Ga naar hoofdinhoud

H-ISAC Hacking Gezondheidszorg 9-9-2020

TLP White: Deze week vraagt ​​Hacking Healthcare lezers om na te denken over cyber-fysieke incidenten en hoe goed uw organisatie is voorbereid op de gevolgen. Vervolgens analyseren we de recente aankondiging dat China zijn eigen wereldwijde initiatief voor gegevensbeveiliging onthult en wat er als gevolg daarvan kan worden verwacht. Tot slot onderzoeken we kort hoe de nieuwe Binding Operational Directive van het Department of Homeland Security (DHS), die vereist dat overheidsinstanties een Vulnerability Disclosure Policy aannemen, de gezondheidszorgsector beïnvloedt.

Ter herinnering, dit is de publieke versie van de Hacking Healthcare blog. Voor aanvullende diepgaande analyses en meningen, word lid van H-ISAC en ontvang de TLP Amber versie van deze blog (beschikbaar in de Member Portal.)

 

Geef ons een minuut van uw tijd om een ​​paar vragen te beantwoorden over de Hacking Healthcare-onderwerpen van deze week. We publiceren de resultaten in een aankomende uitgave. De enquêtelink volgt op de onderstaande artikelen.

 

 

Welkom terug bij Hacken van de gezondheidszorg.

 

1. Tijd om na te denken over cyber-fysieke aansprakelijkheid.

Naarmate het onderscheid tussen de cyber- en fysieke wereld steeds vager wordt, zullen organisaties waarschijnlijk te maken krijgen met nieuwe uitdagingen met betrekking tot nieuwe aansprakelijkheden, regels en voorschriften voor cyber-fysieke incidenten. Volgens Gartner zullen deze juridische en regelgevende veranderingen waarschijnlijk snel plaatsvinden vanwege de ernstige aard van de mogelijke gevolgen.

Een van de meest wenkbrauw-optrekkende voorspellingen die Gartner doet, is de bewering dat 75% van de CEO's in 2024 persoonlijk aansprakelijk kan worden gesteld voor cyber-fysieke incidenten. Gartner voorspelt dat het voor CEO's steeds moeilijker zal worden om 'onwetendheid te bepleiten of zich terug te trekken achter verzekeringspolissen'.[1] Bovendien voorspellen ze dat er een snelle toename zal zijn in cyber-fysieke incidenten vanwege een gebrek aan planning en uitgaven op dit gebied. Het meest zorgwekkend is hun analyse dat de financiële impact van cyber-fysieke incidenten die resulteren in dodelijke slachtoffers, in 50 de $ 2023 miljard zal passeren.[2]

Gartner noemde ook de zorg dat veel organisaties zich niet volledig bewust zijn van alle cyberfysieke systemen die ze al hebben geïmplementeerd. In een commentaar op de noodzaak om deze problemen aan te pakken, riep Gartner's research vice president, Katell Thielemann, technologieleiders op om CEO's te helpen de dreiging van cyberfysieke incidenten te begrijpen en de noodzaak om "Operational Resilience Management (ORM) te vestigen dat verder gaat dan informatiegerichte cyberbeveiliging."[3]

Actie & Analyse
** Lidmaatschap vereist **

 

2. China presenteert zijn wereldwijde initiatief voor gegevensbeveiliging.

Dinsdagochtend werd aangekondigd dat China van plan is een wereldwijd initiatief voor databeveiliging te lanceren. Volgens de Global Times wordt dit initiatief aangeprezen als een potentiële wereldwijde standaard voor databeveiliging en zou het een aantal van de vaak genoemde zorgen van overheden en bedrijven over dataprivacy en -beveiliging in China aanpakken.[4]

De Global Times meldt dat het initiatief uit acht voorstellen bestaat. Uit de berichtgeving blijkt dat het initiatief de volgende punten omvat of ondersteunt:[5], [6]

  • Staten moeten de gegevensbeveiliging op een alomvattende, objectieve en op bewijsmateriaal gebaseerde manier aanpakken
  • [Verzet] tegen ICT-activiteiten die gegevens gebruiken om activiteiten uit te voeren die de nationale veiligheid en belangen van andere staten ondermijnen
  • [Verzet] tegen massasurveillance van andere staten
  • Staten mogen niet van binnenlandse bedrijven verlangen dat zij in het buitenland gegenereerde en verkregen gegevens op hun eigen grondgebied opslaan
  • Staten moeten de soevereiniteit, jurisdictie en governance van data van andere staten respecteren, en een bilaterale overeenkomst over datatoegang mag geen inbreuk maken op de juridische soevereiniteit en dataveiligheid van een derde staat.
  • Leveranciers van ICT-producten en -diensten mogen geen achterdeurtjes in hun producten en diensten installeren om op illegale wijze gebruikersgegevens te verkrijgen of de systemen en apparaten van gebruikers te controleren of te manipuleren.
  • ICT-bedrijven zouden geen onrechtmatige belangen moeten nastreven door misbruik te maken van de afhankelijkheid van gebruikers van hun producten, en zouden gebruikers niet moeten dwingen hun systemen en apparaten te upgraden.

Zhao Lijian, een woordvoerder van het Chinese ministerie van Buitenlandse Zaken, zou hebben verklaard dat “het initiatief gericht is op het beschermen van de wereldwijde veiligheid van gegevens en toeleveringsketens, het bevorderen van de ontwikkeling van de digitale economie en het bieden van een blauwdruk voor de formulering van wereldwijde regels.”[7] Bovendien zouden Chinese overheidsfunctionarissen verschillende nauwelijks verholen verwijten hebben gemaakt aan het buitenlandse beleid van de Verenigde Staten in deze kwesties. Het is momenteel onduidelijk hoeveel wereldwijde steun er is voor dit initiatief.

Actie & Analyse
** Lidmaatschap vereist **

 

3. Openbaarmaking van kwetsbaarheid door de overheid krijgt een impuls.

Afgelopen woensdag heeft de Cybersecurity and Infrastructure Security Agency (CISA) onder DHS een langverwachte Binding Operational Directive (BOD) uitgebracht over vulnerability disclosure policies (VDP's) voor de federale overheid. BOD 20-01 geeft overheidsinstanties zes maanden de tijd om "VDP's op te zetten die juridische stappen tegen onderzoekers die te goeder trouw handelen, deelnemers toestaan ​​om anoniem kwetsbaarheidsrapporten in te dienen en ten minste één internettoegankelijk systeem of dienst bestrijken."[8]

Ter herinnering: BOD's zijn "een verplichte richtlijn voor de federale overheid, de uitvoerende macht, departementen en agentschappen ter bescherming van federale informatie en informatiesystemen" die door DHS kunnen worden uitgegeven.[9] Deze specifieke BOD komt met de erkenning van DHS dat “beleid inzake het bekendmaken van kwetsbaarheden de veerkracht van de onlinediensten van de overheid verbetert” en “een essentieel onderdeel is van een effectief programma voor kwetsbaarheidsbeheer in ondernemingen.”[10]

Voor instanties die niet veel ervaring hebben met het opstellen van een beleid voor het bekendmaken van kwetsbaarheden, schetst BOD 20-01 op nuttige wijze de verschillende vereisten, biedt richtlijnen voor implementatie en linkt zelfs naar een VDP-sjabloon. Hoewel de oprichting van VDP in de federale overheid tot nu toe traag is verlopen, zou deze verplichte richtlijn met duidelijke implementatie-instructies de VDP-acceptatie moeten versnellen.

Actie & Analyse
** Lidmaatschap vereist **

 

 

Enquête

Neem een ​​minuut de tijd om een ​​paar vragen te beantwoorden over de Hacking Healthcare van deze week. Ga hiervoor naar deze link:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

Congres -

 

Dinsdag, september 9th:

– Senaat – Commissie voor Gezondheid, Onderwijs, Arbeid en Pensioenen: hoorzittingen om vaccins te onderzoeken, met de nadruk op het redden van levens, het waarborgen van vertrouwen en het beschermen van de volksgezondheid.

 

Woensdag, september 10th:

– Geen relevante hoorzittingen

 

Donderdag 11 september:

– Geen relevante hoorzittingen

 

 

 

Internationale Hoorzittingen/vergaderingen -

 

– Geen relevante hoorzittingen

 

 

EU -

Woensdag, september 10th:

– Europees Parlement – ​​Commissie Milieu, Volksgezondheid en Voedselveiligheid

 

Donderdag 11 september:

– Europees Parlement – ​​Commissie Milieu, Volksgezondheid en Voedselveiligheid

 

 

 

 

Diversen –

 

Ransomware treft twee staatsorganisaties in het Midden-Oosten en Noord-Afrika

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

Frankrijk waarschuwt voor aanvallen van Emotet op bedrijven en overheden

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-bedrijven-administratie/

Microscopen aangestuurd door de AI van Google kunnen de diagnose van kanker veranderen

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-verandering-kanker-diagnostiek/168220/

 

 

 

Conferenties, webinars en topconferenties -

 

https://h-isac.org/events/

 

Neem contact met ons op: volg @HealthISAC en stuur een e-mail naar contact@h-isac.org

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • Gerelateerde bronnen en nieuws