Saúde-ISAC Hacking Healthcare 5-9-2024

Esta semana, Hacking Healthcare™ foca em novos desenvolvimentos em torno de risco, segurança e proteção de IA. Em particular, detalhamos o estabelecimento do novo Departamento de Segurança Interna (DHS)) Conselho de Segurança e Proteção de Inteligência Artificial e então revisar as novas orientações do DHS Diretrizes de Segurança e Proteção para Proprietários e Operadores de Infraestruturas Críticas.

Como lembrete, esta é a versão pública do blog Hacking Healthcare. Para análise e opinião aprofundadas adicionais, torne-se um membro do H-ISAC e receba a versão TLP Amber deste blog (disponível no Portal do Membro).

Bem-vindo de volta ao Hacking Healthcare™.

Saúde-ISAC Americas Hobby Exercício 2024

O Health-ISAC está mais uma vez acelerando os preparativos para nosso Americas Hobby Exercise anual! Para novos membros do Health-ISAC, o Hobby Exercise é um evento anual de Saúde Pública e Assistência Médica (HPH) projetado para envolver o setor de assistência médica e parceiros estratégicos em desafios significativos de segurança e resiliência. O objetivo abrangente é informar e fornecer oportunidades para melhoria contínua organizacional, ao mesmo tempo em que aumenta a resiliência do setor de assistência médica.

O link a seguir para o Relatório de Ação Pós-Exercício de Hobby do ano passado fornece uma boa visão geral dos tipos de interação e valor que você pode esperar do evento deste ano:

https://h-isac.org/hobby-exercise-2023-after-action-report/

O exercício deste ano será realizado em 6 de junho no escritório da Venable LLP em Washington, DC. Os membros são incentivados a registrar seu interesse em participar no seguinte link:

https://portal.h-isac.org/s/community-event?id=a1Y7V00000ZmFVwUAN

Memorando de Segurança Nacional 22 Revisa Abordagem dos EUA para Infraestrutura Crítica

Em 30 de abril, o governo Biden publicou a Memorando de Segurança Nacional 22 (NSM-22): sobre Segurança e Resiliência de Infraestruturas Críticas.^[I] Este memorando serve como a mais recente revisão em uma série de memorandos executivos que buscaram definir o que constitui infraestrutura crítica dos EUA e delinear como o governo deve melhorar a segurança e a resiliência dessa infraestrutura crítica. Como você pode esperar, o NSM-22 terá impactos diretos e indiretos no setor de saúde e saúde pública (HPH).

O que é NSM-22 e o que ele substitui? 

Desde 2013, o governo federal dos Estados Unidos tem olhado para a Presidential Policy Directive 21 (PPD-21) como a orientação permanente para o que constitui infraestrutura crítica nos Estados Unidos, como o governo dos Estados Unidos deve procurar proteger essa infraestrutura, bem como delinear o papel previsto para o setor privado. Embora esse memorando executivo não tenha força de lei por trás dele, ele nunca foi revogado ou substituído até a semana passada.

Esta atualização foi iniciada com a aprovação do HR6395, o William M. (Mac) Thornberry National Defense Authorization Act para o ano fiscal de 2021, que exigiu que o secretário do DHS, em consulta com os chefes das Agências de Gestão de Riscos Setoriais (SRMAs), “revisasse a estrutura atual para proteger infraestrutura crítica…” e enviasse um relatório relacionado a possíveis revisões.^[Ii] O conteúdo desse relatório foi aprovado pelo presidente Biden e trabalhou no que se tornaria o NSM-22.

Conteúdo NSM-22

Com aproximadamente 35 páginas, o NSM-22 fornece o seguinte para “promover a unidade nacional de esforço [dos Estados Unidos] para fortalecer e manter uma infraestrutura crítica segura, funcional e resiliente”:^[III]

• Oito princípios políticos;
• Oito objetivos;
• Esclarecimento sobre as funções e responsabilidades dos departamentos e agências federais;
• A promoção da gestão de riscos e uma abordagem de todas as ameaças/perigos à segurança e resiliência;
• A imposição de requisitos mínimos de segurança e resiliência para setores de infraestrutura crítica;
• A direção de um plano nacional de gestão de riscos de infraestrutura;
• A reiteração das Entidades Sistemicamente Importantes (EIS);
• Um reforço da partilha de informações e da troca de informações;
• Uma reiteração da definição de infraestrutura crítica, dos setores de infraestrutura crítica designados e das SRMAs responsáveis; e
• Um plano de implementação para que entidades federais executem o que foi descrito acima.

Ação e Análise
**Incluído na Associação Health-ISAC**

Próximas Audiências/Reuniões Internacionais

• EU
  1. Nenhuma reunião relevante neste momento
• US
  1. Nenhuma reunião relevante neste momento
• Resto do Mundo
  1. Nenhuma reunião relevante neste momento

^[I]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Ii] https://www.congress.gov/bill/116th-congress/house-bill/6395

^[III]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[IV] Diretiva de Decisão Presidencial/NSC-63

^[V] Diretriz de Política Presidencial 21

^[Vi] “Sistemas e ativos, sejam físicos ou virtuais, tão vitais para os Estados Unidos que a incapacidade ou destruição de tais sistemas e ativos teria um impacto debilitante na segurança nacional, na segurança econômica nacional, na saúde ou segurança pública nacional, ou em qualquer combinação desses assuntos.”

^[Vii]https://www.washingtonpost.com/politics/2023/10/16/biden-administration-goes-back-drawing-board-water-cybersecurity/

^[Viii]https://www.cisa.gov/cross-sector-cybersecurity-performance-goals#:~:text=A%20common%20set%20of%20protections,known%20risks%20and%20adversary%20techniques

^[Ix] https://hphcyber.hhs.gov/performance-goals.html

^[X]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xi]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xii] https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

• Recursos e notícias relacionados
• Saúde-ISAC Hacking Healthcare 5-11-2026
• Manual do CISO Vol. 2 – Vulnerabilidade do token 0Auth que causou violação de segurança na Salesforce
• Boletim Mensal – Maio 2026
• Insights trimestrais sobre ameaças – 1º trimestre de 2026
• O que o ataque à Stryker revela sobre a segurança de dispositivos médicos
• Políticas e salvaguardas para o uso seguro da IA
• HSCC divulga guia de transparência da cadeia de suprimentos e riscos de IA de terceiros
• Anthropic revela um deus mágico de dia zero para computadores.
• Saúde na mira: ameaças cibernéticas ligadas ao Irã aumentam o risco para hospitais, empresas de tecnologia médica e cadeias de suprimentos de serviços de saúde.
• O Health-ISAC destaca lacunas na resiliência cibernética e na resposta a incidentes…