Skip to main content

H-ISAC Hacking Healthcare 9-9-2020

TLP White: ამ კვირაში, Hacking Healthcare სთხოვს მკითხველს, დაიწყონ ფიქრი კიბერ-ფიზიკურ ინციდენტებზე და რამდენად მზადაა თქვენი ორგანიზაცია გაუმკლავდეს შედეგებს. შემდეგი, ჩვენ ვარღვევთ ბოლო განცხადებას, რომ ჩინეთი წარადგენს მონაცემთა უსაფრთხოების საკუთარ გლობალურ ინიციატივას და რა შეიძლება იყოს მოსალოდნელი ამის შედეგად. და ბოლოს, ჩვენ მოკლედ განვიხილავთ, თუ როგორ აისახება ჯანდაცვის სექტორზე შიდა უსაფრთხოების დეპარტამენტის (DHS) ახალი სავალდებულო ოპერატიული დირექტივა, რომელიც სამთავრობო უწყებებს ავალდებულებს დაუცველობის გამჟღავნების პოლიტიკას.

შეგახსენებთ, ეს არის Hacking Healthcare ბლოგის საჯარო ვერსია. დამატებითი სიღრმისეული ანალიზისა და მოსაზრებისთვის, გახდი H-ISAC-ის წევრი და მიიღეთ ამ ბლოგის TLP Amber ვერსია (ხელმისაწვდომია წევრების პორტალზე).

 

გთხოვთ, დაგვიტოვოთ თქვენი დრო, რათა ვუპასუხოთ რამდენიმე კითხვას ამ კვირის ჰაკერული ჯანდაცვის თემების შესახებ. შედეგებს უახლოეს ნომერში გამოვაქვეყნებთ. გამოკითხვის ბმული მიჰყვება ქვემოთ მოცემულ სტატიებს.

 

 

კეთილი იყოს თქვენი მობრძანება ჰაკერული ჯანდაცვა.

 

1. დროა დავიწყოთ ფიქრი კიბერ-ფიზიკურ პასუხისმგებლობაზე.

ვინაიდან კიბერ და ფიზიკურ სამყაროს შორის განსხვავება სულ უფრო ბუნდოვანია, ორგანიზაციები, სავარაუდოდ, შეხვდებიან ახალ გამოწვევებს, რომლებიც დაკავშირებულია კიბერ-ფიზიკური ინციდენტების ახალ ვალდებულებებთან, წესებთან და რეგულაციებთან. Gartner-ის აზრით, ეს სამართლებრივი და მარეგულირებელი ცვლილებები, სავარაუდოდ, სწრაფად მოხდება პოტენციური შედეგების სერიოზული ხასიათის გამო.

გარტნერის პროგნოზებს შორის არის პრეტენზია, რომ აღმასრულებელი დირექტორიების 75% შეიძლება იყოს პასუხისმგებელი კიბერფიზიკურ ინციდენტებზე 2024 წლისთვის. Gartner პროგნოზირებს, რომ აღმასრულებელი დირექტორებისთვის სულ უფრო რთული იქნება „უყურადღებობა ან უკან დახევა სადაზღვევო პოლისის უკან“.[1] გარდა ამისა, ისინი ვარაუდობენ, რომ იქნება სწრაფი ზრდა კიბერფიზიკურ ინციდენტებში ამ სფეროში დაგეგმვისა და დანახარჯების ნაკლებობის გამო. ყველაზე შემაშფოთებელია მათი ანალიზი იმის შესახებ, რომ კიბერ-ფიზიკური ინციდენტების ფინანსური ზემოქმედება ფატალური მსხვერპლით 50 წლისთვის 2023 მილიარდ დოლარს გადააჭარბებს.[2]

გარტნერმა ასევე დაასახელა შეშფოთება, რომ ბევრმა ორგანიზაციამ სრულად არ იცის ყველა კიბერ-ფიზიკური სისტემის შესახებ, რომელიც მათ უკვე აქვთ განლაგებული. ამ საკითხების გადაწყვეტის აუცილებლობის შესახებ კომენტირებისას, Gartner-ის კვლევის ვიცე-პრეზიდენტმა, კეტელ ტილემანმა, მოუწოდა ტექნოლოგიების ლიდერებს დაეხმარონ აღმასრულებელ დირექტორებს გაიგონ კიბერ-ფიზიკური ინციდენტების საფრთხე და საჭიროება შექმნან „ოპერაციული გამძლეობის მენეჯმენტი (ORM) ინფორმაციაზე ორიენტირებული კიბერის მიღმა. უსაფრთხოება.”[3]

მოქმედება და ანალიზი
** აუცილებელია გაწევრიანება **

 

2. ჩინეთი გამოაქვეყნებს მონაცემთა უსაფრთხოების გლობალურ ინიციატივას.

სამშაბათს დილით გამოცხადდა, რომ ჩინეთი აპირებს მონაცემთა უსაფრთხოების გლობალური ინიციატივის წამოწყებას. Global Times-ის თანახმად, ეს ინიციატივა განიხილება, როგორც პოტენციური მსოფლიო სტანდარტი მონაცემთა უსაფრთხოებისთვის და ამტკიცებს, რომ გადაჭრის ზოგიერთი ხშირად ციტირებული შეშფოთება მთავრობებსა და კორპორაციებს მონაცემთა კონფიდენციალურობასა და უსაფრთხოებასთან დაკავშირებით ჩინეთში.[4]

Global Times იუწყება, რომ ინიციატივა რვა წინადადებისგან შედგება. მოხსენება ვარაუდობს, რომ ინიციატივა მოიცავს ან მხარს უჭერს შემდეგ პუნქტებს:[5], [6]

  • სახელმწიფოებმა [უნდა] განიხილონ მონაცემთა უსაფრთხოება ყოვლისმომცველი, ობიექტური და მტკიცებულებებზე დაფუძნებული გზით
  • [ოპოზიცია] ICT-ის აქტივობებს, რომლებიც იყენებენ მონაცემებს სხვა სახელმწიფოების ეროვნულ უსაფრთხოებასა და ინტერესებს ძირს უთხრის აქტივობებს
  • [ოპოზიცია] მასობრივი მეთვალყურეობისთვის სხვა სახელმწიფოების წინააღმდეგ
  • სახელმწიფოებმა არ უნდა მოსთხოვონ ადგილობრივ კომპანიებს საზღვარგარეთ გენერირებული და მოპოვებული მონაცემების შენახვა საკუთარ ტერიტორიაზე
  • სახელმწიფოებმა პატივი უნდა სცენ სხვა სახელმწიფოების მონაცემების სუვერენიტეტს, იურისდიქციას და მართვას და მონაცემთა ხელმისაწვდომობის ნებისმიერი ორმხრივი შეთანხმება არ უნდა არღვევდეს მესამე სახელმწიფოს სასამართლო სუვერენიტეტსა და მონაცემთა უსაფრთხოებას.
  • ICT პროდუქტები და სერვისების პროვაიდერებმა არ უნდა დააინსტალირონ უკანა კარები თავიანთ პროდუქტებსა და სერვისებში მომხმარებლის მონაცემების უკანონოდ მოსაპოვებლად, ან მომხმარებლების სისტემებისა და მოწყობილობების კონტროლის ან მანიპულირების მიზნით.
  • ICT კომპანიებმა არ უნდა ეძებონ არალეგიტიმური ინტერესები, ისარგებლონ მომხმარებლის დამოკიდებულებით მათ პროდუქტებზე და არც აიძულონ მომხმარებლები განაახლონ თავიანთი სისტემები და მოწყობილობები.

ჩინეთის საგარეო საქმეთა სამინისტროს სპიკერმა ჟაო ლიჯიანმა განაცხადა, რომ „ინიციატივა მიზნად ისახავს გლობალური მონაცემებისა და მიწოდების ჯაჭვის უსაფრთხოების დაცვას, ციფრული ეკონომიკის განვითარების ხელშეწყობას და გლობალური წესების ფორმულირების გეგმას“.[7] გარდა ამისა, ამბობენ, რომ ჩინეთის მთავრობის ოფიციალური პირები ამ საკითხებთან დაკავშირებით შეერთებული შტატების საგარეო პოლიტიკას არაერთხელ უსაყვედურეს. ამჟამად გაურკვეველია, რამდენად გლობალური მხარდაჭერა არსებობს ამ ინიციატივისთვის.

მოქმედება და ანალიზი
** აუცილებელია გაწევრიანება **

 

3. მთავრობის დაუცველობის გამჟღავნება ძლიერდება.

გასულ ოთხშაბათს, კიბერუსაფრთხოების და ინფრასტრუქტურის უსაფრთხოების სააგენტომ (CISA) DHS-ის ქვეშ გამოსცა დიდი ხნის ნანატრი სავალდებულო ოპერატიული დირექტივა (BOD) დაუცველობის გამჟღავნების პოლიტიკაზე (VDPs) ფედერალური მთავრობისთვის. BOD 20-01 აძლევდა სამთავრობო უწყებებს ექვს თვეს, რათა „დააარსონ VDP-ები, რომლებიც არ ნებდებათ სამართლებრივ ქმედებებს მკვლევართა წინააღმდეგ, რომლებიც მოქმედებენ კეთილსინდისიერად, მონაწილეებს უფლებას აძლევს წარადგინონ მოწყვლადობის შესახებ ანგარიშები ანონიმურად და დაფარონ მინიმუმ ერთი ინტერნეტით ხელმისაწვდომი სისტემა ან სერვისი“.[8]

შეგახსენებთ, რომ BOD არის „სავალდებულო მიმართულება ფედერალური, აღმასრულებელი შტოს, დეპარტამენტებისა და სააგენტოებისთვის ფედერალური ინფორმაციისა და საინფორმაციო სისტემების დაცვის მიზნით“, რომელიც შეიძლება გაცემული იყოს DHS-ის მიერ.[9] ეს კონკრეტული BOD მოყვება DHS-ის აღიარებით, რომ „მოწყვლადობის გამჟღავნების პოლიტიკა აძლიერებს მთავრობის ონლაინ სერვისების მდგრადობას“ და არის „საწარმოთა დაუცველობის მართვის ეფექტური პროგრამის მნიშვნელოვანი ელემენტი“.[10]

სააგენტოებისთვის, რომლებსაც არ აქვთ დიდი გამოცდილება დაუცველობის გამჟღავნების პოლიტიკის შემუშავებაში, BOD 20-01 სასარგებლოდ ასახავს სხვადასხვა მოთხოვნებს, იძლევა მითითებებს განხორციელების შესახებ და ბმულებსაც კი VDP შაბლონთან. მიუხედავად იმისა, რომ VDP-ის ჩამოყალიბება ფედერალურ მთავრობაში აქამდე ნელი იყო, ეს სავალდებულო დირექტივა მკაფიო განხორციელების ინსტრუქციებით უნდა დაეხმაროს VDP-ის მიღების დაჩქარებას.

მოქმედება და ანალიზი
** აუცილებელია გაწევრიანება **

 

 

კვლევა

გთხოვთ, დაუთმოთ ერთი წუთი, რომ უპასუხოთ რამდენიმე კითხვას ამ კვირის ჰაკერული ჯანდაცვის შესახებ, ეწვიეთ ამ ბმულს:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

კონგრესი -

 

სამშაბათი, სექტემბერი 9:

– სენატი – ჯანმრთელობის, განათლების, შრომისა და პენსიების კომიტეტი: მოსმენები ვაქცინების შესამოწმებლად, ფოკუსირებული სიცოცხლის გადარჩენაზე, ნდობის უზრუნველყოფაზე და საზოგადოებრივი ჯანმრთელობის დაცვაზე.

 

ოთხშაბათი, სექტემბერი 10:

- არანაირი შესაბამისი მოსმენა

 

ხუთშაბათს, 11 სექტემბერს:

- არანაირი შესაბამისი მოსმენა

 

 

 

საერთაშორისო მოსმენები/შეხვედრები -

 

- არანაირი შესაბამისი მოსმენა

 

 

ᲔᲕᲠᲝᲞᲐ -

ოთხშაბათი, სექტემბერი 10:

– ევროპარლამენტი – გარემოს დაცვის, საზოგადოებრივი ჯანმრთელობისა და სურსათის უვნებლობის კომიტეტი

 

ხუთშაბათს, 11 სექტემბერს:

– ევროპარლამენტი – გარემოს დაცვის, საზოგადოებრივი ჯანმრთელობისა და სურსათის უვნებლობის კომიტეტი

 

 

 

 

სხვადასხვა -

 

Ransomware ხვდება ორ სახელმწიფო ორგანიზაციას ახლო აღმოსავლეთში და ჩრდილოეთ აფრიკაში

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

საფრანგეთი აფრთხილებს Emotet-ის კომპანიებს და ადმინისტრაციას თავს დაესხმება

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-კომპანიები-ადმინისტრაცია/

გუგლის ხელოვნური ინტელექტის საშუალებით მომუშავე მიკროსკოპებმა შეიძლება შეცვალონ კიბოს დიაგნოსტიკა

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-ცვლილება-კიბო-დიაგნოსტიკა/168220/

 

 

 

კონფერენციები, ვებინარები და სამიტები -

 

https://h-isac.org/events/

 

დაგვიკავშირდით: მიჰყევით @HealthISAC და ელფოსტაზე contact@h-isac.org

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • დაკავშირებული რესურსები და სიახლეები