TLP White: Deze week bekijkt Hacking Healthcare de aankondiging van de Amerikaanse Cybersecurity and Infrastructure Security Agency ("CISA") van een nieuwe strategie om Industrial Control Systems ("ICS") in kritieke infrastructuursectoren te beschermen tegen cyberaanvallen. Vervolgens analyseren we recent onderzoek naar bedreigingen dat illustreert hoe snel verkeerd geconfigureerde databases in cloudomgevingen kunnen worden gevonden en geëxploiteerd door kwaadwillende actoren, maar waarom dat zorginstellingen er niet van zou moeten weerhouden ze te implementeren. Tot slot bekijken we een project dat wordt gesteund door de Amerikaanse National Science Foundation ("NSF") om patiëntgegevens met betrekking tot COVID-19-onderzoek te beveiligen en de implicaties ervan te onderzoeken.
Ter herinnering, dit is de publieke versie van de Hacking Healthcare blog. Voor aanvullende diepgaande analyses en meningen, word lid van H-ISAC en ontvang de TLP Amber versie van deze blog (beschikbaar in de Member Portal.)
Welkom terug bij Hacken van de gezondheidszorg.
1. CISA committeert zich aan nieuwe ICS-beveiligingsstrategie.
Vorige week kondigde Chris Krebs, directeur van CISA, een nieuwe strategie aan om ICS in kritieke infrastructuursectoren te beschermen tegen cyberaanvallen.[1] De nieuwe strategie legt de nadruk op het gebruik van data-analyse, het aanbieden van betere trainingen en het implementeren van nieuwe technologische oplossingen.[2] Krebs lichtte dit toe door te zeggen: "We gaan diepgaande datamogelijkheden ontwikkelen om informatie te analyseren en te leveren die de gemeenschap kan gebruiken om de ICS-kill chain te doorbreken."[3] De aankondiging werd gedaan tijdens een virtuele vergadering van de ICS Joint Working Group (“ICSJWG”), een publiek-private, collaboratieve inspanning voor het delen van informatie die zich richt op het beveiligen en verminderen van risico's voor ICS.[4]
Dit is niet de enige recente ontwikkeling op het gebied van ICS-cybersecurity van CISA. Iets minder dan een maand geleden publiceerden CISA, het Department of Energy ("DOE") en het Britse National Cyber Security Centre ("NCSC") een gezamenlijk document getiteld Aanbevolen cyberbeveiligingspraktijken voor industriële controlesystemen.[5] De infographic van twee pagina's schetst op heldere en bondige wijze de verschillende overwegingen, risico's, gevolgen en proactieve stappen op het gebied van cyberbeveiliging waarmee ICS-eigenaren en -exploitanten hun cyberbeveiligingsgereedheid kunnen verbeteren.
Voor degenen die niet zo bekend zijn met ICS, het is een brede term die een reeks controlesystemen omvat die doorgaans worden aangetroffen in industriële sectoren en kritieke infrastructuur. Zoals het Amerikaanse National Institute of Standards and Technology (“NIST”) aangeeft: “Deze controlesystemen zijn van vitaal belang voor de werking van de Amerikaanse kritieke infrastructuren die vaak sterk onderling verbonden en wederzijds afhankelijke systemen zijn.”[6] Binnen de gezondheidszorgsector zijn ICS terug te vinden in verschillende productie-, chemische en farmaceutische processen.
Analyse en actie
* H-ISAC-lidmaatschap vereist *
2. Hoe snel worden verkeerd geconfigureerde databases gecompromitteerd?
Het is niet ongewoon om nieuwsberichten te zien over beveiligingsonderzoekers die onbeveiligde databases tegenkomen die vol zitten met gevoelige persoonlijke of zakelijke informatie. Vaak kan het dagen of weken duren voordat de onderzoekers contact opnemen met de eigenaren van zo'n onbeveiligde database om deze te beveiligen. Hoewel deze onbeveiligde databases meestal het product zijn van onbedoelde verkeerde configuraties, hoe snel kunnen ze worden gecompromitteerd door kwaadwillende actoren als ze onbeveiligd blijven? En dat blijkt heel snel te zijn, volgens onderzoek van Comparitech.
Van 11 tot 22 mei heeft Comparitech een dummy-database op een cloudserver gebouwd en deze onbeveiligd achtergelaten. Comparitech wilde graag weten hoe lang je precies de tijd hebt om iets als een configuratiefout te herstellen voordat gevoelige gegevens waarschijnlijk zijn bekeken, gestolen of gewijzigd.[7] Ondanks de omvang van het internet en de mogelijkheid dat een relatief onopvallende database over het hoofd wordt gezien, meldt Comparitech dat het eerste ongeautoriseerde verzoek slechts 8 uur en 35 minuten na de implementatie van de nepdatabase werd ontvangen.[8]
In de daaropvolgende 11 dagen registreerde Comparitech 175 ongeautoriseerde verzoeken van IP-adressen in verschillende landen, waaronder de VS, Roemenië, China en Nederland.[9] Het is opmerkelijk dat de database pas in 16 voor het eerst werd geïndexeerd door populaire zoekmachines zoals Shodan.th van mei. Na indexering ontving de database de eerste van zijn record van één dag van 22 ongeautoriseerde verzoeken binnen 1 minuut na vermelding.[10] Bovendien werd een week na afloop van het onderzoek de database aangevallen, de inhoud ervan verwijderd en er werd een bericht met een verzoek om losgeld achtergelaten.
Actie & Analyse
* H-ISAC-lidmaatschap vereist *
3. NSF financiert hulpmiddel ter bescherming van patiëntgegevens die voor onderzoek worden gebruikt.
Onder normale omstandigheden kan de waakzame aanpak van de gezondheidszorgsector om patiëntgegevens te beschermen, irriterend zijn voor degenen die vinden dat onnodig sterke privacy- en beveiligingsbeschermingen hun vermogen om medisch onderzoek uit te voeren belemmeren. In een tijdperk waarin iedereen graag wijst op de transformerende krachten van big data, cloud computing-bronnen en interoperabiliteit, bestaat er spanning tussen de verschillende belanghebbenden die betrokken zijn bij het onderzoeksproces over hoe ervoor te zorgen dat patiëntgegevens worden behandeld met de privacy en beveiliging die ze vereisen. Deze spanning is toegenomen tijdens een wereldwijde pandemie, waarbij het beschikbaar maken van gegevens voor onderzoek of om te delen mogelijk aanzienlijke vooruitgang zou kunnen opleveren in ons begrip van COVID-19.
Om een deel van dit probleem aan te pakken, heeft de NSF een subsidie van $ 200,000 toegekend aan computerwetenschappers van de Universiteit van Texas in Dallas en het Vanderbilt University Medical Center.[11] Het doel is om “een open-source softwaretool te creëren om beleidsmakers en zorgverleners te helpen bij het nemen van [beslissingen over hoeveel informatie zorgverleners aan onderzoekers mogen vrijgeven zonder de privacy van patiënten te schenden].”[12] Het gecombineerde team van de Universiteit van Texas en Vanderbilt richt zich op de risico's dat een individu wordt geïdentificeerd wanneer patiëntgegevens worden vrijgegeven voor onderzoeksdoeleinden, en streeft ernaar om uitgebreider te zijn in de kenmerken die worden geëvalueerd dan die welke worden onderzocht met bestaande instrumenten.[13]
Actie & Analyse
* H-ISAC-lidmaatschap vereist *
Congres -
Dinsdag, Juni 16th:
– Geen relevante hoorzittingen
Woensdag, juni 17th:
– Senaat – Commissie voor Volksgezondheid, Onderwijs, Arbeid en Pensioenen: hoorzittingen om telezorg te onderzoeken, met de nadruk op de lessen die zijn geleerd uit de COVID-19-pandemie.
Donderdag, juni 18th:
– Senaat – Commissie voor Buitenlandse Betrekkingen: Hoorzittingen om COVID-19 en de voorbereiding, preventie en respons op internationale pandemieën te onderzoeken.
– Huis – Permanente Selectiecommissie voor Inlichtingen: Hoorzitting over opkomende trends in online buitenlandse beïnvloedingsoperaties: sociale media, COVID-19 en verkiezingsveiligheid
Internationale Hoorzittingen/vergaderingen -
– Geen relevante hoorzittingen
EU -
Conferenties, webinars en topconferenties -
— Praktische houdingstesten en -remediatie voor een op afstand werkend personeelsbestand door Safebreach – Webinar (6/16/2020)
https://h-isac.org/hisacevents/safebreach-navi-webinar/
–Hoe authenticatieaanvallen uw zorgomgeving bedreigen door Qomplx – Webinar (6/17/2020)
https://h-isac.org/hisacevents/authentication-attacks-qomplx/
–CISO Rondetafelgesprek – Ongekende tijden door Forescout – Webinar (6/18/2020)
https://h-isac.org/hisacevents/ciso-roundtable-unprecedented-times-forescout/
–Insider Risk: Balancing Technology, Behavior and Data door Booz Allen Hamilton – webinar (6-23-2020)
— Het beveiligen van de IoT-bedreiging in de gezondheidszorg door Palo Alto Networks – Webinar (6-24-2020)
https://h-isac.org/hisacevents/palo-alto-networks-navigator-webinar/
— GRF Summit Digital Series – De ultieme oefening in paraatheid voor incidentrespons: bent u op afstand klaar? – Webinar (6-25-2020)
Maandelijkse H-ISAC-ledenbedreigingsbriefing – Webinar (6-30-2020)
https://h-isac.org/hisacevents/h-isac-monthly-member-threat-briefing-9/
– Forum voor cyberbeveiliging in de gezondheidszorg – Mid-Atlantic – Philadelphia, PA (7-17-2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426497
– Forum voor cyberbeveiliging in de gezondheidszorg – Rocky Mountain – Denver, CO (7-20-2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426499
–H-ISAC Virtuele Beveiligingsworkshop – Virtueel (7-29-2020)
https://h-isac.org/hisacevents/nz-virtual-workshop/
–Healthcare Cybersecurity Forum – Zuidoost – Nashville, TN (9/9/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426517
–Healthcare Cybersecurity Forum – Noordoost – Boston, MA (9-22-2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/427126
–H-ISAC Cyber Threat Intel-training – Titusville, FL (9-22-2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-titusville-fl/
–H-ISAC Security Workshop – Forchheim, Duitsland
https://h-isac.org/hisacevents/h-isac-security-workshop-forchheim-germany/
–Top over veiligheid en risico’s van derden – National Harbor, MD (9-28-2020-9-30-2020)
GRF Summit over veiligheid en risico's van derden, digitale serie
–Gezondheidszorg Cybersecurity Forum – Texas – Houston, TX (10/8/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840
–CYSEC 2020 – Dubrovnik, Kroatië (10-27-2020 – 10-28-2020)
https://h-isac.org/hisacevents/cysec-2020-croatia/
– H-ISAC-beveiligingsworkshop – Mounds View, MN (10-27-2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-buffalo-ny/
– Forum voor cyberbeveiliging in de gezondheidszorg – Pacific Northwest – Seattle, WA (10-28-2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428886
– H-ISAC Beveiligingsworkshop – Seattle, WA – (10-29-2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-seattle-wa-2/
–Healthcare Cybersecurity Forum – Californië – Los Angeles, CA (11/12/2020)
– H-ISAC Security Workshop – Parijs, Frankrijk (11-18-2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-paris-france/
Diversen –
–Plundering van cryptosleutels van ultraveilige SGX zorgt opnieuw voor verwarring bij Intel
–Hackers hebben A1 Telekom, de grootste internetprovider van Oostenrijk, gehackt
https://www.zdnet.com/article/hackers-breached-a1-telekom-austrias-largest-isp/
–‘Verstoring’ van computernetwerk dwingt Honda om een deel van de productie te annuleren
https://www.cyberscoop.com/honda-ransomware-snake-ekans/
Neem contact met ons op: volg @HealthISAC en stuur een e-mail naar contact@h-isac.org
[1] https://www.cyberscoop.com/dhs-cisa-industrial-control-system-security-strategy/
[2] https://www.cyberscoop.com/dhs-cisa-industrial-control-system-security-strategy/
[3] https://www.cyberscoop.com/dhs-cisa-industrial-control-system-security-strategy/
[4] https://www.us-cert.gov/ics/Industrial-Control-Systems-Joint-Working-Group-ICSJWG
[5]https://www.cisa.gov/sites/default/files/publications/Cybersecurity_Best_Practices_for_Industrial_Control_Systems.pdf
[6] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf
[7] https://www.comparitech.com/blog/information-security/unsecured-database-honeypot/
[8] https://www.comparitech.com/blog/information-security/unsecured-database-honeypot/
[9] https://www.comparitech.com/blog/information-security/unsecured-database-honeypot/
[10] https://www.comparitech.com/blog/information-security/unsecured-database-honeypot/
[11] https://www.healthcareitnews.com/news/nsf-funds-software-safeguard-patient-data-during-covid-19-research
[12] https://www.utdallas.edu/news/science-technology/patient-privacy-covid-19-2020/
[13] https://www.utdallas.edu/news/science-technology/patient-privacy-covid-19-2020/
- Gerelateerde bronnen en nieuws