Wiessel Haaptberäich

H-ISAC Hacking Gesondheetswiesen 9-9-2020

TLP White: Dës Woch freet Hacking Healthcare d'Lieser fir un Cyber-kierperlech Tëschefäll ze denken a wéi bereet Är Organisatioun ass fir mat de Konsequenzen ze këmmeren. Als nächst briechen mir déi rezent Ukënnegung datt China hir eege global Datesécherheetsinitiativ enthüllt a wat als Resultat erwaart gëtt. Schlussendlech ënnersicht mir kuerz wéi d'Departement vun der Heemechtssécherheet (DHS) nei Bindende Operatiounsdirektiv, déi Regierungsagenturen erfuerdert eng Vulnerability Disclosure Policy ze adoptéieren, de Gesondheetssektor beaflosst.

Als Erënnerung ass dëst déi ëffentlech Versioun vum Hacking Healthcare Blog. Fir zousätzlech déif Analyse a Meenung, gitt Member vun H-ISAC a kritt d'TLP Amber Versioun vun dësem Blog (verfügbar am Member Portal.)

 

Gitt eis w.e.g. eng Minutt vun Ärer Zäit fir e puer Froen iwwer dës Woch Hacking Healthcare Themen ze beäntweren. Mir publizéieren d'Resultater an engem kommenden Ausgab. Survey Link follegt d'Artikelen hei drënner.

 

 

Wëllkomm zréck op Hacking Gesondheetswiesen.

 

1. Zäit fir unzefänken iwwer Cyber-Physical Responsabilitéit ze denken.

Wéi den Ënnerscheed tëscht der Cyber- a kierperlecher Welt ëmmer méi verschwënnt, wäerten Organisatioune méiglecherweis nei Erausfuerderunge stellen am Zesummenhang mat neie Verbëndlechkeete, Reegelen a Reglementer fir cyber-kierperlech Tëschefäll. Laut Gartner sinn dës gesetzlech a reglementaresch Ännerunge méiglecherweis séier wéinst der seriöer Natur vun de potenzielle Konsequenzen.

Ënnert de méi wenkbrauwen-erhéijende Prognosen, déi Gartner mécht, ass d'Fuerderung datt 75% vun de CEOe perséinlech fir cyber-kierperlech Tëschefäll verantwortlech gemaach kënne ginn bis 2024. De Gartner virausgesot datt et ëmmer méi schwéier wäert ginn fir CEOs "Ignoranz ze plädéieren oder hannert Versécherungspolicen zréckzezéien."[1] Zousätzlech viraussoen se datt et e séieren Uptick an cyber-kierperlechen Tëschefäll gëtt wéinst engem Mangel u Planung an Ausgaben an dësem Beräich. Déi meescht beonrouegend ass hir Analyse datt de finanziellen Impakt vun cyber-kierperlechen Tëschefäll, déi zu fatale Affer resultéieren, $ 50 Milliarde bis 2023 passéieren.[2]

De Gartner huet och d'Suerg zitéiert datt vill Organisatiounen net ganz bewosst sinn vun all de cyber-physikalesche Systemer déi se scho ofgesat hunn. Beim Kommentar iwwer d'Noutwennegkeet fir dës Themen unzegoen, huet dem Gartner seng Fuerschungs Vizepresident, Katell Thielemann, Technologieleit opgeruff fir CEOs ze hëllefen d'Drohung vu cyber-kierperlechen Tëschefäll ze verstoen an d'Noutwennegkeet fir "Operational Resilience Management (ORM) iwwer Informatiounscentric Cyber ​​​​ze etabléieren. Sécherheet."[3]

Aktioun & Analyse
** Memberschaft erfuerderlech **

 

2. China Enthüllt seng Global Data Security Initiative.

En Dënschdeg de Moie gouf ugekënnegt datt China wëlles eng global Datesécherheetsinitiativ ze lancéieren. No der Global Times gëtt dës Initiativ als potenziell weltwäite Standard fir Datesécherheet ugesinn a behaapt e puer vun den dacks zitéierten Bedenken ze adresséieren déi Regierungen a Firmen mat Bezuch op Dateschutz a Sécherheet a China haten.[4]

D'Global Times bericht datt d'Initiativ aus aacht Virschléi besteet. Berichterstattung suggeréiert datt d'Initiativ déi folgend Punkten enthält oder ënnerstëtzt:[5], [6]

  • Staaten [solle] Datesécherheet op eng ëmfaassend, objektiv a evidenzbaséiert Manéier behandelen
  • [Oppositioun] zu ICT Aktivitéiten déi Daten benotzen fir Aktivitéiten ze maachen déi national Sécherheet an Interessen vun anere Staaten ënnergruewen
  • [Oppositioun] zu Mass Iwwerwaachung géint aner Staaten
  • D'Staaten däerfen net national Firmen ufroen fir Daten generéiert an iwwerséiesch op hirem eegenen Territoire ze späicheren
  • D'Staate sollen d'Souveränitéit, d'Juridictioun an d'Gouvernance vun den Donnéeën vun anere Staaten respektéieren, an all bilateral Datezougangsvertrag sollt d'Justizsouveränitéit an d'Datesécherheet vun engem Drëtte Staat net verletzen.
  • ICT Produkter a Déngschtleeschter sollten net Backdoors an hire Produkter a Servicer installéieren fir illegal Benotzerdaten ze kréien, oder d'Benotzer Systemer an Apparater ze kontrolléieren oder ze manipuléieren
  • ICT Firme sollten net illegitim Interesse sichen andeems se d'Benotzerofhängegkeet vun hire Produkter profitéieren, an och d'Benotzer forcéieren hir Systemer an Apparater ze upgrade

Den Zhao Lijian, e Spriecher vum chinesesche Ausseministère, gëtt behaapt datt se gesot hunn datt "d'Initiativ zielt fir d'global Daten an d'Sécherheet vu Versuergungsketten ze schützen, d'Entwécklung vun der digitaler Wirtschaft ze förderen an e Blueprint fir d'Formuléierung vu globale Reegelen ze bidden."[7] Zousätzlech gëtt gesot datt chinesesch Regierungsbeamten e puer dënn verschleierte Strofe géint d'Aussepolitik vun den USA iwwer dës Saache gemaach hunn. Et ass de Moment net kloer wéi vill weltwäit Ënnerstëtzung fir dës Initiativ existéiert.

Aktioun & Analyse
** Memberschaft erfuerderlech **

 

3. Regierung Vulnerabilitéit Offenbarung kritt e Boost.

Leschte Mëttwoch huet d'Cybersecurity and Infrastructure Security Agency (CISA) ënner DHS eng laang erwaarde Binding Operational Directive (BOD) iwwer Schwachstelle Verëffentlechungspolitik (VDPs) fir d'Bundesregierung verëffentlecht. BOD 20-01 gëtt Regierungsagenturen sechs Méint fir "VDPs opzebauen, déi juristesch Handlunge géint Fuerscher verzichten, déi am gudde Glawe handelen, d'Participanten erlaben Schwachstelleberichter anonym ofzeginn an op d'mannst een Internetzougängleche System oder Service ofdecken."[8]

Als Erënnerung sinn BODs "eng obligatoresch Richtung fir Féderalen, Exekutivzweige, Departementer an Agenturen fir Zwecker fir Féderalen Informatiouns- an Informatiounssystemer ze schützen", déi vum DHS ausgestallt kënne ginn.[9] Dëse spezielle BOD kënnt mat der DHS Unerkennung datt "Schwachheet Offenbarungspolitik d'Widderstandsfäegkeet vun den Online Servicer vun der Regierung verbesseren" a sinn "e wesentlecht Element vun engem effektiven Enterprise Schwachstelle Management Programm."[10]

Fir Agenturen déi net vill Erfarung hunn fir eng Schwachstelle Verëffentlechungspolitik ze kreéieren, beschreift BOD 20-01 hëllefräich déi verschidden Ufuerderungen, stellt Orientéierung iwwer d'Ëmsetzung, a souguer Linken op eng VDP Schabloun. Wärend VDP Etablissement an der Bundesregierung bis elo lues war, sollt dës obligatoresch Direktiv mat kloeren Implementéierungsinstruktiounen hëllefen d'VDP Adoptioun ze beschleunegen.

Aktioun & Analyse
** Memberschaft erfuerderlech **

 

 

Ëmfro

Huelt w.e.g. eng Minutt fir e puer Froen iwwer dës Woch Hacking Healthcare ze beäntweren andeems Dir dëse Link besicht:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

Kongress -

 

Dënschdes, September 9th:

- Senat - Komitee fir Gesondheet, Educatioun, Aarbecht, a Pensiounen: Hearings fir Impfungen z'ënnersichen, konzentréieren op Liewen ze retten, Vertrauen ze garantéieren an d'ëffentlech Gesondheet ze schützen.

 

Mëttwoch, September 10th:

- Keng relevant Auditioune

 

Donneschdeg, 11. September:

- Keng relevant Auditioune

 

 

 

international Hearings / Reuniounen -

 

- Keng relevant Auditioune

 

 

EU -

Mëttwoch, September 10th:

– Europäescht Parlament – ​​Kommissioun fir Ëmwelt, Ëffentlech Gesondheet a Liewensmëttelsécherheet

 

Donneschdeg, 11. September:

– Europäescht Parlament – ​​Kommissioun fir Ëmwelt, Ëffentlech Gesondheet a Liewensmëttelsécherheet

 

 

 

 

Verschiddenes -

 

Ransomware trefft zwee staatlech Organisatiounen am Mëttleren Osten an Nordafrika

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

Frankräich warnt vun Emotet Ugrëffsbeméiungen Firmen, Administratioun

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-Gesellschaftsadministratioun/

Mikroskope Powered by Google's AI Kéint Kriibsdiagnostik änneren

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-Ännerung-Kriibs-Diagnostik/168220/

 

 

 

Konferenzen, Webinarer a Sommet -

 

https://h-isac.org/events/

 

Kontaktéiert eis: befollegt @HealthISAC, an E-Mail op contact@h-isac.org

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • Zesummenhang Ressourcen & Neiegkeeten