Hopp til hovedinnhold

H-ISAC Hacking Healthcare 9-9-2020

TLP White: Denne uken ber Hacking Healthcare leserne om å begynne å tenke på cyberfysiske hendelser og hvor forberedt organisasjonen din er til å håndtere konsekvensene. Deretter bryter vi ned den nylige kunngjøringen om at Kina avduker sitt eget globale datasikkerhetsinitiativ og hva som kan forventes som et resultat. Til slutt undersøker vi kort hvordan Department of Homeland Securitys (DHS) nye bindende operasjonelle direktiv, som krever at offentlige etater vedtar en policy for sårbarhet, påvirker helsesektoren.

Som en påminnelse er dette den offentlige versjonen av Hacking Healthcare-bloggen. For ytterligere dybdeanalyse og meninger, bli medlem av H-ISAC og motta TLP Amber-versjonen av denne bloggen (tilgjengelig i medlemsportalen.)

 

Gi oss et minutt av tiden din til å svare på noen spørsmål om denne ukens Hacking Healthcare-emner. Vi vil publisere resultatene i en kommende utgave. Lenken til undersøkelsen følger artiklene nedenfor.

 

 

Velkommen tilbake til Hacking Healthcare.

 

1. På tide å begynne å tenke på cyber-fysisk ansvar.

Ettersom skillet mellom den cyber- og den fysiske verden i økende grad utviskes, vil organisasjoner sannsynligvis møte nye utfordringer knyttet til nye forpliktelser, regler og forskrifter for cyber-fysiske hendelser. Ifølge Gartner vil disse juridiske og regulatoriske endringene sannsynligvis skje raskt på grunn av den alvorlige karakteren av de potensielle konsekvensene.

Blant de mer øyenbrynshevende spådommene Gartner kommer med er påstanden om at 75 % av administrerende direktører kan bli holdt personlig ansvarlige for cyberfysiske hendelser innen 2024. Gartner spår at det vil bli stadig vanskeligere for administrerende direktører å «påberope seg uvitenhet eller trekke seg bak forsikringer».[1] I tillegg spår de at det vil være en rask økning i cyberfysiske hendelser på grunn av mangel på planlegging og utgifter på dette området. Mest bekymringsfull er analysen deres om at den økonomiske konsekvensen av cyberfysiske hendelser som resulterer i dødelige skader vil passere 50 milliarder dollar innen 2023.[2]

Gartner siterte også bekymringen for at mange organisasjoner ikke er fullstendig klar over alle de cyberfysiske systemene de allerede har distribuert. I sin kommentar om behovet for å ta opp disse problemene, oppfordret Gartners forsknings visepresident, Katell Thielemann, teknologiledere til å hjelpe administrerende direktører med å forstå trusselen fra cyberfysiske hendelser og behovet for å etablere "Operational Resilience Management (ORM) hinsides informasjonsentrisk cyber sikkerhet."[3]

Handling og analyse
** Medlemskap kreves **

 

2. Kina avduker sitt globale datasikkerhetsinitiativ.

Tirsdag morgen ble det kjent at Kina har til hensikt å lansere et globalt datasikkerhetsinitiativ. I følge Global Times er dette initiativet utpekt som en potensiell verdensomspennende standard for datasikkerhet og hevder å adressere noen av de ofte siterte bekymringene regjeringer og selskaper har hatt med hensyn til personvern og sikkerhet for data i Kina.[4]

Global Times melder at initiativet består av åtte forslag. Rapportering antyder at initiativ inkluderer eller støtter følgende punkter:[5], [6]

  • Statene [bør] håndtere datasikkerhet på en omfattende, objektiv og evidensbasert måte
  • [Opposisjon] mot IKT-aktiviteter som bruker data til å utføre aktiviteter som undergraver andre staters nasjonale sikkerhet og interesser
  • [Opposisjon] mot masseovervåking mot andre stater
  • Stater bør ikke be innenlandske selskaper om å lagre data generert og innhentet utenlands på deres eget territorium
  • Stater bør respektere suvereniteten, jurisdiksjonen og styringen av data til andre stater, og enhver bilateral datatilgangsavtale bør ikke krenke den rettslige suvereniteten og datasikkerheten til en tredjestat
  • IKT-produkter og tjenesteleverandører bør ikke installere bakdører i sine produkter og tjenester for å ulovlig innhente brukerdata, eller kontrollere eller manipulere brukernes systemer og enheter
  • IKT-selskaper bør ikke søke illegitime interesser ved å utnytte brukeravhengigheten av produktene deres, og heller ikke tvinge brukerne til å oppgradere systemene og enhetene sine

Zhao Lijian, en talsperson for det kinesiske utenriksdepartementet, skal ha uttalt at "initiativet tar sikte på å ivareta global data- og forsyningskjedesikkerhet, fremme utviklingen av den digitale økonomien og gi en blåkopi for utformingen av globale regler."[7] I tillegg skal kinesiske myndighetspersoner ha kommet med flere tynt tilslørte irettesettelser til USAs utenrikspolitikk i disse sakene. Det er foreløpig uklart hvor mye global støtte som finnes for dette initiativet.

Handling og analyse
** Medlemskap kreves **

 

3. Offentliggjøring av offentlig sårbarhet får et løft.

Sist onsdag utga The Cybersecurity and Infrastructure Security Agency (CISA) under DHS et etterlengtet bindende operativt direktiv (BOD) om sårbarhetsavsløringspolitikk (VDP) for den føderale regjeringen. BOD 20-01 gir offentlige etater seks måneder til å "etablere VDPer som avstår fra rettslige skritt mot forskere som handler i god tro, lar deltakere sende inn sårbarhetsrapporter anonymt og dekker minst ett internett-tilgjengelig system eller tjeneste."[8]

Som en påminnelse er BODs "en obligatorisk anvisning til føderale, utøvende grener, avdelinger og byråer med det formål å sikre føderal informasjon og informasjonssystemer" som kan utstedes av DHS.[9] Denne spesielle BOD kommer med DHSs anerkjennelse av at "policyer for avsløring av sårbarhet øker motstandskraften til myndighetenes nettjenester" og er "et essensielt element i et effektivt program for håndtering av sårbarhet for bedrifter."[10]

For byråer som ikke har mye erfaring med å lage en policy for avsløring av sårbarheter, skisserer BOD 20-01 på en nyttig måte de ulike kravene, gir veiledning om implementering og til og med lenker til en VDP-mal. Mens VDP-etableringen i den føderale regjeringen har vært treg så langt, bør dette obligatoriske direktivet med klare implementeringsinstruksjoner bidra til å fremskynde VDP-adopsjon.

Handling og analyse
** Medlemskap kreves **

 

 

Survey /Inspeksjonsfartøy

Vennligst bruk ett minutt til å svare på noen spørsmål om denne ukens Hacking Healthcare ved å besøke denne lenken:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

Kongressen -

 

Tirsdag, september 9th:

– Senatet – Komiteen for helse, utdanning, arbeidskraft og pensjoner: Høringer for å undersøke vaksiner, med fokus på å redde liv, sikre tillit og beskytte folkehelsen.

 

Onsdag, september 10th:

– Ingen relevante høringer

 

Torsdag 11. september:

– Ingen relevante høringer

 

 

 

internasjonalt Høringer/møter -

 

– Ingen relevante høringer

 

 

EU -

Onsdag, september 10th:

– Europaparlamentet – Komiteen for miljø, folkehelse og mattrygghet

 

Torsdag 11. september:

– Europaparlamentet – Komiteen for miljø, folkehelse og mattrygghet

 

 

 

 

Diverse –

 

Ransomware treffer to statlige organisasjoner i Midtøsten og Nord-Afrika

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

Frankrike advarer mot at Emotet angriper selskaper, administrasjon

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-bedrifter-administrasjon/

Mikroskoper drevet av Googles AI kan endre kreftdiagnostikk

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-endring-kreft-diagnostikk/168220/

 

 

 

Konferanser, webinarer og toppmøter -

 

https://h-isac.org/events/

 

Kontakt oss: følg @HealthISAC, og send e-post til contact@h-isac.org

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • Relaterte ressurser og nyheter