Prejsť k hlavnému obsahu

H-ISAC Hacking Healthcare 9. 9. 2020

TLP White: Tento týždeň Hacking Healthcare žiada čitateľov, aby začali premýšľať o kybernetických a fyzických incidentoch a o tom, ako je vaša organizácia pripravená na riešenie následkov. Ďalej rozoberieme nedávne oznámenie, že Čína odhaľuje svoju vlastnú iniciatívu v oblasti globálnej bezpečnosti údajov a čo možno očakávať ako výsledok. Nakoniec stručne preskúmame, ako nová záväzná prevádzková smernica ministerstva vnútornej bezpečnosti (DHS), ktorá vyžaduje, aby vládne agentúry prijali politiku zverejňovania zraniteľností, ovplyvňuje sektor zdravotníctva.

Pripomíname, že toto je verejná verzia blogu Hacking Healthcare. Ak chcete získať ďalšiu hĺbkovú analýzu a názor, staňte sa členom H-ISAC a získajte verziu tohto blogu TLP Amber (dostupnú na portáli pre členov.)

 

Venujte nám chvíľu svojho času na zodpovedanie niekoľkých otázok o témach Hacking Healthcare na tento týždeň. Výsledky zverejníme v budúcom čísle. Odkaz na prieskum nasleduje po článkoch nižšie.

 

 

Vitajte späť na stránke Hackovanie zdravotníctva.

 

1. Čas začať premýšľať o kyberneticko-fyzickej zodpovednosti.

Keďže sa rozdiel medzi kybernetickým a fyzickým svetom čoraz viac stiera, organizácie budú pravdepodobne čeliť novým výzvam súvisiacim s novými záväzkami, pravidlami a predpismi pre kybernetické fyzické incidenty. Podľa spoločnosti Gartner tieto právne a regulačné zmeny pravdepodobne nastanú rýchlo vzhľadom na vážnu povahu potenciálnych dôsledkov.

Medzi ďalšie predpovede Gartneru, ktoré dvíhajú obočie, patrí tvrdenie, že 75 % generálnych riaditeľov by mohlo byť do roku 2024 braných na osobnú zodpovednosť za kybernetické fyzické incidenty. Gartner predpovedá, že pre generálnych riaditeľov bude čoraz ťažšie „obhajovať nevedomosť alebo ustupovať za poistenie“.[1] Okrem toho predpovedajú, že dôjde k rýchlemu nárastu kybernetických a fyzických incidentov v dôsledku nedostatku plánovania a výdavkov v tejto oblasti. Najznepokojujúcejšia je ich analýza, že finančný dopad kybernetických fyzických incidentov so smrteľnými obeťami presiahne do roku 50 2023 miliárd dolárov.[2]

Gartner tiež citoval obavy, že mnohé organizácie si nie sú plne vedomé všetkých kyberneticko-fyzikálnych systémov, ktoré už nasadili. V komentári k potrebe riešiť tieto problémy, viceprezidentka pre výskum spoločnosti Gartner, Katell Thielemann, vyzvala technologických lídrov, aby pomohli generálnym riaditeľom pochopiť hrozbu kyberneticko-fyzikálnych incidentov a potrebu zaviesť „Operational Resilience Management (ORM) nad rámec informačne orientovaného kybernetického systému. bezpečnosť.”[3]

Akcia a analýza
** Vyžaduje sa členstvo **

 

2. Čína predstavuje svoju iniciatívu Global Data Security Initiative.

V utorok ráno bolo oznámené, že Čína má v úmysle spustiť globálnu iniciatívu v oblasti bezpečnosti údajov. Podľa Global Times je táto iniciatíva ponúkaná ako potenciálny celosvetový štandard pre bezpečnosť údajov a tvrdí, že rieši niektoré z často citovaných obáv vlád a korporácií v súvislosti so súkromím a bezpečnosťou údajov v Číne.[4]

Global Times uvádza, že iniciatívu tvorí osem návrhov. Reporting naznačuje, že iniciatíva zahŕňa alebo podporuje nasledujúce body:[5], [6]

  • Štáty [mali] riešiť bezpečnosť údajov komplexným, objektívnym a na dôkazoch založeným spôsobom
  • [Opozícia] voči činnostiam IKT, ktoré využívajú údaje na vykonávanie činností, ktoré podkopávajú národnú bezpečnosť a záujmy iných štátov
  • [Opozícia] proti hromadnému sledovaniu iných štátov
  • Štáty by nemali od domácich spoločností požadovať, aby údaje generované a získané v zámorí uchovávali na ich vlastnom území
  • Štáty by mali rešpektovať suverenitu, jurisdikciu a správu údajov iných štátov a žiadna dvojstranná dohoda o prístupe k údajom by nemala zasahovať do súdnej suverenity a bezpečnosti údajov tretieho štátu.
  • Poskytovatelia IKT produktov a služieb by nemali inštalovať zadné dvierka do svojich produktov a služieb, aby nelegálne získavali užívateľské údaje alebo kontrolovali či manipulovali so systémami a zariadeniami užívateľov.
  • Spoločnosti IKT by sa nemali usilovať o nelegitímne záujmy tým, že by využívali závislosť používateľov od ich produktov, ani by nemali nútiť používateľov, aby upgradovali svoje systémy a zariadenia.

Hovorca čínskeho ministerstva zahraničných vecí Zhao Lijian údajne uviedol, že „cieľom iniciatívy je zabezpečiť bezpečnosť globálnych údajov a dodávateľského reťazca, podporiť rozvoj digitálnej ekonomiky a poskytnúť návrh na formuláciu globálnych pravidiel“.[7] Okrem toho sa hovorí, že čínski vládni predstavitelia urobili niekoľko slabo zahalených výčitiek zahraničnej politike Spojených štátov v týchto záležitostiach. V súčasnosti nie je jasné, aká globálna podpora pre túto iniciatívu existuje.

Akcia a analýza
** Vyžaduje sa členstvo **

 

3. Vládne odhalenie zraniteľnosti získava podporu.

Minulú stredu Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) pod vedením DHS vydala dlho očakávanú záväznú operačnú smernicu (BOD) o politikách zverejňovania zraniteľností (VDP) pre federálnu vládu. BOD 20-01 dáva vládnym agentúram šesť mesiacov na to, aby „ustanovili VDP, ktorí sa vzdajú právnych krokov proti výskumníkom, ktorí konajú v dobrej viere, umožnia účastníkom predkladať správy o zraniteľnosti anonymne a pokrývajú aspoň jeden systém alebo službu prístupnú cez internet“.[8]

Pripomíname, že BOD sú „povinným pokynom pre federálnu, výkonnú zložku, oddelenia a agentúry na účely ochrany federálnych informácií a informačných systémov“, ktoré môže vydať DHS.[9] Tento konkrétny BOD prichádza s uznaním DHS, že „politiky zverejňovania zraniteľností zvyšujú odolnosť vládnych online služieb“ a sú „základným prvkom efektívneho programu riadenia podnikovej zraniteľnosti“.[10]

Pre agentúry, ktoré nemajú veľa skúseností s tvorbou politiky zverejňovania zraniteľností, BOD 20-01 užitočne načrtáva rôzne požiadavky, poskytuje návod na implementáciu a dokonca aj odkazy na šablónu VDP. Zatiaľ čo zakladanie VDP vo federálnej vláde bolo doteraz pomalé, táto povinná smernica s jasnými implementačnými pokynmi by mala pomôcť urýchliť prijatie VDP.

Akcia a analýza
** Vyžaduje sa členstvo **

 

 

Prehľad

Nájdite si minútu a odpovedzte na niekoľko otázok o Hacking Healthcare pre tento týždeň kliknutím na tento odkaz:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

Kongres -

 

Utorok, september 9:

– Senát – Výbor pre zdravie, vzdelávanie, prácu a dôchodky: Vypočutia s cieľom preskúmať vakcíny so zameraním na záchranu životov, zabezpečenie dôvery a ochranu verejného zdravia.

 

Streda, september 10:

– Žiadne relevantné vypočutia

 

štvrtok 11. septembra:

– Žiadne relevantné vypočutia

 

 

 

medzinárodná Vypočutia/Stretnutia -

 

– Žiadne relevantné vypočutia

 

 

EÚ -

Streda, september 10:

– Európsky parlament – ​​Výbor pre životné prostredie, verejné zdravie a bezpečnosť potravín

 

štvrtok 11. septembra:

– Európsky parlament – ​​Výbor pre životné prostredie, verejné zdravie a bezpečnosť potravín

 

 

 

 

Rôzne –

 

Ransomvér zasiahol dve štátne organizácie na Blízkom východe a v severnej Afrike

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

Francúzsko varuje, že Emotet útočí na spoločnosti, administratívu

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-firmy-administratíva/

Mikroskopy poháňané umelou inteligenciou Google by mohli zmeniť diagnostiku rakoviny

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-change-cancer-diagnostics/168220/

 

 

 

Konferencie, webináre a summity -

 

https://h-isac.org/events/

 

Kontaktujte nás: sledujte @HealthISAC a pošlite e-mail na adresu contact@h-isac.org

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • Súvisiace zdroje a správy