메인 컨텐츠로 가기

H-ISAC 해킹 헬스케어 9-9-2020

TLP White: 이번 주에 Hacking Healthcare는 독자들에게 사이버 물리적 사고에 대해 생각해보고 조직이 그 결과를 처리할 준비가 되어 있는지 물어보고 있습니다. 다음으로, 중국이 자체 글로벌 데이터 보안 이니셔티브를 공개한다는 최근 발표와 그 결과로 예상되는 내용을 분석합니다. 마지막으로, 정부 기관이 취약점 공개 정책을 채택하도록 요구하는 국토안보부(DHS)의 새로운 구속력 있는 운영 지침이 의료 분야에 어떤 영향을 미치는지 간략히 살펴봅니다.

상기시켜드리자면, 이것은 Hacking Healthcare 블로그의 공개 버전입니다. 심층적인 분석과 의견을 더 알아보려면 H-ISAC의 회원이 되어 이 블로그의 TLP Amber 버전을 받으세요(회원 포털에서 이용 가능).

 

이번 주의 Hacking Healthcare 주제에 대한 몇 가지 질문에 답변할 시간을 1분만 주세요. 결과는 다음 호에 게재됩니다. 설문 조사 링크는 아래 기사 뒤에 있습니다.

 

 

다시에 오신 것을 환영합니다. 헬스케어 해킹.

 

1. 사이버 물리적 책임에 대해 생각할 때가 왔습니다.

사이버 세계와 물리적 세계 간의 구분이 점점 모호해짐에 따라 조직은 사이버 물리적 사고에 대한 새로운 책임, 규칙 및 규정과 관련된 새로운 과제에 직면할 가능성이 높습니다. Gartner에 따르면 이러한 법적 및 규제적 변화는 잠재적 결과의 심각성으로 인해 빠르게 발생할 가능성이 높습니다.

가트너가 내린 더욱 눈살을 찌푸리게 하는 예측 중 하나는 75년까지 CEO의 2024%가 사이버 물리적 사고에 대해 개인적으로 책임을 져야 할 수 있다는 주장입니다. 가트너는 CEO가 "무지를 변명하거나 보험 정책 뒤로 물러서는" 것이 점점 더 어려워질 것이라고 예측합니다.[1] 또한, 그들은 이 분야에서 계획과 지출이 부족하여 사이버 물리적 사고가 빠르게 증가할 것으로 예측합니다. 가장 우려되는 것은 치명적인 사상자를 낸 사이버 물리적 사고의 재정적 영향이 50년까지 2023억 달러를 넘을 것이라는 분석입니다.[2]

Gartner는 또한 많은 조직이 이미 구축한 모든 사이버-물리적 시스템을 완전히 인식하지 못하고 있다는 우려를 언급했습니다. 이러한 문제를 해결해야 할 필요성에 대해 언급하면서 Gartner의 연구 부사장인 Katell Thielemann은 기술 리더에게 CEO가 사이버-물리적 사고의 위협과 정보 중심 사이버 보안을 넘어서는 "운영 회복력 관리(ORM)"를 확립해야 할 필요성을 이해하도록 도울 것을 촉구했습니다.[3]

액션 & 분석
** 회원가입이 필요합니다 **

 

2. 중국이 글로벌 데이터 보안 이니셔티브를 발표했습니다.

화요일 아침, 중국이 글로벌 데이터 보안 이니셔티브를 시작할 계획이라고 발표되었습니다. Global Times에 따르면, 이 이니셔티브는 데이터 보안을 위한 잠재적인 세계적 표준으로 선전되고 있으며, 중국 내 데이터 프라이버시와 보안과 관련하여 정부와 기업이 자주 언급하는 우려 ​​사항 중 일부를 해결한다고 주장합니다.[4]

Global Times는 이 이니셔티브가 8개의 제안으로 구성되어 있다고 보도했습니다. 보도에 따르면 이니셔티브에는 다음 사항이 포함되거나 지원됩니다.[5], [6]

  • 국가는 포괄적이고 객관적이며 증거 기반의 방식으로 데이터 보안을 처리해야 합니다.
  • [반대] 다른 국가의 국가 안보와 이익을 훼손하는 활동을 수행하기 위해 데이터를 사용하는 ICT 활동에 대한 반대
  • [반대] 다른 국가에 대한 대량 감시에 대한
  • 국가는 국내 기업에 해외에서 생성 및 수집된 데이터를 자국 영토에 저장하도록 요청해서는 안 됩니다.
  • 국가는 다른 국가의 데이터에 대한 주권, 관할권 및 거버넌스를 존중해야 하며, 양자 데이터 접근 계약은 제3국의 사법 주권 및 데이터 보안을 침해해서는 안 됩니다.
  • ICT 제품 및 서비스 제공자는 사용자 데이터를 불법적으로 획득하거나 사용자의 시스템 및 장치를 제어 또는 조작하기 위해 자사 제품 및 서비스에 백도어를 설치해서는 안 됩니다.
  • ICT 기업은 자사 제품에 대한 사용자의 의존성을 이용해 부당한 이익을 추구하거나 사용자에게 시스템 및 기기를 업그레이드하도록 강요해서는 안 됩니다.

중국 외교부 대변인인 조리젠은 "이 이니셔티브는 글로벌 데이터와 공급망 보안을 보호하고, 디지털 경제의 발전을 촉진하며, 글로벌 규칙 수립을 위한 청사진을 제공하는 것을 목표로 한다"고 말한 것으로 알려졌습니다.[7] 또한 중국 정부 관리들은 이 문제에 대한 미국의 외교 정책에 대해 여러 차례 얄밉게 비난을 가한 것으로 전해진다. 현재 이 이니셔티브에 대한 세계적 지원이 얼마나 있는지는 불분명하다.

액션 & 분석
** 회원가입이 필요합니다 **

 

3. 정부의 취약점 공개가 확대됩니다.

지난 수요일, DHS 산하 사이버보안 및 인프라 보안국(CISA)은 연방 정부의 취약성 공개 정책(VDP)에 대한 오랫동안 기다려온 구속력 있는 운영 지침(BOD)을 발표했습니다. BOD 20-01은 정부 기관에 "선의로 행동하는 연구자에 대한 법적 조치를 포기하고, 참여자가 익명으로 취약성 보고서를 제출할 수 있도록 허용하고, 최소한 하나의 인터넷 접속 가능한 시스템이나 서비스를 포함하는 VDP를 수립"할 수 있는 XNUMX개월의 시간을 줍니다.[8]

상기시켜드리자면, BOD는 DHS가 발행할 수 있는 "연방 정보 및 정보 시스템을 보호하기 위한 연방, 행정부, 부서 및 기관에 대한 의무적 지침"입니다.[9] 이 특정 BOD는 DHS가 "취약성 공개 정책이 정부 온라인 서비스의 회복성을 향상시키고" "효과적인 기업 취약성 관리 프로그램의 필수 요소"라는 것을 인정한 것입니다.[10]

취약성 공개 정책을 만드는 데 많은 경험이 없는 기관의 경우, BOD 20-01은 다양한 요구 사항을 유용하게 설명하고, 구현에 대한 지침을 제공하며, 심지어 VDP 템플릿에 대한 링크도 제공합니다. 연방 정부에서 VDP를 확립하는 데 지금까지 느렸지만, 명확한 구현 지침이 포함된 이 의무적 지침은 VDP 채택을 가속화하는 데 도움이 될 것입니다.

액션 & 분석
** 회원가입이 필요합니다 **

 

 

설문조사

이번 주의 Hacking Healthcare에 대한 몇 가지 질문에 1분만 시간을 내어 답변해 주세요. 이 링크를 방문하세요.

https://www.surveymonkey.com/r/QQD76GW

 

 

 

국회 -

 

9 월 화요일 9th:

– 상원 – 보건, 교육, 노동, 연금 위원회: 백신을 검토하는 청문회. 생명 구하고, 신뢰 확보하고, 공중 보건을 보호하는 데 중점을 둡니다.

 

9 월 수요일 10th:

– 관련 청문회 없음

 

11 월 XNUMX 일 목요일 :

– 관련 청문회 없음

 

 

 

국제 노동자 동맹 청문회/회의 -

 

– 관련 청문회 없음

 

 

유럽 ​​연합 -

9 월 수요일 10th:

– 유럽 의회 – 환경, 공중 보건 및 식품 안전 위원회

 

11 월 XNUMX 일 목요일 :

– 유럽 의회 – 환경, 공중 보건 및 식품 안전 위원회

 

 

 

 

잡화 –

 

랜섬웨어, 중동 및 북아프리카의 두 국영기관을 공격

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

프랑스, Emotet이 기업과 행정부를 공격한다고 경고

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-회사-행정/

구글 AI가 구동하는 현미경이 암 진단을 바꿀 수 있다

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-변경-암-진단/168220/

 

 

 

컨퍼런스, 웨비나 및 서밋 -

 

https://h-isac.org/events/

 

문의처: @HealthISAC을 팔로우하고 contact@h-isac.org로 이메일을 보내주세요.

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • 관련 리소스 및 뉴스