Skip to main content

Health-ISAC Hacking Healthcare 11-20-2015

ამ კვირაში, Health-ISAC®-ის Hacking Healthcare®-ის გამოცემა განიხილავს გაერთიანებული სამეფოს (UK) მიერ ბოლო დროს წარდგენილ საკანონმდებლო კანონპროექტს, რომელიც განაახლებს ქსელისა და ინფორმაციული უსაფრთხოების (NIS) რეგულაციებს. შემოგვიერთდით, რათა განვიხილოთ, თუ რას იმედოვნებს გაერთიანებული სამეფოს მთავრობა ახალი კანონმდებლობით და როგორ შეიძლება მან გავლენა მოახდინოს ჯანდაცვის სექტორზე.

შეგახსენებთ, ეს არის Hacking Healthcare ბლოგის საჯარო ვერსია. დამატებითი სიღრმისეული ანალიზისა და მოსაზრებისთვის, გახდი H-ISAC-ის წევრი და მიიღეთ ამ ბლოგის TLP Amber ვერსია (ხელმისაწვდომია წევრების პორტალზე).

 

PDF ვერსია: 

 

ტექსტური ვერსია:

კეთილი იყოს თქვენი მობრძანება Hacking Healthcare®-ში.

დიდი ბრიტანეთის ქსელური და ინფორმაციული უსაფრთხოების (NIS) რეგულირების რეფორმა პარლამენტს წარედგინა 

მიმოხილვა

დიდი ბრიტანეთის ევროკავშირიდან (EU) გასვლამდე, ევროკავშირის ყველა წევრის მსგავსად, გაერთიანებულმა სამეფომ მიიღო ევროკავშირის რეგულაციები და დირექტივები, როგორიცაა მონაცემთა დაცვის ზოგადი რეგულაცია (GDPR), მათი ეროვნულ კანონმდებლობაში ტრანსკრიფციით. თუმცა, 2020 წელს ევროკავშირის დატოვების შემდეგ, იგი აღარ არის შეზღუდული ევროკავშირის პოლიტიკური მიდგომებით და მოუწია საკუთარი კურსის გაკვლევა ისეთ საკითხებში, როგორიცაა კიბერუსაფრთხოება და კონფიდენციალურობა. ამ განხეთქილების შედეგმა დიდი ბრიტანეთი მიიყვანა ევროკავშირის ეპოქის კანონებისა და რეგულაციების ნელ-ნელა განახლების გზაზე, ხშირად შთაგონებით ეკიდება და ოდნავ ჩამორჩება ევროკავშირის საკუთარ მარეგულირებელ განახლებებს.

დიდ ბრიტანეთში კიბერუსაფრთხოებასთან დაკავშირებული ევროკავშირის ეპოქის ყველაზე კრიტიკულ რეგულაციებს შორისაა 2018 წლის ქსელისა და ინფორმაციული სისტემების რეგულაციები (NIS). როგორც მოსალოდნელი იყო, დიდ ბრიტანეთში NIS-ის მიღება ძალიან ჰგავდა ევროკავშირის დანარჩენი წევრი სახელმწიფოებისას. რეგულაციები ემსახურებოდა „[უზრუნველყოფდა] იურიდიულ ზომებს ქსელისა და ინფორმაციული სისტემების უსაფრთხოების საერთო დონის (როგორც კიბერ, ასევე ფიზიკური მდგრადობის) გასაძლიერებლად, რომლებიც კრიტიკულად მნიშვნელოვანია ციფრული სერვისების (ონლაინ ბაზრები, ონლაინ საძიებო სისტემები, ღრუბლოვანი ტექნოლოგიების სერვისები) და აუცილებელი სერვისების (ტრანსპორტი, ენერგეტიკა, წყალი, ჯანდაცვა და ციფრული ინფრასტრუქტურის სერვისები) მიწოდებისთვის“.[I]

მიუხედავად იმისა, რომ ევროკავშირმა ეროვნული უსაფრთხოების სისტემის განახლება წლების წინ დააჩქარა, მისი სრული განხორციელება მიმდინარეობდა და გრაფიკს ჩამორჩებოდა, დიდი ბრიტანეთი მხოლოდ ახლა იწყებს მუშაობას ეროვნული უსაფრთხოების სისტემის განახლებაზე, რომლის უახლესი მოვლენაც პარლამენტში კიბერუსაფრთხოებისა და მდგრადობის შესახებ კანონპროექტის (CSRB) წარდგენაა.[Ii] ეს კანონპროექტი შეცვლის თავდაპირველ ეროვნული უსაფრთხოების სისტემას, რათა უკეთ გაუმკლავდეს ტექნოლოგიურ განვითარებას, მზარდ საფრთხეების გარემოს და აღმოფხვრის პირველი იტერაციის ზოგიერთ ნაკლოვანებას.

 

რატომ განახლება?

როგორც ზემოთ აღინიშნა, 2018 წლიდან ბევრი რამ შეიცვალა და ტექნოლოგიურმა განვითარებამ, საფრთხეების განვითარებადმა გარემომ, ეროვნული უსაფრთხოების სისტემის პირველი იტერაციის ნაკლოვანებებმა და დიდი ბრიტანეთისთვის სპეციფიკური პოლიტიკის შემუშავების თავისუფლებამ სტიმული მისცა ამ განახლებას. უფრო კონკრეტულად, განახლება შეეხება:

  • ტექნოლოგიური განვითარება: ტექნოლოგიურმა განვითარებამ, როგორიცაა მონაცემთა ცენტრების, მართული მომსახურების მიმწოდებლებისა და დიდი დატვირთვის კონტროლერების მზარდი კრიტიკულობა, სტიმული მისცა ეროვნული უსაფრთხოების სისტემის რეგულაციების გადახედვას ახალი ტექნოლოგიების მოცვის მიზნით.[iii]
  • საფრთხეების გარემოს ცვლილება: კანონპროექტის შეჯამებაში, მეცნიერების, ინოვაციებისა და ტექნოლოგიების დეპარტამენტმა (DSIT) განმარტა, რომ „[გასულ] წელს დიდი ბრიტანეთი ევროპაში ყველაზე სამიზნე ქვეყანა იყო“ და მოიყვანა სტატისტიკა, რომლის მიხედვითაც „დიდი ბრიტანეთის კრიტიკული ეროვნული ინფრასტრუქტურის ორგანიზაციების 95%-ს 2024 წელს მონაცემთა დარღვევა განუცდია“.[Iv] გარდა ამისა, DSIT-მა განაცხადა, რომ „რადგან საფრთხე უფრო ინტენსიური, ხშირი და დახვეწილი გახდა, ჩვენი თავდაცვა შედარებით სუსტი გახდა“.[V]
  • ეროვნული უსაფრთხოების სისტემის ნაკლოვანებები: 2020 წელს ჩატარდა ეროვნული უსაფრთხოების სისტემის რეგულაციების ორი დანერგვის შემდგომი მიმოხილვა (PIR).[vi] და 2022,[vii] დიდი ბრიტანეთის მთავრობის მიერ. ამ მიმოხილვებში გამოვლინდა NIS-ის რეგულაციებში რამდენიმე ხარვეზი, მათ შორის დასკვნები, რომ „მიუხედავად იმისა, რომ ორგანიზაციები ზომებს იღებდნენ თავიანთი ქსელისა და ინფორმაციული სისტემების უსაფრთხოების უზრუნველსაყოფად, გაუმჯობესების ტემპი უნდა დაჩქარებულიყო“ და რომ NIS „არ მუშაობდა ისე, როგორც დაგეგმილი იყო რამდენიმე ძირითად სფეროში, როგორიცაა რეგულაციების ფარგლები და წარდგენილი ინციდენტების შესახებ ანგარიშების მცირე რაოდენობა“.[viii]

 

როგორ მოაგვარებს CSRB ამ საკითხებს?

ჩვენ არ განვიხილავთ CSRB-ის 100-გვერდიან ყველა შემოთავაზებულ ცვლილებას, განსაკუთრებით იმის გამო, რომ ბევრი მათგანი აუცილებლად არ ეხება ჯანდაცვის სექტორს. მიუხედავად ამისა, უფრო მაღალ დონეზე, DSIT აღწერს CSRB-ს, როგორც სამ სვეტზე აგებულს:

  • გაფართოებული სფეროCSRB გააფართოვებს NIS-ის მოქმედების არეალს, რათა უკეთ მოიცვას „ისეთი აუცილებელი სერვისები, რომელთა დარღვევა გავლენას მოახდენს ჩვენს ყოველდღიურ ცხოვრებაზე“. მონაცემთა ცენტრების, მართული სერვისების მიმწოდებლებისა და დიდი დატვირთვის კონტროლერების გარდა, ყველაზე საინტერესო დამატებაა „დანიშნული კრიტიკული მომწოდებლებისთვის“, რომლებსაც ქვემოთ განვიხილავთ.
  • ეფექტური რეგულატორებიCSRB მარეგულირებლებს მიაწვდის უფრო ძლიერ ინსტრუმენტებს, რათა უზრუნველყონ ახალი ეროვნული უსაფრთხოების რეგულაციების მიღება და აღსრულება. მათ შორის იქნება ინციდენტების შესახებ ანგარიშგების ახალი რეჟიმი, ინფორმაციის გაზიარების ახალი მექანიზმები და დაცვა, ასევე შეუსრულებლობისთვის ახალი სანქციები.
  • მდგრადობის ჩართვაCSRB მოიცავს ინსტრუმენტებს, რომლებიც გაერთიანებული სამეფოს მთავრობას საშუალებას მისცემს უფრო დინამიურად მოერგოს მზარდ საფრთხეებსა და წარმოქმნილ ხარვეზებს. კერძოდ, CSRB ხელს შეუწყობს მეორადი კანონმდებლობის შექმნას, რომელსაც შეუძლია „მეტი სექტორის მოქცევა, ან ახალი უსაფრთხოებისა და მდგრადობის მოთხოვნების განახლება და დანერგვა“ და მთავრობას მიენიჭოს ახალი უფლებამოსილებები, რაც მათ საშუალებას მისცემს „მიმართონ მარეგულირებლებს ან რეგულირებად სუბიექტებს, განახორციელონ მიზანმიმართული და პროპორციული ქმედებები გაერთიანებული სამეფოს ეროვნული უსაფრთხოებისთვის საფრთხის შემცველი გარდაუვალი საფრთხეების საპასუხოდ“.[ix]

 

გზა წინ 

CSRB ახლახან წარადგინეს თემთა პალატაში და კანონად ჩამოყალიბებამდე ჯერ კიდევ ბევრი დრო აქვს გასავლელი.

 

მოქმედება და ანალიზი
** მოყვება Health-ISAC წევრობა **

 

[i] https://www.gov.uk/government/collections/nis-directive-and-nis-regulations-2018 

[ii] https://bills.parliament.uk/bills/4035/publications

[iii] დიდი დატვირთვის კონტროლერები განისაზღვრება, როგორც „ორგანიზაციები, რომლებიც აკონტროლებენ 300 მეგავატ ან მეტ ელექტრო დატვირთვას სამომხმარებლო ტექნიკის დისტანციურად მართვის მიზნით“.

[iv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[v] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[vi] https://www.gov.uk/government/publications/review-of-the-network-and-information-systems-regulations

[vii] https://www.gov.uk/government/publications/second-post-implementation-review-of-the-network-and-information-systems-regulations-2018

[viii] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[ix] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/summary-of-the-bill

[x] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/designating-critical-suppliers

[xiii] ამ კონტექსტში რეგულირებადი სუბიექტები მოიცავენ DSIT-ის მიხედვით დანიშნულ კრიტიკულად მნიშვნელოვან მომწოდებლებს.

[xiv] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xv] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/power-to-direct-regulated-entities

[xvii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xviii] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/information-sharing

[xix] https://publications.parliament.uk/pa/bills/cbill/59-01/0329/en/240329en.pdf

[xx] CSRB-ის განმარტებით ბარათებში მოცემულია წინასწარი პოზიციონირებისა და გამოსასყიდის მოთხოვნით შექმნილი ინციდენტების მაგალითები.

[xxi] https://www.gov.uk/government/publications/deleted-cyber-security-and-resilience-network-and-information-systems-bill-factsheets/incident-reporting

  • დაკავშირებული რესურსები და სიახლეები
თქვენ უნდა დანერგოთ ინოვაცია, რადგან კიბერკრიმინალი მუდმივად ინოვაციებს ახორციელებს.
ფედერალური მთავრობა და ამერიკის ჯანმრთელობის ასოციაცია კვლავ აფრთხილებენ ჯანდაცვის სექტორს აკირას საფრთხის შესახებ