מידע ומידע (NIS) כבר לפני שנים, כאשר היישום המלא נמשך ומפגר אחר לוח הזמנים, בריטניה מטפלת רק כעת בעדכון בנושא, כאשר ההתפתחות האחרונה היא הצגת חוק אבטחת הסייבר וחוסן הסייבר (CSRB) לפרלמנט.[Ii] הצעת חוק זו תעצב מחדש את מערכת ה-NIS המקורית כדי להתמודד טוב יותר עם התפתחויות טכנולוגיות, סביבת איומים מתפתחת, ולתקן כמה מהחסרונות של הגרסה הראשונה.

 

למה העדכון?

כפי שצוין לעיל, הרבה השתנה מאז 2018, והתפתחויות טכנולוגיות, סביבת האיומים המתפתחת, החסרונות של הגרסה הראשונה של מערכות מידע ושירותי תקשורת, ויד חופשית לנסח מדיניות ספציפית לבריטניה, תמרצו עדכון זה. באופן ספציפי יותר, העדכון יטפל ב:

  • התפתחויות טכנולוגיות: התפתחויות טכנולוגיות כמו העלייה בחשיבותם של מרכזי נתונים, ספקי שירותים מנוהלים ובקרי עומסים גדולים תמרצו עדכון היקף תקנות ה-NIS כדי לכסות טכנולוגיות חדשות יותר.[iii]
  • סביבת איום מתפתחת: בסיכום הצעת החוק, הסביר משרד המדע, החדשנות והטכנולוגיה (DSIT) כי "בשנה שעברה, בריטניה הייתה המדינה המכוונה ביותר באירופה", וציטט נתונים סטטיסטיים שמצאו כי "95% מארגוני התשתית הלאומית הקריטיים בבריטניה חוו פרצת נתונים בשנת 2024".[Iv] בנוסף, DSIT הצהיר כי "ככל שהאיום הפך אינטנסיבי, תכוף ומתוחכם יותר, ההגנות שלנו נחלשו יחסית".[V]
  • ליקויים של מערכות מידע ושירותי ביטחון (NIS): שתי סקירות לאחר יישום (PIR) של תקנות NIS נערכו בשנת 2020.[Vi] ו 2022,[Vii] על ידי ממשלת בריטניה. סקירות אלו מצאו מספר ליקויים בתקנות ה-NIS, כולל הממצאים כי "למרות שארגונים נקטו צעדים להבטחת אבטחת מערכות הרשת והמידע שלהם, היה צורך להאיץ את קצב השיפור", וכי ה-NIS "לא פעל כמתוכנן בכמה תחומים מרכזיים, כגון היקף התקנות ומספרם הקטן של דוחות אירועים שהוגשו".[Viii]

 

כיצד CSRB תטפל בבעיות אלו?

לא נעסוק בכל התיקונים המוצעים בתוך 100 העמודים של ה-CSRB, במיוחד מכיוון שרבים מהם לא בהכרח יחולו על מגזר הבריאות. ובכל זאת, ברמה גבוהה יותר, DSIT מתאר את ה-CSRB כבנוי סביב שלושה עמודי תווך:

  • היקף מורחבה-CSRB ירחיב את היקף שירותי ה-NIS כך שיכלול טוב יותר "שירותים כה חיוניים, עד ששיבושם ישפיע על חיי היומיום שלנו". מלבד מרכזי נתונים, ספקי שירותים מנוהלים ובקרי עומסים גדולים, התוספת המעניינת ביותר היא "ספקים קריטיים ייעודיים", אליהם נעסוק בהמשך.
  • רגולטורים יעיליםה-CSRB יספק לרגולטורים ערכת כלים חזקה יותר כדי להבטיח אימוץ ואכיפה של תקנות ה-NIS החדשות. הכלולים בהן יהיו משטר דיווח חדש על אירועים, מנגנוני שיתוף מידע והגנות חדשים, ועונשים חדשים על אי ציות.
  • לאפשר חוסןה-CSRB יכלול כלים שיאפשרו לממשלת בריטניה להסתגל באופן דינמי יותר לאיומים מתפתחים ולחסרונות מתעוררים. בפרט, ה-CSRB יאפשר חקיקה משנית שתוכל להכניס "יותר מגזרים לתחום, או לעדכן ולהכניס דרישות חדשות של אבטחה וחוסן", ולספק סמכויות חדשות לממשלה שיאפשרו לה "להורות לרגולטורים או לגופים מפוקחים לנקוט בפעולה ממוקדת ומידתית בתגובה לאיומים מיידיים המסכנים את הביטחון הלאומי של בריטניה".[Ix]

 

נתיב קדימה 

ה-CSRB הוצג רק לאחרונה בבית הנבחרים ויש עוד דרך ארוכה לעבור עד שייחתם לחוק.

 

פעולה וניתוח
**כלול בחברות Health-ISAC**

 

[א'] https://www.gov.uk/government/collections/nis-directive-and-nis-regulations-2018 

[ii] https://bills.parliament.uk/bills/4035/publications

[iii] בקרי עומסים גדולים מוגדרים כ"ארגונים השולטים בעומס חשמלי של 300 מגה-וואט או יותר כדי לשלוט מרחוק במכשירי צריכה"

[ד] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[v] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[vi] https://www.gov.uk/government/publications/review-of-the-network-and-information-systems-regulations

[vii] https://www.gov.uk/government/publications/second-post-implementation-review-of-the-network-and-information-systems-regulations-2018

[viii] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[ix] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[x] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xiii] גופים מפוקחים בהקשר זה יכללו ספקים קריטיים ייעודיים לפי DSIT.

[xiv] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xviii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xix] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xx] הערות ההסבר עבור ה-CSRB מספקות דוגמאות לאירועי קדם-מיקום ותוכנות כופר.

[xxi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/incident-reporting

  • משאבים וחדשות קשורים
אתם חייבים לחדש כי פושעי הסייבר תמיד מחדשים
גורמים רשמיים ו-AHA מזהירים את מגזר הבריאות מפני איום אקירה מתפתח, שוב