H-ISAC Hacking Saúde 9-9-2020
TLP White: Esta semana, a Hacking Healthcare pede aos leitores que comecem a pensar sobre incidentes ciberfísicos e o quão preparada sua organização está para lidar com as consequências. Em seguida, detalhamos o anúncio recente de que a China está revelando sua própria iniciativa global de segurança de dados e o que pode ser esperado como resultado. Por fim, examinamos brevemente como a nova Binding Operational Directive do Department of Homeland Security (DHS), que exige que agências governamentais adotem uma Vulnerability Disclosure Policy, afeta o setor de saúde.
Como lembrete, esta é a versão pública do blog Hacking Healthcare. Para análise e opinião aprofundadas adicionais, torne-se um membro do H-ISAC e receba a versão TLP Amber deste blog (disponível no Portal do Membro).
Por favor, nos dê um minuto do seu tempo para responder algumas perguntas sobre os tópicos do Hacking Healthcare desta semana. Publicaremos os resultados em uma próxima edição. O link da pesquisa segue os artigos abaixo.
Bem-vindo de volta ao Hackeando a saúde.
1. Hora de começar a pensar sobre responsabilidade cibernética e física.
À medida que a distinção entre o mundo cibernético e o físico se torna cada vez mais tênue, as organizações provavelmente enfrentarão novos desafios relacionados a novas responsabilidades, regras e regulamentações para incidentes ciberfísicos. De acordo com a Gartner, essas mudanças legais e regulatórias provavelmente ocorrerão rapidamente devido à natureza séria das consequências potenciais.
Entre as previsões mais surpreendentes que a Gartner faz está a alegação de que 75% dos CEOs podem ser responsabilizados pessoalmente por incidentes ciberfísicos até 2024. A Gartner prevê que será cada vez mais difícil para os CEOs “alegar ignorância ou se esconder atrás de apólices de seguro”. Além disso, eles preveem que haverá um rápido aumento em incidentes ciberfísicos devido à falta de planejamento e gastos nessa área. O mais preocupante é a análise deles de que o impacto financeiro de incidentes ciberfísicos resultando em vítimas fatais passará de US$ 50 bilhões até 2023.
A Gartner também citou a preocupação de que muitas organizações não estão totalmente cientes de todos os sistemas ciberfísicos que já implantaram. Ao comentar sobre a necessidade de abordar essas questões, a vice-presidente de pesquisa da Gartner, Katell Thielemann, pediu aos líderes de tecnologia que ajudassem os CEOs a entender a ameaça de incidentes ciberfísicos e a necessidade de estabelecer “Gerenciamento de Resiliência Operacional (ORM) além da segurança cibernética centrada em informações”.
Ação e Análise
** É necessária a inscrição **
2. China revela sua Iniciativa Global de Segurança de Dados.
Na manhã de terça-feira, foi anunciado que a China pretende lançar uma iniciativa global de segurança de dados. De acordo com o Global Times, essa iniciativa é anunciada como um potencial padrão mundial para segurança de dados e alega abordar algumas das preocupações frequentemente citadas que governos e corporações tiveram com relação à privacidade e segurança de dados na China.
O Global Times relata que a iniciativa é composta por oito propostas. A reportagem sugere que a iniciativa inclui ou apoia os seguintes pontos: ,
- Os Estados [deveriam] tratar da segurança dos dados de uma forma abrangente, objetiva e baseada em evidências
- [Oposição] às atividades de TIC que usam dados para conduzir atividades que prejudicam a segurança nacional e os interesses de outros estados
- [Oposição] à vigilância em massa contra outros estados
- Os Estados não devem exigir que as empresas nacionais armazenem dados gerados e obtidos no exterior em seu próprio território
- Os Estados devem respeitar a soberania, a jurisdição e a governação dos dados de outros Estados, e qualquer acordo bilateral de acesso a dados não deve infringir a soberania judicial e a segurança dos dados de um terceiro Estado.
- Os fornecedores de produtos e serviços de TIC não devem instalar backdoors nos seus produtos e serviços para obter ilegalmente dados dos utilizadores, ou controlar ou manipular os sistemas e dispositivos dos utilizadores.
- As empresas de TIC não devem procurar interesses ilegítimos, aproveitando a dependência dos utilizadores dos seus produtos, nem forçar os utilizadores a actualizar os seus sistemas e dispositivos.
Zhao Lijian, porta-voz do Ministério das Relações Exteriores da China, teria declarado que “a iniciativa visa proteger os dados globais e a segurança da cadeia de suprimentos, promover o desenvolvimento da economia digital e fornecer um modelo para a formulação de regras globais”. Além disso, autoridades do governo chinês teriam feito várias repreensões veladas à política externa dos Estados Unidos sobre esses assuntos. Atualmente, não está claro quanto apoio global existe para essa iniciativa.
Ação e Análise
** É necessária a inscrição **
3. A divulgação de vulnerabilidades do governo ganha um impulso.
Na quarta-feira passada, a Cybersecurity and Infrastructure Security Agency (CISA) sob o DHS lançou uma aguardada Binding Operational Directive (BOD) sobre políticas de divulgação de vulnerabilidades (VDPs) para o governo federal. A BOD 20-01 dá às agências governamentais seis meses para “estabelecer VDPs que renunciem a ações legais contra pesquisadores que agem de boa-fé, permitam que os participantes enviem relatórios de vulnerabilidades anonimamente e cubram pelo menos um sistema ou serviço acessível pela internet”.
Como lembrete, os BODs são “uma orientação obrigatória para departamentos e agências federais, do poder executivo, para fins de proteção de informações e sistemas de informação federais” que podem ser emitidos pelo DHS. Este BOD em particular vem com o reconhecimento do DHS de que “as políticas de divulgação de vulnerabilidades aumentam a resiliência dos serviços online do governo” e são “um elemento essencial de um programa eficaz de gerenciamento de vulnerabilidades empresariais”.
Para agências que não têm muita experiência em elaborar uma política de divulgação de vulnerabilidades, o BOD 20-01 descreve de forma útil os vários requisitos, fornece orientação sobre implementação e até mesmo links para um modelo de VDP. Embora o estabelecimento de VDP no governo federal tenha sido lento até agora, esta diretiva compulsória com instruções claras de implementação deve ajudar a acelerar a adoção de VDP.
Ação e Análise
** É necessária a inscrição **
Vistorias
Reserve um minuto para responder a algumas perguntas sobre o Hacking Healthcare desta semana acessando este link:
https://www.surveymonkey.com/r/QQD76GW
Congresso -
Terça-feira, setembro 9th:
– Senado – Comissão de Saúde, Educação, Trabalho e Pensões: Audiências para examinar vacinas, com foco em salvar vidas, garantir confiança e proteger a saúde pública.
Quarta-feira, setembro 10th:
– Nenhuma audiência relevante
Quinta-feira, 11 de setembro:
– Nenhuma audiência relevante
Internacional Audiências/Reuniões -
– Nenhuma audiência relevante
EU -
Quarta-feira, setembro 10th:
– Parlamento Europeu – Comissão do Ambiente, da Saúde Pública e da Segurança Alimentar
Quinta-feira, 11 de setembro:
– Parlamento Europeu – Comissão do Ambiente, da Saúde Pública e da Segurança Alimentar
Diversos –
Ransomware atinge duas organizações estatais no Oriente Médio e Norte da África
https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/
França alerta sobre ataques da Emotet a empresas e administração
https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-empresas-administração/
Microscópios com tecnologia de IA do Google podem mudar o diagnóstico do câncer
https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-mudança-diagnóstico-do-câncer/168220/
Conferências, Webinars e Cúpulas -
Entre em contato conosco: siga @HealthISAC e envie um e-mail para contact@h-isac.org
https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl
https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl
https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl
https://www.globaltimes.cn/content/1200228.shtml
https://www.globaltimes.cn/content/1200228.shtml
https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7
https://www.globaltimes.cn/content/1200228.shtml
https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/
- Recursos e notícias relacionados