Gezondheid-ISAC Hacking Healthcare 5-9-2024

Deze week richt Hacking Healthcare™ zich op nieuwe ontwikkelingen rondom AI-risico, veiligheid en beveiliging. In het bijzonder bespreken we de oprichting van het nieuwe Department of Homeland Security (DHS) Raad voor Veiligheid en Beveiliging van Kunstmatige Intelligentie en vervolgens de nieuwe DHS-richtlijnen te herzien Veiligheids- en beveiligingsrichtlijnen voor eigenaren en exploitanten van kritieke infrastructuur.

Ter herinnering, dit is de publieke versie van de Hacking Healthcare blog. Voor aanvullende diepgaande analyses en meningen, word lid van H-ISAC en ontvang de TLP Amber versie van deze blog (beschikbaar in de Member Portal.)

Welkom terug bij Hacking Healthcare™.

Gezondheid-ISAC Amerika's Hobby Oefening 2024

De Health-ISAC is weer bezig met de voorbereidingen voor onze jaarlijkse Americas Hobby Exercise! Voor nieuwe Health-ISAC-leden is de Hobby Exercise een jaarlijks evenement voor gezondheidszorg en volksgezondheid (HPH) dat is ontworpen om de gezondheidszorgsector en strategische partners te betrekken bij belangrijke uitdagingen op het gebied van veiligheid en veerkracht. Het overkoepelende doel is om te informeren en kansen te bieden voor continue verbetering van de organisatie en tegelijkertijd de veerkracht van de gezondheidszorgsector te vergroten.

Via de volgende link naar het Hobby Exercise After Action Report van vorig jaar krijgt u een goed overzicht van de interactie en waarde die u dit jaar van het evenement kunt verwachten:

https://h-isac.org/hobby-exercise-2023-after-action-report/

De oefening van dit jaar vindt plaats op 6 juni op het kantoor van Venable LLP in Washington, DC. Leden worden aangemoedigd om hun interesse in deelname te registreren via de volgende link:

https://portal.h-isac.org/s/community-event?id=a1Y7V00000ZmFVwUAN

Nationaal Veiligheidsmemorandum 22 herziet Amerikaanse aanpak van kritieke infrastructuur

Op 30 april publiceerde de regering-Biden de Nationaal Veiligheidsmemorandum 22 (NSM-22): over de veiligheid en veerkracht van kritieke infrastructuur.^[I] Dit memorandum is de laatste herziening in een reeks uitvoerende memoranda die hebben geprobeerd te definiëren wat kritieke infrastructuur van de VS inhoudt en hoe de overheid de veiligheid en veerkracht van die kritieke infrastructuur moet verbeteren. Zoals u wellicht verwacht, zal NSM-22 directe en indirecte gevolgen hebben voor de gezondheidszorg en de volksgezondheidssector (HPH).

Wat is NSM-22 en wat vervangt het? 

Sinds 2013 heeft de federale overheid van de Verenigde Staten gekeken naar Presidential Policy Directive 21 (PPD-21) als de vaste richtlijn voor wat kritieke infrastructuur in de Verenigde Staten is, hoe de Amerikaanse overheid die infrastructuur moet beveiligen en de beoogde rol van de private sector moet schetsen. Hoewel dat uitvoerende memorandum niet de kracht van wet heeft, is het tot vorige week nooit ingetrokken of vervangen.

Deze update werd in gang gezet met de goedkeuring van HR6395, de William M. (Mac) Thornberry National Defense Authorization Act voor begrotingsjaar 2021, die de secretaris van DHS verplichtte om, in overleg met de hoofden van Sector Risk Management Agencies (SRMAs), “het huidige kader voor het beveiligen van kritieke infrastructuur te herzien…” en een rapport in te dienen met betrekking tot mogelijke herzieningen.^[Ii] De inhoud van dat rapport werd goedgekeurd door president Biden en vormde de basis voor wat NSM-22 zou worden.

NSM-22 Inhoud

De ongeveer 35 pagina's lange NSM-22 bevat het volgende om 'de nationale eenheid van inspanning [van de Verenigde Staten] te bevorderen om veilige, functionerende en veerkrachtige kritieke infrastructuur te versterken en te onderhouden':^[Iii]

• Acht beleidsbeginselen;
• Acht doelstellingen;
• Verduidelijking van de rollen en verantwoordelijkheden van federale departementen en agentschappen;
• Het bevorderen van risicomanagement en een aanpak van alle bedreigingen/gevaren op het gebied van beveiliging en veerkracht;
• Het opleggen van minimale beveiligings- en veerkrachtvereisten voor kritieke infrastructuursectoren;
• De richting van een nationaal infrastructuurrisicomanagementplan;
• De herhaling van Systemically Important Entities (SIE's);
• Een versterking van de inlichtingen- en informatie-uitwisseling;
• Een herhaling van de definitie van kritieke infrastructuur, de aangewezen kritieke infrastructuursectoren en verantwoordelijke SRMA's; en
• Een implementatieplan voor federale entiteiten om uit te voeren wat hierboven is beschreven.

Actie & Analyse
**Inbegrepen bij Health-ISAC-lidmaatschap**

Aankomende internationale hoorzittingen/bijeenkomsten

• EU
  1. Er zijn op dit moment geen relevante bijeenkomsten
• US
  1. Er zijn op dit moment geen relevante bijeenkomsten
• Rest van de Wereld
  1. Er zijn op dit moment geen relevante bijeenkomsten

^[I]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Ii] https://www.congress.gov/bill/116th-congress/house-bill/6395

^[Iii]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Iv] Presidentiële Besluitrichtlijn/NSC-63

^[V] Presidentiële beleidsrichtlijn 21

^[Vi] “Systemen en middelen, fysiek of virtueel, die zo vitaal zijn voor de Verenigde Staten dat het onvermogen of de vernietiging van dergelijke systemen en middelen een verlammende impact zou hebben op de nationale veiligheid, de nationale economische veiligheid, de nationale volksgezondheid of -veiligheid, of een combinatie van deze zaken.”

^[Vii]https://www.washingtonpost.com/politics/2023/10/16/biden-administration-goes-back-drawing-board-water-cybersecurity/

^[Viii]https://www.cisa.gov/cross-sector-cybersecurity-performance-goals#:~:text=A%20common%20set%20of%20protections,known%20risks%20and%20adversary%20techniques

^[Ix] https://hphcyber.hhs.gov/performance-goals.html

^[X]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xi]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xii] https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

• Gerelateerde bronnen en nieuws
• Gezondheid-ISAC Hacking Healthcare 5-11-2026
• Een CISO-draaiboek deel 2 – De 0Auth-tokenkwetsbaarheid die leidde tot een datalek bij Salesforce.
• Maandelijkse nieuwsbrief – mei 2026
• Kwartaalinzichten in bedreigingen – Q1 2026
• Wat de Stryker-aanval onthult over de beveiliging van medische apparaten
• Beleid en waarborgen voor het veilige gebruik van AI
• HSCC presenteert een gids voor risico's van AI door derden en transparantie in de toeleveringsketen.
• Anthropic onthult magische 0-Day computergod
• Gezondheidszorg in het vizier: cyberdreigingen met banden met Iran verhogen het risico voor ziekenhuizen, medische technologiebedrijven en de toeleveringsketens in de zorg.
• Health-ISAC wijst op tekortkomingen in cyberweerbaarheid en incidentrespons…