H-ISAC Hacking Healthcare 9-9-2020

TLP White: Šią savaitę „Hacking Healthcare“ prašo skaitytojų pradėti galvoti apie kibernetinius fizinius incidentus ir tai, kaip jūsų organizacija yra pasirengusi kovoti su pasekmėmis. Toliau išskaidome neseniai paskelbtą pranešimą, kad Kinija pristato savo pasaulinę duomenų saugumo iniciatyvą ir ko galima tikėtis dėl to. Galiausiai trumpai išnagrinėjame, kaip Valstybės saugumo departamento (VSD) nauja privaloma veiklos direktyva, pagal kurią vyriausybinės agentūros turi priimti pažeidžiamumo atskleidimo politiką, veikia sveikatos priežiūros sektorių.

Primename, kad tai yra vieša dienoraščio „Hacking Healthcare“ versija. Norėdami gauti papildomos išsamios analizės ir nuomonės, tapkite H-ISAC nariu ir gaukite šio tinklaraščio TLP Amber versiją (pasiekiama narių portale).

Skirkite minutę savo laiko atsakyti į kelis klausimus apie šios savaitės sveikatos priežiūros įsilaužimo temas. Rezultatus paskelbsime būsimame numeryje. Apklausos nuoroda pateikiama toliau pateiktuose straipsniuose.

Sveiki sugrįžę į Įsilaužimas į sveikatos priežiūrą.

1. Laikas pradėti galvoti apie kibernetinę fizinę atsakomybę.

Kadangi skirtumas tarp kibernetinio ir fizinio pasaulio vis labiau nyksta, organizacijos greičiausiai susidurs su naujais iššūkiais, susijusiais su naujais įsipareigojimais, taisyklėmis ir reglamentais dėl kibernetinių fizinių incidentų. „Gartner“ teigimu, šie teisiniai ir reguliavimo pokyčiai greičiausiai įvyks greitai dėl galimų pasekmių rimtumo.

Tarp labiausiai antakius keliančių „Gartner“ prognozių yra teiginys, kad iki 75 m. 2024 % generalinių direktorių gali būti asmeniškai atsakingi už kibernetinius fizinius incidentus. „Gartner“ prognozuoja, kad vadovams bus vis sunkiau „remtis nežinojimu arba pasitraukti už draudimo polisų“.[1] Be to, jie prognozuoja, kad dėl planavimo ir išlaidų stokos šioje srityje sparčiai daugės kibernetinių fizinių incidentų. Labiausiai nerimą kelia jų analizė, kad kibernetinių ir fizinių incidentų, pasibaigusių mirtinomis aukomis, finansinis poveikis iki 50 m. viršys 2023 mlrd.[2]

„Gartner“ taip pat paminėjo susirūpinimą, kad daugelis organizacijų nevisiškai žino apie visas jau įdiegtas kibernetines ir fizines sistemas. Komentuodama apie būtinybę spręsti šias problemas, „Gartner“ tyrimų viceprezidentė Katell Thielemann paragino technologijų lyderius padėti vadovams suprasti kibernetinių fizinių incidentų grėsmę ir poreikį sukurti „Operational Resilience Management (ORM) ne tik į informaciją orientuotą kibernetinį“. saugumas“.[3]

Veiksmas ir analizė
** Būtina narystė**

2. Kinija pristato pasaulinę duomenų saugumo iniciatyvą.

Antradienio rytą buvo paskelbta, kad Kinija ketina pradėti pasaulinę duomenų saugumo iniciatyvą. Anot „Global Times“, ši iniciatyva reklamuojama kaip potencialus pasaulinis duomenų saugumo standartas ir tariamai siekiama išspręsti kai kuriuos dažnai minimus vyriausybių ir korporacijų susirūpinimą dėl duomenų privatumo ir saugumo Kinijoje.[4]

„Global Times“ praneša, kad iniciatyvą sudaro aštuoni pasiūlymai. Ataskaitoje teigiama, kad iniciatyva apima arba remia šiuos dalykus:[5]^{, [6]}

• Valstybės [turėtų] tvarkyti duomenų saugumą visapusiškai, objektyviai ir įrodymais pagrįstu būdu
• [Opozicija] IRT veiklai, kuri naudoja duomenis veiklai, kuri kenkia kitų valstybių nacionaliniam saugumui ir interesams
• [Opozicija] masiniam kitų valstybių sekimui
• Valstybės neturėtų reikalauti, kad šalies įmonės saugotų užsienyje sukurtus ir gautus duomenis savo teritorijoje
• Valstybės turėtų gerbti kitų valstybių suverenitetą, jurisdikciją ir duomenų valdymą, o bet koks dvišalis susitarimas dėl prieigos prie duomenų neturėtų pažeisti trečiosios valstybės teisminio suvereniteto ir duomenų saugumo.
• IRT produktai ir paslaugų teikėjai savo produktuose ir paslaugose neturėtų diegti užpakalinių durų, kad galėtų neteisėtai gauti naudotojų duomenis arba valdyti ar manipuliuoti naudotojų sistemomis ir įrenginiais.
• IRT įmonės neturėtų siekti neteisėtų interesų pasinaudodamos vartotojų priklausomybe nuo savo produktų, nei versti vartotojų atnaujinti savo sistemas ir įrenginius.

Kinijos užsienio reikalų ministerijos atstovas Zhao Lijianas teigė, kad „šia iniciatyva siekiama apsaugoti pasaulinius duomenų ir tiekimo grandinės saugumą, skatinti skaitmeninės ekonomikos plėtrą ir pateikti pasaulinių taisyklių formulavimo planą“.[7] Be to, teigiama, kad Kinijos vyriausybės pareigūnai šiais klausimais pareiškė keletą švelniai užslėptų priekaištų JAV užsienio politikai. Šiuo metu neaišku, kiek pasaulinės paramos šiai iniciatyvai yra.

Veiksmas ir analizė
** Būtina narystė**

3. Vyriausybės pažeidžiamumo atskleidimas sulaukia postūmio.

Praėjusį trečiadienį DHS pavaldi Kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) paskelbė federalinei vyriausybei ilgai lauktą privalomąją veiklos direktyvą (BOD) dėl pažeidžiamumo atskleidimo politikos (VDP). BOD 20-01 suteikia vyriausybinėms agentūroms šešis mėnesius „sukurti VDP, kurios prisiima teisinius veiksmus prieš sąžiningai veikiančius tyrėjus, leidžia dalyviams anonimiškai pateikti pažeidžiamumo ataskaitas ir apima bent vieną internetu pasiekiamą sistemą ar paslaugą“.[8]

Primename, kad BOD yra „privalomas nurodymas federalinei, vykdomajai valdžiai, departamentams ir agentūroms, siekiant apsaugoti federalinę informaciją ir informacines sistemas“, kurias gali išduoti DHS.[9] Šis konkretus BOD pateikiamas kartu su DHS pripažinimu, kad „pažeidžiamumo atskleidimo politika padidina vyriausybės internetinių paslaugų atsparumą“ ir yra „esminis veiksmingos įmonės pažeidžiamumo valdymo programos elementas“.[10]

Agentūroms, kurios neturi daug patirties kuriant pažeidžiamumo atskleidimo politiką, BOD 20-01 naudingai apibūdina įvairius reikalavimus, pateikia įgyvendinimo gaires ir netgi pateikia nuorodas į VDP šabloną. Nors iki šiol VDP steigimas federalinėje vyriausybėje buvo lėtas, ši privaloma direktyva su aiškiomis įgyvendinimo instrukcijomis turėtų padėti pagreitinti VDP priėmimą.

Veiksmas ir analizė
** Būtina narystė**

Apklausa

Skirkite minutę ir atsakykite į kelis klausimus apie šios savaitės „Hacking Healthcare“ apsilankę šioje nuorodoje:

https://www.surveymonkey.com/r/QQD76GW

Kongresas -

Antradienis, rugsėjo 9th:

– Senatas – Sveikatos, švietimo, darbo ir pensijų komitetas: klausymai, skirti nagrinėti vakcinas, daugiausia dėmesio skiriant gyvybių gelbėjimui, pasitikėjimo užtikrinimui ir visuomenės sveikatos apsaugai.

Trečiadienis, rugsėjo 10th:

– Nėra atitinkamų posėdžių

Rugsėjo 11 d., ketvirtadienis:

– Nėra atitinkamų posėdžių

tarptautiniu mastu Klausymai/Susitikimai -

– Nėra atitinkamų posėdžių

ES -

Trečiadienis, rugsėjo 10th:

– Europos Parlamentas – Aplinkos, visuomenės sveikatos ir maisto saugos komitetas

Rugsėjo 11 d., ketvirtadienis:

– Europos Parlamentas – Aplinkos, visuomenės sveikatos ir maisto saugos komitetas

Įvairūs dalykai –

„Ransomware“ paveikia dvi valstybines organizacijas Artimuosiuose Rytuose ir Šiaurės Afrikoje

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

Prancūzija perspėja apie Emotet atakuojančias įmones, administraciją

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-įmonės-administracija/

Mikroskopai, kuriuos maitina „Google“ AI, gali pakeisti vėžio diagnostiką

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-Change-cancer-diagnostics/168220/

Konferencijos, internetiniai seminarai ir aukščiausiojo lygio susitikimai -

https://h-isac.org/events/

Susisiekite su mumis: sekite @HealthISAC ir el. paštu contact@h-isac.org

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

• Susiję šaltiniai ir naujienos