Przejdź do głównej zawartości

Zdrowie-ISAC Hacking Opieka zdrowotna 10-7-2021

|

TLP White: Październik to Miesiąc Świadomości Cyberbezpieczeństwa, wspólny wysiłek rządu i przemysłu mający na celu podniesienie świadomości na temat znaczenia cyberbezpieczeństwa i zapewnienie, że każdy ma zasoby, których potrzebuje, aby być bezpieczniejszym i bardziej chronionym w Internecie. Jako dumni mistrzowie świadomości cyberbezpieczeństwa, w tym miesiącu wpleciemy kilka cotygodniowych tematów do naszych artykułów. W tym tygodniu Hackowanie opieki zdrowotnej zaczyna się od ukłonu w stronę uwierzytelniania wieloskładnikowego (MFA). Podkreślamy nowe zagrożenie dla rozwiązań z hasłem jednorazowym (OTP), które może mieć implikacje dla organizacji stosujących OTP jako część swojego rozwiązania MFA. Następnie przedstawiamy aktualizację nowych wydarzeń w ustawodawstwie dotyczącym zgłaszania incydentów w Stanach Zjednoczonych. Na koniec kończymy dyskusją na temat tego, w jaki sposób niektóre niedawne doniesienia prasowe, które twierdzą, że istnieje związek między cyberatakami w opiece zdrowotnej a szkodami wyrządzonymi pacjentom, mogą nie być tak oczywiste, jak wiele z nich wydaje się sugerować.

Ale najpierw, jeśli jesteś członkiem H-ISAC, rozważ udział w nadchodzącym Hobby Exercise H-ISAC. Zobacz szczegóły poniżej.

Przypominamy, że jest to publiczna wersja bloga Hacking Healthcare. Aby uzyskać bardziej dogłębną analizę i opinię, zostań członkiem H-ISAC i otrzymaj wersję TLP Amber tego bloga (dostępną w Portalu Członków).

 

Witaj zpowrotem w Hackowanie opieki zdrowotnej.

 

Wersja PDF:

Do pobrania

 

Wersja tekstowa:

Witaj zpowrotem w Hackowanie opieki zdrowotnej.

1. Zaproszenie do udziału w ćwiczeniach hobbystycznych H-ISAC

Hobby Exercise to coroczne wydarzenie z zakresu opieki zdrowotnej i zdrowia publicznego (HPH), którego celem jest zaangażowanie sektora i jego partnerów w istotne wyzwania związane z bezpieczeństwem i odpornością, aby poinformować o ulepszeniach planowania i reagowania. Druga edycja Hobby Exercise jest zaplanowana na 2 listopada 2021 r. w Venable LLP w Waszyngtonie. Przewidujemy, że osobiście weźmie w niej udział 30–50 osób z sektora publicznego i prywatnego. To całodniowe ćwiczenie obejmuje wystąpienia głównych mówców, dyskusje w dużych grupach, dyskusje w grupach roboczych, lunch i liczne przerwy na nawiązywanie kontaktów. Ćwiczenie odbędzie się w TLP Amber, aby ułatwić otwartą dyskusję na te ważne tematy.

Dane uczestnika:

Inkluzywne, holistyczne, multidyscyplinarne podejście zapewnia wartość temu ćwiczeniu, a my szukamy zróżnicowanej reprezentacji w całym sektorze. Ta różnorodność rozciąga się na typ organizacji (np. MDM, HDO itp.), rolę (np. IT/Security, HR, Legal, Comms itp.) i indywidualny poziom doświadczenia.

Cel:

Ćwiczenie Hobby edukuje uczestników na temat problemów w opiece zdrowotnej i tego, jak H-ISAC i jego członkowie mogą się nimi zająć i zajmują się nimi. Ćwiczenie to buduje trwałe relacje w obrębie sektora publicznego i prywatnego, które pomagają wzmocnić zrozumienie, reagowanie i plany oraz działania naprawcze.

Aby wziąć udział w Ćwiczeniu Hobby lub dowiedzieć się więcej, wyślij wiadomość e-mail jbanghart@h-isac.org.

 

2. Nowe wyzwania dla bezpieczeństwa haseł jednorazowych i uwierzytelniania wieloskładnikowego

Utrzymanie z dala złośliwych aktorów stało się coraz trudniejsze, ponieważ ich możliwości stale się poprawiają. Podczas gdy wiele organizacji, na szczęście, uznało, że pojedyncze poleganie na statycznych hasłach i pytaniach opartych na wiedzy nie jest już wystarczające, aby pokonać zdeterminowanych atakujących, niektóre inne formy uwierzytelniania często stosowane w MFA są również zagrożone. Według Intel 471, rozwiązania uwierzytelniania OTP są celem rosnącej liczby usług phishingowych opartych na botach.[1]

Dla porównania, rozwiązania uwierzytelniania OTP „opierają się na jednorazowym haśle generowanym w samodzielnym tokenie sprzętowym lub, co obecnie jest powszechniejsze, w aplikacji na smartfony”.[2] Hasła te zmieniają się po określonej liczbie sekund i tradycyjnie były znaczącą poprawą bezpieczeństwa. Jednak niedawny wpis Intel 471 podkreślił „wzrost liczby usług w podziemiu cyberprzestępczości, które umożliwiają atakującym przechwytywanie jednorazowych tokenów haseł”.[3]

O usługach tego typu informowaliśmy już wcześniej w tym roku, a w poście z lutego na KrebsOnSecurity opisano usługę o nazwie OTP Agency.[4] Według Intel 471 te nowe usługi wykorzystują komunikator Telegram do kontaktowania się z ofiarami, pozorując „legalne połączenie z określonego banku i oszukując ofiary, aby wpisały OTP lub inny kod weryfikacyjny na telefonie komórkowym w celu przechwycenia i dostarczenia kodów”.[5] Tego typu ataki phishingowe zdają się być bardzo skuteczne, co mogłoby pomóc wyjaśnić wzrost liczby usług na rynku.

Akcja i analiza
**Wymagane członkostwo**

  

3. Aktualizacja dotycząca zgłaszania incydentów cybernetycznych

Raportowanie incydentów cybernetycznych pozostaje tematem rozmów w Kongresie, ponieważ ustawodawcy po obu stronach barykady starają się odpowiedzieć na wzrost liczby znaczących cyberataków mających wpływ na podmioty amerykańskie. Najnowszy podmiot, który ma zostać wzięty pod uwagę, Ustawa o zgłaszaniu incydentów cybernetycznych, został przedstawiony w zeszłym tygodniu przez senatora Petersa (D-MI) i senatora Portman (R-OH).[6] Projekt ustawy dołącza do wcześniejszego Ustawa o powiadamianiu o incydentach cybernetycznych wprowadzone przez senatora Warnera (demokratę z Wirginii) jako dwa najważniejsze projekty ustaw w tej sprawie, które są obecnie procedowane w Senacie.[7]

Jak opisują jego autorzy, Ustawa o zgłaszaniu incydentów cybernetycznych „wymagałoby od właścicieli i operatorów infrastruktury krytycznej zgłaszania do Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) przypadków, w których padną ofiarą cyberataku, a [wymagałoby] od większości podmiotów zgłaszania przypadków dokonania płatności w ramach okupu”.[8] Portman i Peters uważają, że ustawa „poprawi wiedzę agencji federalnych na temat najlepszych sposobów zwalczania cyberataków, pomoże naszemu narodowi pociągnąć hakerów do odpowiedzialności za ataki na amerykańskie sieci oraz wzmocni zdolność rządu federalnego do zapobiegania tym atakom, aby nie dopuścić do dalszego naruszenia bezpieczeństwa narodowego i zakłócenia życia i środków utrzymania Amerykanów”.

Projekt ustawy odzwierciedla wiele obaw zawartych we wcześniejszym projekcie ustawy Warnera, który „wymagałby od federalnych agencji rządowych, federalnych wykonawców i operatorów krytycznej infrastruktury powiadamiania Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) Departamentu Bezpieczeństwa Krajowego (DHS) o wykryciu naruszenia, aby rząd USA mógł się zmobilizować w celu ochrony krytycznych gałęzi przemysłu w całym kraju”.[9]

Chociaż zarówno projekt ustawy Portman/Peters, jak i projekt ustawy Warnera są dwupartyjne i dotyczą tego samego tematu, zakres i podejście każdego projektu ustawy zawierają ważne rozróżnienia, przynajmniej w obecnej formie. Niektóre z bardziej znaczących różnic to harmonogramy raportowania, podmioty objęte raportowaniem i mechanizm egzekwowania.

Akcja i analiza
**Wymagane członkostwo**

 

4. Spokojna ocena wpływu cyberataków na wyniki leczenia pacjentów

W nowym raporcie Ponemon Institute na temat wpływu oprogramowania ransomware na opiekę zdrowotną w czasie pandemii COVID-19 stwierdzono, że oprogramowanie ransomware przyczyniło się do wzrostu śmiertelności pacjentów. [10]  W tym samym czasie w Wall Street Journal opublikowano artykuł opisujący, jak ransomware przyczyniło się do śmiertelnych powikłań u noworodka.[11]

Oba te artykuły ponownie rzuciły światło na obawy, że cyberataki negatywnie wpływają na wyniki leczenia pacjentów. Niestety, artykuły te są często zniekształcane i sensacyjne, co mąci wodę w kwestii o prawdziwym znaczeniu i utrudnia uczciwy dialog między dostawcami usług opieki zdrowotnej, pacjentami i prawodawcami. Po bliższym przyjrzeniu się materiałowi źródłowemu, historie te nie wydają się tak jednoznaczne, jak przedstawiają je niektóre nagłówki wiadomości.

Badanie Ponemon, Wpływ oprogramowania ransomware na Opieka zdrowotna w czasie COVID-19 i Poza, jest 43-stronicowym raportem badawczym sponsorowanym przez zewnętrzną firmę zajmującą się zarządzaniem ryzykiem Censinet.[12] Opublikowany we wrześniu raport zawiera szereg niepokojących danych na temat wpływu cyberataków na opiekę zdrowotną. Najbardziej godne uwagi są:[13]

  • – 22% respondentów z organizacji świadczących usługi opieki zdrowotnej (HDO), które doświadczyły ataku ransomware, potwierdziło „wzrost współczynnika śmiertelności”
  • – 36% respondentów w HDO, którzy doświadczyli ataku ransomware, potwierdziło „Wzrost powikłań po zabiegach medycznych”
  • – 23% wszystkich respondentów potwierdziło, że „skutki cyberataków na opiekę nad pacjentami” doprowadziły do ​​„wzrostu wskaźnika śmiertelności”

 

Artykuł w Wall Street Journal opisuje pozew wynikający z komplikacji zdrowotnych, jakich doznał noworodek podczas incydentu z oprogramowaniem ransomware w Springhill Medical Center w Alabamie. Pozew zarzuca, że ​​Springhill Medical Center „nie poinformowało powoda o cyberataku i awarii” oraz że „lekarze i pielęgniarki w Springhill Medical Center nie przeprowadzili wielu testów przed porodem… i że testy te nie zostały przeprowadzone z powodu rozproszenia spowodowanego atakiem oprogramowania ransomware”.[14] Choć oprogramowanie ransomware mogło przyczynić się do takiego wyniku, sąd nie rozstrzygnął, czy było to decydującym czynnikiem.

Akcja i analiza
**Wymagane członkostwo**

 

Kongres

 

Wtorek, październik 5th:

– Brak odpowiednich przesłuchań

 

Środa, 6 października:

– Brak odpowiednich przesłuchań

 

Czwartek, 7 października:

– Senat – Komisja Handlu, Nauki i Transportu: Przesłuchania mające na celu zbadanie stanu telemedycyny, ze szczególnym uwzględnieniem usuwania barier w dostępie i poprawy wyników leczenia pacjentów.

 

na świecie Przesłuchania/Spotkania -

– Brak istotnych spotkań

 

UE -

Poniedziałek, październik 11th

– Parlament Europejski – Komisja Ochrony Środowiska Naturalnego, Zdrowia Publicznego i Bezpieczeństwa Żywności

 

 

 

Konferencje, webinaria i szczyty –

 

 

https://h-isac.org/events/

 

Skontaktuj się z nami: obserwuj @HealthISAC i napisz na adres contact@h-isac.org

 

[1] https://intel471.com/blog/otp-password-bots-telegram

[2] /wp-content/uploads/H-ISAC_All-About-Authentication-White-Paper.pdf

[3] https://intel471.com/blog/otp-password-bots-telegram

[4] https://krebsonsecurity.com/2021/02/u-k-arrest-in-sms-bandits-phishing-service/

[5] https://intel471.com/blog/otp-password-bots-telegram

[6] https://www.congress.gov/bill/117th-congress/senate-bill/2875

[7] https://www.congress.gov/bill/117th-congress/senate-bill/2407/text

[8] https://www.hsgac.senate.gov/media/majority-media/peters-and-portman-introduce-bipartisan-legislation-requiring-critical-infrastructure-entities-to-report-cyber-attacks

[9] https://www.warner.senate.gov/public/index.cfm/2021/7/following-solarwinds-colonial-hacks-leading-national-security-senators-introduce-bipartisan-cyber-reporting-bill

[10] https://www.censinet.com/thank-you-ponemon-covid-ransomware-impact/

[11] https://www.wsj.com/articles/ransomware-hackers-hospital-first-alleged-death-11633008116

[12] https://www.censinet.com/thank-you-ponemon-covid-ransomware-impact/

[13] https://www.censinet.com/thank-you-ponemon-covid-ransomware-impact/

[14] https://www.hipaajournal.com/lawsuit-alleges-ransomware-attack-resulted-in-hospital-baby-death/

Zdrowie-ISAC Hacking Opieka zdrowotna 10-12-2021
Biuletyn miesięczny – październik 2021