Оди до главна содржина

H-ISAC хакерска здравствена заштита 9-9-2020

TLP White: Оваа недела, Hacking Healthcare бара од читателите да почнат да размислуваат за сајбер-физички инциденти и колку вашата организација е подготвена да се справи со последиците. Следно, ја разложуваме неодамнешната објава дека Кина ја открива сопствената глобална иницијатива за безбедност на податоците и што може да се очекува како резултат. Конечно, накратко испитуваме како новата обврзувачка оперативна директива на Одделот за домашна безбедност (DHS), која бара од владините агенции да усвојат Политика за откривање ранливост, влијае на здравствениот сектор.

За потсетување, ова е јавната верзија на блогот Hacking Healthcare. За дополнителна длабинска анализа и мислење, станете член на H-ISAC и добијте ја TLP Amber верзијата на овој блог (достапна на порталот за членови.)

 

Ве молиме да ни дадете една минута од вашето време за да одговориме на неколку прашања во врска со темите за здравствена заштита на хакирањето оваа недела. Резултатите ќе ги објавиме во претстојниот број. Линкот за анкета ги следи написите подолу.

 

 

Добредојдовте назад во Хакирање здравство.

 

1. Време е да почнеме да размислуваме за сајбер-физичка одговорност.

Како што разликата помеѓу сајбер и физичкиот свет се повеќе се замаглува, организациите веројатно ќе се соочат со нови предизвици поврзани со новите обврски, правила и прописи за сајбер-физички инциденти. Според Гартнер, овие законски и регулаторни промени најверојатно ќе се случат брзо поради сериозната природа на потенцијалните последици.

Помеѓу предвидувањата што Гартнер ги покренува повеќе веѓи е тврдењето дека 75% од извршните директори би можеле да бидат лично одговорни за сајбер-физички инциденти до 2024 година. Гартнер предвидува дека ќе биде сè потешко за извршните директори „да се изјаснат за незнаење или да се повлечат зад полисите за осигурување“.[1] Дополнително, тие предвидуваат дека ќе има брз пораст на сајбер-физичките инциденти поради недостаток на планирање и трошење во оваа област. Најзагрижувачка е нивната анализа дека финансиското влијание на сајбер-физичките инциденти што резултираат со фатални жртви ќе надмине 50 милијарди долари до 2023 година.[2]

Гартнер, исто така, ја наведе загриженоста дека многу организации не се целосно свесни за сите сајбер-физички системи што веќе ги имаат распоредено. Коментирајќи за потребата од решавање на овие прашања, потпретседателката за истражување на Гартнер, Кател Тилеман, ги повика технолошките лидери да им помогнат на извршните директори да ја разберат заканата од сајбер-физички инциденти и потребата да се воспостави „Управување со оперативна отпорност (ORM) надвор од информациско-центричниот сајбер. безбедност“.[3]

Акција и анализа
** Потребно е членство **

 

2. Кина ја открива својата глобална иницијатива за безбедност на податоците.

Во вторникот наутро беше објавено дека Кина има намера да започне глобална иницијатива за безбедност на податоците. Според Глобал тајмс, оваа иницијатива се смета за потенцијален светски стандард за безбедност на податоците и наводи да одговори на некои од често цитираните грижи што ги имале владите и корпорациите во однос на приватноста и безбедноста на податоците во Кина.[4]

Глобал тајмс објави дека иницијативата е составена од осум предлози. Известувањето сугерира дека иницијативата ги вклучува или ги поддржува следниве точки:[5], [6]

  • Државите [треба] да се справуваат со безбедноста на податоците на сеопфатен, објективен и заснован на докази
  • [Опозиција] на ИКТ активностите кои користат податоци за спроведување активности кои ја поткопуваат националната безбедност и интересите на другите држави
  • [Опозиција] на масовен надзор против други држави
  • Државите не треба да бараат од домашните компании да складираат податоци генерирани и добиени во странство на нивна територија
  • Државите треба да го почитуваат суверенитетот, јурисдикцијата и управувањето со податоците на другите држави, а секој билатерален договор за пристап до податоци не треба да го нарушува судскиот суверенитет и безбедноста на податоците на трета држава
  • ИКТ производите и давателите на услуги не треба да инсталираат задни врати во нивните производи и услуги за нелегално да добијат кориснички податоци или да ги контролираат или манипулираат системите и уредите на корисниците
  • ИКТ компаниите не треба да бараат нелегитимни интереси искористувајќи ја зависноста од корисниците од нивните производи, ниту да ги принудуваат корисниците да ги надградат своите системи и уреди

Жао Лиџијан, портпарол на кинеското Министерство за надворешни работи, наводно изјавил дека „иницијативата има за цел да ги заштити глобалните податоци и безбедноста на синџирот на снабдување, да го промовира развојот на дигиталната економија и да обезбеди план за формулирање на глобални правила“.[7] Дополнително, се вели дека претставници на кинеската влада упатиле неколку тенко прикриени прекори на надворешната политика на Соединетите држави за овие прашања. Во моментов не е јасно колкава глобална поддршка постои за оваа иницијатива.

Акција и анализа
** Потребно е членство **

 

3. Откривањето на ранливоста на владата добива поттик.

Минатата среда, Агенцијата за сајбер безбедност и безбедност на инфраструктурата (CISA) под DHS ја објави долгоочекуваната Обврзувачка оперативна директива (BOD) за политиките за откривање ранливост (VDPs) за федералната влада. BOD 20-01 им дава на владините агенции шест месеци да „воспостават VDP кои се заколнуваат со правна постапка против истражувачите кои дејствуваат со добра волја, им дозволуваат на учесниците да поднесуваат извештаи за ранливост анонимно и покриваат најмалку еден систем или услуга достапен на интернет“.[8]

За потсетување, БОД се „задолжителна насока до федералните, извршната власт, одделенијата и агенциите за целите на заштита на федералните информациски и информациски системи“ што може да ги издава DHS.[9] Овој конкретен BOD доаѓа со признавањето на DHS дека „политиките за откривање ранливост ја подобруваат еластичноста на владините онлајн услуги“ и се „суштински елемент на ефективна програма за управување со ранливоста на претпријатијата“.[10]

За агенциите кои немаат големо искуство во изработка на политика за откривање ранливост, БПК 20-01 помага да ги опише различните барања, дава насоки за имплементација, па дури и врски до образец VDP. Додека воспоставувањето VDP во федералната влада досега беше бавно, оваа задолжителна директива со јасни инструкции за имплементација треба да помогне да се забрза усвојувањето на VDP.

Акција и анализа
** Потребно е членство **

 

 

Анкета

Одвојте една минута за да одговорите на неколку прашања за овонеделната хакерска здравствена заштита со посета на оваа врска:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

Конгресот -

 

Вторник, септември 9th:

– Сенат – Комисија за здравство, образование, труд и пензии: сослушувања за испитување на вакцините, фокусирајќи се на спасување животи, обезбедување доверба и заштита на јавното здравје.

 

Среда, септември 10th:

– Нема релевантни расправи

 

Четврток, 11 септември:

– Нема релевантни расправи

 

 

 

на меѓународно ниво Сослушувања/Состаноци -

 

– Нема релевантни расправи

 

 

ЕУ -

Среда, септември 10th:

– Европски парламент – Комитет за животна средина, јавно здравје и безбедност на храна

 

Четврток, 11 септември:

– Европски парламент – Комитет за животна средина, јавно здравје и безбедност на храна

 

 

 

 

Различни работи -

 

Ransomware погодува две државни организации на Блискиот Исток и Северна Африка

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

Франција предупредува дека Емотет ги напаѓа компаниите и администрацијата

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-компании-администрација/

Микроскопите напојувани со вештачката интелигенција на Google можат да ја променат дијагностиката за рак

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-промена-канцер-дијагностика/168220/

 

 

 

Конференции, вебинари и самити -

 

https://h-isac.org/events/

 

Контактирајте не: следете @HealthISAC и е-пошта на contact@h-isac.org

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • Поврзани ресурси и вести