Skip to main content

H-ISAC Hacking Healthcare 9-1-2020

TLP White: ამ კვირაში Hacking Healthcare იწყება ჯანმრთელობისა და ადამიანური სერვისების (HHS) სამოქალაქო უფლებების ოფისის (OCR) მათი საზაფხულო კიბერუსაფრთხოების საინფორმაციო ბიულეტენის გამოქვეყნებით, რაც ადასტურებს ინფორმაციული ტექნოლოგიების (IT) აქტივის დანერგვას. ინვენტარს შეუძლია დაეხმაროს HIPAA შესაბამისობას. შემდეგი, ჩვენ გაცნობებთ ბოლოდროინდელ ბრალდებებს, რომლებიც წაუყენეს Uber-ის ყოფილ უსაფრთხოების ოფიცერს (CSO) ჯო სალივანს მისი როლისთვის 2016 წლის მონაცემების დარღვევის დაფარვაში და განვიხილავთ, თუ რა შეიძლება გააკეთოს ჯანდაცვის სექტორმა ასეთი ქცევის სტიმულირებისთვის. და ბოლოს, ჩვენ ვანაწილებთ შიდა საფრთხის შეტევას ბედნიერი დასასრულით და განვიხილავთ, თუ რა შეუძლიათ გააკეთონ ორგანიზაციებმა ასეთი თავდასხმების შესამცირებლად.

შეგახსენებთ, ეს არის Hacking Healthcare ბლოგის საჯარო ვერსია. დამატებითი სიღრმისეული ანალიზისა და მოსაზრებისთვის, გახდი H-ISAC-ის წევრი და მიიღეთ ამ ბლოგის TLP Amber ვერსია (ხელმისაწვდომია წევრების პორტალზე).

 

კეთილი იყოს თქვენი მობრძანება ჰაკერული ჯანდაცვა.

 

1. OCR აყენებს IT აქტივების ინვენტარს, როგორც უპირატესობას HIPAA შესაბამისობისთვის.

აგვისტოს 25th, OCR-მ გაავრცელა მათი 2020 წლის ზაფხულის კიბერუსაფრთხოების საინფორმაციო ბიულეტენი. მასში OCR-მ აღნიშნა, რომ მათი მრავალი გამოკვლევის საერთო ასპექტია ორგანიზაციის ნაკლებობა იმის შესახებ, თუ სად ინახება ელექტრონული დაცული ჯანმრთელობის ინფორმაცია (ePHI). ცნობიერების ეს ნაკლებობა დაბრკოლებებს უქმნის ორგანიზაციებს, რომლებიც ცდილობენ შეაფასონ თავიანთი საწარმოს რისკი, როდესაც საქმე ეხება HIPAA უსაფრთხოების წესების დაცვას. OCR-ის აზრით, ორგანიზაციებმა სერიოზულად უნდა განიხილონ "განახლებული, საინფორმაციო ტექნოლოგიების (IT) აქტივების ინვენტარის შექმნა და შენარჩუნება, რათა უკეთესად მიიღონ ხილვადობა იმ ადგილის შესახებ, სადაც ინახება ePHI, რაც გააუმჯობესებს მათ უნარს დარჩნენ HIPAA-ს შესაბამისობაში და თავიდან აიცილონ ჯარიმები.[1]

რა არის IT აქტივების ინვენტარი?

თავის ბიულეტენში, OCR განსაზღვრავს IT აქტივების ინვენტარს, როგორც „ორგანიზაციის IT აქტივების ყოვლისმომცველ ჩამონათვალს შესაბამისი აღწერილობითი ინფორმაციით“, რომელიც შეიძლება მოიცავდეს აპარატურას, პროგრამულ უზრუნველყოფას და მონაცემებს.[2] მიუხედავად იმისა, რომ IT აქტივების ინვენტარი შეიძლება მოიცავდეს მხოლოდ ტექნიკის, პროგრამული უზრუნველყოფისა და მონაცემების შემცველობას, რომლებიც დაკავშირებულია ePHI-თან, OCR აღნიშნავს, რომ მნიშვნელოვანი სარგებელი აქვს მათ, ვინც მას მოიცავს ორგანიზაციის აქტივების მთლიანობაში. მათთვის, ვინც ეძებს მეტ სპეციფიკას, NIST კიბერუსაფრთხოების ჩარჩოს Identify ფუნქცია უთმობს მთელ კატეგორიას აქტივების მენეჯმენტს, სრულყოფილად ცნობილ საერთაშორისო სტანდარტებზე ინფორმაციული მითითებით.

როგორ განვახორციელო IT აქტივების ინვენტარი?

მიუხედავად იმისა, რომ ეს პროცესი შეიძლება ჩატარდეს ხელით, თქვენი ორგანიზაციის სპეციფიკაციებზე მორგებული შიდა გადაწყვეტილებების გამოყენებით, ბაზარზე არსებობს უამრავი IT აქტივების მართვის გადაწყვეტილებები, რომლებიც შეიძლება შეფასდეს ჯანდაცვის ორგანიზაციის სპეციფიკურ საჭიროებებზე. როგორც OCR აღნიშნავს, ეს გამოყოფილი გადაწყვეტილებები ხშირად შეიძლება შეიცავდეს დამხმარე ფუნქციებს, როგორიცაა „ავტომატური აღმოჩენისა და განახლების პროცესები აქტივებისა და ინვენტარის მართვისთვის“.[3]

მოქმედება და ანალიზი

** აუცილებელია გაწევრიანება **

 

2. აშშ-ის იუსტიციის დეპარტამენტი (DOJ) ბრალს სდებს სსო-ს დარღვევის დამალვის გამო.

2016 წელს Uber-მა, ცნობილმა სატრანსპორტო კომპანიამ, განიცადა მნიშვნელოვანი დარღვევა, რამაც კომპრომეტირება მოახდინა მათი მილიონობით მომხმარებლის შესახებ. თუმცა, მიუხედავად დარღვევის მნიშვნელობისა, Uber-მა უარი თქვა ინციდენტის გამჟღავნებაზე ერთი წლის განმავლობაში. ხანგრძლივი შეფერხების ისტორია და შედეგად მიღებული შედეგი უნდა იყოს გამაფრთხილებელი ამბავი ნებისმიერი ორგანიზაციისთვის, რომელიც გადაწყვეტს არ შეასრულოს თავისი ვალდებულებები და შეატყობინონ დარღვევების შესახებ შესაბამის ორგანოებს.

Uber-მა აღწერა 2016 წლის დარღვევა იმით, რომ „კომპანიის მიღმა ორმა პირმა არასათანადოდ მიიღო წვდომა მესამე მხარის ღრუბელზე დაფუძნებულ სერვისზე შენახულ მომხმარებლის მონაცემებზე“, რამაც მათ მისცა წვდომა „57 მილიონი Uber მომხმარებლის ზოგიერთ პერსონალურ ინფორმაციაზე მთელს მსოფლიოში, მათ შორის "შეერთებულ შტატებში დაახლოებით 600,000 მძღოლის სახელები და მართვის მოწმობის ნომერი."[4] ერთადერთი პრობლემა ის იყო, რომ ეს განცხადება მოხდა 2017 წლის ნოემბერში, დარღვევის დარღვევიდან ერთი წლის შემდეგ.

როგორც იუსტიციის სამინისტრო განმარტავს, ირკვევა, რომ დაგვიანების და საბოლოო გამოძიების ფედერალური ბიუროს (FBI) გამოძიების მიზეზი იყო ის, რომ Uber-ის მაშინდელი სამოქალაქო ორგანიზაცია, ჯო სალივანი, კოორდინაციას უწევდა მცდელობას, „შეეკავებინა და დამალულიყო FTC-ისგან როგორც თავად ჰაკინგი“. და ის ფაქტი, რომ მონაცემთა დარღვევის შედეგად ჰაკერებმა მიიღეს მილიონობით ჩანაწერი, რომლებიც დაკავშირებულია Uber-ის მომხმარებლებთან და დრაივერებთან.[5]  სალივანის ქმედებები მოიცავს იმას, რაც აღწერილია აშშ-ს კალიფორნიის ჩრდილოეთ ოლქის პროკურორმა დევიდ ანდერსონმა, როგორც „არაკანონიერი დახურული ფული [გადახდა]“ ჰაკერებისთვის, რომლებიც გადაცმულია როგორც ხარვეზების ბონუტი.[6] Uber იძულებული გახდა 148 მილიონი დოლარი გადაეხადა 2018 წლის მორიგებაში და გასულ კვირას სალივანს ბრალი წაუყენეს მართლმსაჯულების ხელშეშლასა და დანაშაულის ჩადენის ბრალდებით, რაც შეიძლება საერთო ჯამში 8 წლით თავისუფლების აღკვეთას მოჰყვეს.[7]

მოქმედება და ანალიზი

** აუცილებელია გაწევრიანება **

 

3. რუსეთის მცდელობა ტესლაზე კომპრომისზე წაეშალა ინსაიდერის ქმედებით.

გასულ კვირას, DOJ-ს ახალ მოხსენებაში ასახული იყო ის, რაც, როგორც ჩანს, არის გაბედული რუსული მცდელობა, დათრგუნოს Tesla-ს კომპიუტერული ქსელი ამ ზაფხულს. საბედნიეროდ, სავარაუდო გეგმა ჩაიშალა ინსაიდერის ქმედებებით, რომელმაც კეთილსინდისიერად გააფრთხილა ხელისუფლება და დაიწყო დაპატიმრება. მიუხედავად იმისა, რომ საბოლოოდ დადებით შედეგს მოჰყვება ტესლასთვის, სიუჟეტი ხაზს უსვამს მავნე კიბერ აქტორების მიერ გამოყენებულ მრავალ ტაქტიკას და იმეორებს, თუ რამდენად მნიშვნელოვანია თანამშრომლები ორგანიზაციის კიბერუსაფრთხოებისთვის.

25 აგვისტოს, იუსტიციის სამინისტრომ გამოაქვეყნა პრესრელიზი სახელწოდებით რუსი მოქალაქე დააკავეს ნევადის კომპანიის კომპიუტერულ ქსელში მავნე პროგრამის შეტანის შეთქმულებისთვის რომელიც ფართოდ ასახავდა სავარაუდო დანაშაულებრივ გეგმას.[8] ივლისის შუა რიცხვებში, ეგორ იგორევიჩ კრიუჩკოვმა, რუსეთის მოქალაქემ, სცადა „კომპანიის თანამშრომლის დაქირავება მავნე პროგრამების დასანერგად“ კომპანიის ქსელში.[9] კომპანია კითხვის ნიშნის ქვეშ იყო Tesla და მავნე პროგრამის მიზანი იყო მონაცემების ამოღება და გამოსასყიდად შენახვა.[10] საინტერესოა, რომ კრიუჩკოვი ფაქტობრივად გაეშურა შეერთებული შტატებისკენ, რათა დაექირავებინა ინსაიდერი და პირადად განეხილა ოპერაცია. არჩეული რეკრუტი, რომელიც სავარაუდოდ რუსულენოვანი არაამერიკელი მოქალაქეა, სავარაუდოდ წინასწარ იყო დანიშნული.[11]

საბედნიეროდ, ინსაიდერმა კეთილსინდისიერად აცნობა ამ მავნე მიდგომას კომპანიას და FBI მყისიერად ჩაერთო. მომდევნო რამდენიმე კვირის განმავლობაში, FBI-ს ხელმძღვანელობით, ინსაიდერმა შეაგროვა ღირებული ინფორმაცია რუსეთის ოპერაციების შესახებ, მათ შორის ინფრასტრუქტურის, პროცესებისა და პროცედურების ჩათვლით, ასევე დეტალები, რომლებიც დაეხმარა FBI-ს ჩართული პირების იდენტიფიცირებაში. მას შემდეგ კრიუჩკოვი დააკავეს და სასამართლოს ელოდება.

მოქმედება და ანალიზი

** აუცილებელია გაწევრიანება **

 

 

 

 

კონგრესი -

 

სამშაბათს, 1 სექტემბერს:

- არანაირი შესაბამისი მოსმენა

 

ოთხშაბათს, 2 სექტემბერს:

- არანაირი შესაბამისი მოსმენა

 

ხუთშაბათი, 3 სექტემბერი:

- არანაირი შესაბამისი მოსმენა

 

 

 

საერთაშორისო მოსმენები/შეხვედრები -

 

- არანაირი შესაბამისი მოსმენა

 

 

ᲔᲕᲠᲝᲞᲐ -

 

ოთხშაბათს, 2 სექტემბერს:

– გარემოს დაცვის, საზოგადოებრივი ჯანმრთელობისა და სურსათის უვნებლობის კომიტეტის სხდომა

 

ხუთშაბათი, 3 სექტემბერი:

– გარემოს დაცვის, საზოგადოებრივი ჯანმრთელობისა და სურსათის უვნებლობის კომიტეტის სხდომა

 

 

სხვადასხვა -

 

 

გამოკითხვა: 3 ამერიკელიდან თითქმის 4-ს სურს მეტი სახელმწიფო ზედამხედველობა მონაცემთა კონფიდენციალურობაზე

https://www.nextgov.com/analytics-data/2020/08/survey-nearly-3-4-americans-want-more-government-oversight-data-privacy/167983/

NIST მოუწოდებს სტანდარტებს Cloud-ში სასამართლო ექსპერტიზის შესაძლებლობების გასაუმჯობესებლად

https://www.nextgov.com/it-modernization/2020/08/nist-calls-standards-improve-forensic-capabilities-cloud/168051/

საძიებო სისტემებმა შესაძლოა გამოავლინონ პაციენტის ჯანმრთელობის ინფორმაცია, აფრთხილებს ACR

https://healthitsecurity.com/news/search-engines-may-expose-patient-health-information-acr-warns

 

 

დაგვიკავშირდით: მიჰყევით @HealthISAC და ელფოსტაზე contact@h-isac.org

 

კონფერენციები, ვებინარები და სამიტები -

— შეაჩერე სისხლდენის მონაცემები: მინიმუმამდე დაიყვანოთ მესამე მხარის რისკი ჯანდაცვაში RISKRECON-ით – ვებინარი (9/1/2020)

https://h-isac.org/hisacevents/stop-hemorrhaging-data-minimize-third-party-risk-in-healthcare-by-riskrecon/

– ჯანდაცვის კიბერუსაფრთხოების ფორუმი – სამხრეთ-აღმოსავლეთი – ვებინარი (9/9/2020)

https://endeavor.swoogo.com/Southeast_Virtual_Healthcare_Innovation_Cybersecurity_Forum

— H-ISAC ვირტუალური საფრთხეებზე ნადირობის სემინარი დაფინანსებული RiskIQ-ის მიერ – ვებინარი (9/9/2020)

https://h-isac.org/hisacevents/h-isac-threat-hunting-workshop-sponsored-by-riskiq-members-only/

–H-ISAC ევროპული საბჭოს ვებინარების სერია – ვებინარი (9/10/2020)

https://h-isac.org/hisacevents/h-isac-european-council-webinar-series-2/

-როგორ დავრჩეთ წინ Maze და WastedLocker Ransomware SafeBreach-ით - ვებინარი (9/16/2020)

https://h-isac.org/hisacevents/how-to-stay-ahead-of-maze-and-wastelocker-ransomware-by-safebreach/

– კიბერუსაფრთხოების მდგრადობა COVID-19-ის სამყაროში – ვებინარი (9/18/2020)

https://h-isac.org/hisacevents/cybersecurity-resilience-in-the-world-of-covid-19/

— ENISA Trust Services Forum – CA Day 2020 – Schloßplatz Berlin, გერმანია (9/22/2020)

https://h-isac.org/hisacevents/enisa-trust-services-forum-ca-day-2020/

– ჯანდაცვის კიბერუსაფრთხოების ფორუმი – ჩრდილო-აღმოსავლეთი – ვებინარი (9/22/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/427126

–H-ISAC Cyber ​​Threat Intel Training – Titusville, FL (9/22/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-titusville-fl/

–H-ISAC უსაფრთხოების სემინარი – ვირტუალური (9/23/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-forchheim-germany/

– სამიტი უსაფრთხოებისა და მესამე მხარის რისკებზე – National Harbor, MD (9/28/2020-9/30/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840

–H-ISAC წევრის ყოველთვიური საფრთხის ბრიფინგი – ვებინარი (9/29/2020)

https://h-isac.org/hisacevents/h-isac-monthly-member-threat-briefing-12/

— MedTech კონფერენცია - ვირტუალური (10/5/2020)

https://h-isac.org/hisacevents/the-medtech-conference-toronto/

- ჯანდაცვის კიბერუსაფრთხოების ფორუმი - ჰიუსტონი, ტეხასი (10/8/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840

— NCHICA AMC უსაფრთხოებისა და კონფიდენციალურობის კონფერენცია - დურჰემი, ჩრდილოეთ კაროლინა (10/21/2020-10/22/2020)

https://h-isac.org/hisacevents/nchica-amc-security-privacy-conference/

— 2020 H-ISAC ევროპის სამიტი – სანტპურტ-ნოორდი, ნიდერლანდები (10/20/2020-10/22/2020)

https://h-isac.org/summits/european-2020-summit/

–CYSEC 2020 – დუბროვნიკი, ხორვატია (10/27/2020 – 10/28/2020)

https://h-isac.org/hisacevents/cysec-2020-croatia/

– ჯანდაცვის კიბერუსაფრთხოების ფორუმი – წყნარი ოკეანის ჩრდილო – დასავლეთი – სიეტლი, WA (10/28/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428886

–H-ISAC ვირტუალური სამედიცინო მოწყობილობის უსაფრთხოების სემინარი – ვებინარი (10/29/2020)

https://h-isac.org/hisacevents/h-isac-virtual-medical-device-security-workshop/

–H-ISAC უსაფრთხოების სემინარი – სიეტლი, ვაშინგტონი – (10/29/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-seattle-wa-2/

– ჯანდაცვის კიბერუსაფრთხოების ფორუმი – კალიფორნია – ლოს ანჯელესი, კალიფორნია (11/12/2020)

ჯანდაცვის კიბერუსაფრთხოების ფორუმი - კალიფორნია

–H-ISAC უსაფრთხოების სემინარი – პარიზი, საფრანგეთი (11/18/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-paris-france/

–H-ISAC საშემოდგომო სამიტი – ფენიქსი, AZ (11/30/2020-12/4/2020)

https://h-isac.org/summits/fall-summit-2020/

— H-ISAC უსაფრთხოების სემინარი – პრაღა, ჩეხეთი (12/8/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-prague/

— 2021 APAC სამიტი - სინგაპური (3/23/2021-3/25/2021)

 

[1] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html

[2] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html

[3] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html

[4] https://www.uber.com/newsroom/2016-data-incident/

[5] https://www.justice.gov/usao-ndca/press-release/file/1306781/download

[6] https://www.zdnet.com/article/former-uber-cso-charged-for-2016-hack-cover-up/

[7] https://www.zdnet.com/article/former-uber-cso-charged-for-2016-hack-cover-up/

[8] https://www.justice.gov/opa/pr/russian-national-arrested-conspiracy-introduce-malware-nevada-companys-computer-network

[9] https://www.justice.gov/opa/pr/russian-national-arrested-conspiracy-introduce-malware-nevada-companys-computer-network

[10] https://news.clearancejobs.com/2020/08/26/company-insider-works-with-fbi-to-turn-the-tables-on-russias-million-dollar-attempt-to-hijack-the-network/

[11] https://news.clearancejobs.com/2020/08/26/company-insider-works-with-fbi-to-turn-the-tables-on-russias-million-dollar-attempt-to-hijack-the-network/

  • დაკავშირებული რესურსები და სიახლეები