Health-ISAC Hacking Healthcare 12-22-2022
Среќни празници од Hacking Healthcare
Сите вклучени во Hacking Healthcare би сакале на сите да ви посакаат среќна празнична сезона и да ви се заблагодарат за уште една одлична година. Следната недела ќе земеме одмор за празниците, но ќе се вратиме во јануари.
Оваа недела, Hacking Healthcare ја испитува неодамнешната одлука на FTC да преземе акција и против пазарот за алкохол Дризли и неговиот извршен директор, Џејмс Кори Релас, поради наводите дека безбедносните неуспеси на компанијата доведоа до кршење на податоците од големи размери. Накратко го разложуваме она што се случи и се обидуваме да разбереме како ова може да создаде правни преседани за да ги држи врвните директори одговорни за најдобрите практики за безбедноста на информациите. Потоа, ја завршуваме оваа година со преглед на најновите случувања во обидот на ЕУ и Соединетите Држави да создадат рамка за приватност на податоците способна да ги смири законите на ЕУ за приватност на податоците и барањата за надзор на САД, така што бизнисите можат да ги пренесуваат личните податоци на ЕУ напред и назад.
За потсетување, ова е јавната верзија на блогот Hacking Healthcare. За дополнителна длабинска анализа и мислење, станете член на H-ISAC и добијте ја TLP Amber верзијата на овој блог (достапна на порталот за членови.)
PDF Верзија:
Текст верзија:
Добредојдовте назад во Хакирање здравство.
Казна на ФТЦ против извршниот директор на Дризли
Федералната трговска комисија („FTC“) издаде наредба („Наредба“) против Drizly и нејзиниот извршен директор, Џејмс Кори Релас, поради нивната небрежност во спроведувањето на безбедносните мерки што доведоа до нарушување на податоците, откривајќи ги личните информации на 2.5 милиони потрошувачи.[I] Иако можеби ќе прашате, Каква врска има компанијата за испорака на алкохол со мене?, запомнете дека надлежноста на FTC се протега на елементи од здравствениот сектор и оваа регулаторна акција ја нагласува важноста не само да се обезбедуваат, туку и да се фрлаат чувствителни информации. Тоа, исто така, предизвикува сериозна загриженост за пристапот на FTC за санкционирање на директорите
Откако претрпеа значително нарушување на податоците во 2018 година, официјалните лица на Дризли тврдеа дека одговориле на инцидентот со спроведување на соодветни безбедносни надградби. Доколку имплементираа политики и процеси кои бараа редовен преглед на дозволите за пристап, мултифакторска автентикација за сите вработени со пристап до складишта за кодови и скенирање на складишта за код за необезбедени ингеренции, можеби ќе го избегнат гневот на FTC кога повторно беа прекршени во 2020 година.[ii]
Во својата предложена наредба, FTC наметнува листа за перење на обврски и барања поврзани со безбедноста со кои Drizly треба да се придржува, вклучително и уништување непотребни податоци, ограничување на податоците што компанијата може да ги собира и задржи, спроведување програма за безбедност на информации и добивање трето партиски двегодишни безбедносни проценки за дваесет години.[iii] Имено, наредбата на FTC не ги ограничува неговите барања само на Drizly, туку ја наметнува одговорноста и на нејзиниот извршен директор, Џејмс Релас. По повторените прекршувања на податоците што ги изложија информациите за потрошувачите, извршниот директор се бара лично одговорен за последниот инцидент. FTC конкретно го таргетира Релас затоа што и покрај неговите тврдења дека имплементирал разумни безбедносни практики, тој занемарил да ангажира висок извршен директор одговорен за безбедноста на личните информации на потрошувачите.[iv]
Погрешно претставувајќи ја состојбата на своите безбедносни мерки, Релас ќе се соочи со лична одговорност, без оглед на неговиот избор да остане со Дризли или да се приклучи на друга компанија. За десет години по конечната нарачка, од Rellas ќе се бара да имплементира сеопфатна програма за безбедност на информации во која било организација која собира, користи, складира или открива лични информации на 25,000 или повеќе потрошувачи каде што е или мнозински сопственик, извршен директор или друг висок офицер со одговорности за безбедноста на информациите.[v]
Акција и анализа
**Вклучено со членство во H-ISAC**
Напредок на Рамката за приватност на податоците ЕУ-САД
Во јули 2020 година, Судот на правдата на Европската унија го поништи Штитот за приватност ЕУ-САД, правен механизам кој дозволуваше пренос на лични податоци на ЕУ во Соединетите држави, со образложение дека не нуди соодветна заштита на податоците како што бара ЕУ закон. Оттогаш, додека ЕУ и Соединетите Американски Држави се обидоа да најдат нов пат напред за да го заменат штитот за приватност ЕУ-САД, бизнисите работат во матно правно и регулаторно опкружување, тема што ја покривавме претходно. За среќа, неодамнешните случувања конечно може да сигнализираат дека олеснување е на повидок.
За оние кои не се толку запознаени со ова прашање, трансатлантските текови на податоци меѓу ЕУ и Соединетите Држави се огромен двигател на бизнисот; Администрацијата на Бајден ја истакна нивната критичност за економскиот однос од 7.1 трилиони долари што го делат двата ентитета.[vii] Сепак, прашањата се повеќе се зголемуваат бидејќи ЕУ и Соединетите Држави се разликуваат во нивните пристапи кон сајбер безбедноста и приватноста на податоците.
Правото на ЕУ бара за една земја да може да добива лични податоци од ЕУ, таа земја треба да има заштитени што нудат ниво на безбедност и приватност споредливи со она што им се обезбедува на граѓаните на ЕУ. Ова беше спор со Соединетите Држави поради широките овластувања за надзор што ги задржува американската влада и беше во сржта на правните предизвици што ги поништија претходните два трансатлантски механизми за пренос на податоци.
На 13 декември, Европската комисија објави нацрт-одлука за адекватност која излезе во корист на новата Рамка за приватност на податоците ЕУ-САД. Според нивната проценка, имплементацијата на новата рамка од страна на Соединетите држави „обезбедува соодветно ниво на заштита на личните податоци пренесени од ЕУ во САД“.[viii] Понатаму, комесарот за правда на ЕУ, Дидие Рејндерс, изјави дека верува дека рамката има „7 или 8 од 10“ шанси да издржи евентуални правни предизвици.[ix]
Ако сè биде добро, организациите кои во моментов користат Стандардни договорни клаузули (SCC) и други тесни правни механизми може да имаат поедноставен начин за легално пренесување на личните податоци на ЕУ до ова лето.[X]
Акција и анализа
**Вклучено со членство во H-ISAC**
Конгресот
Вторник, 20 декември:
– Нема релевантни расправи
Среда, 21 декември:
– Нема релевантни расправи
Четврток, 22 декември:
– Нема релевантни расправи
на меѓународно ниво Сослушувања/Состаноци
– Нема релевантни состаноци
ЕУ -
[iii] https://www.natlawreview.com/article/ding-dong-ftc-drizly-data-breach-settlement-will-follow-ceo-personally-decade
[v] https://www.ftc.gov/news-events/news/press-releases/2022/10/ftc-takes-action-against-drizly-its-ceo-james-cory-rellas-security-failures-exposed-data-25-million
[vi] https://www.ftc.gov/system/files/ftc_gov/pdf/Statement-of-Chair-Lina-M.-Khan-Joined-By-Commissioner-Alvaro-M.-Bedoya-re-Drizly-final.pdf
[vii] https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/
[viii]https://ec.europa.eu/commission/presscorner/detail/en/QANDA_22_7632
[X] https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_7632
[xi] https://commission.europa.eu/system/files/2022-12/Draft%20adequacy%20decision%20on%20EU-US%20Data%20Privacy%20Framework_0.pdf
[xii] https://commission.europa.eu/system/files/2022-12/Draft%20adequacy%20decision%20on%20EU-US%20Data%20Privacy%20Framework_0.pdf
- Поврзани ресурси и вести
- Болница во Масачусетс ги одбива амбулантните возила по кибернапад
- Подкаст: Фил Енглерт за сајбер-безбедноста на медицинските помагала
- Внатрешната закана повторно се зголемува
- „Пропуштена можност“: Отсуството на американската влада од конференцијата на RSAC остава целосна празнина
- Health-ISAC Hacking Healthcare 3-26-2026
- Health-ISAC Hacking Healthcare 3-19-2026
- Месечен билтен на Health-ISAC – април, 2026 година
- Извештај по акцијата: Серија вежби за отпорност на здравјето-ISAC 2025
- Зошто улогата на Microsoft Intune во сајбер нападот на Stryker е застрашувачка перспектива
- Гувернерот на Тексас нареди државна ревизија на медицинската технологија произведена во Кина