Health-ISAC Hacking Healthcare 5-9-2024

Tento týždeň sa Hacking Healthcare™ zameriava na nový vývoj v oblasti rizík, bezpečnosti a zabezpečenia AI. Predovšetkým rozoberáme zriadenie nového ministerstva pre vnútornú bezpečnosť (DHS) Rada pre bezpečnosť a ochranu umelej inteligencie a potom si prečítajte nové usmernenia DHS Bezpečnostné a bezpečnostné pokyny pre vlastníkov a prevádzkovateľov kritickej infraštruktúry.

Pripomíname, že toto je verejná verzia blogu Hacking Healthcare. Ak chcete získať ďalšiu hĺbkovú analýzu a názor, staňte sa členom H-ISAC a získajte verziu tohto blogu TLP Amber (dostupnú na portáli pre členov.)

Vitajte späť v Hacking Healthcare™.

Health-ISAC Americas Hobby cvičenie 2024

Health-ISAC opäť zintenzívňuje prípravy na naše každoročné cvičenie Americas Hobby! Pre nových členov Health-ISAC je Hobby Exercise každoročné podujatie v oblasti zdravotníctva a verejného zdravia (HPH), ktorého cieľom je zapojiť zdravotnícky sektor a strategických partnerov do významných problémov v oblasti bezpečnosti a odolnosti. Hlavným cieľom je informovať a poskytovať príležitosti na organizačné neustále zlepšovanie a zároveň zvyšovať odolnosť sektora zdravotníctva.

Nasledujúci odkaz na minuloročnú správu Hobby Exercise After Action Report poskytuje dobrý prehľad o druhoch interakcie a hodnoty, ktoré môžete očakávať od tohtoročného podujatia:

https://h-isac.org/hobby-exercise-2023-after-action-report/

Tohtoročné cvičenie sa bude konať 6. júna v kancelárii Venable LLPs vo Washingtone, DC Členovia sa vyzývajú, aby svoj záujem o účasť zaregistrovali na nasledujúcom odkaze:

https://portal.h-isac.org/s/community-event?id=a1Y7V00000ZmFVwUAN

Memorandum o národnej bezpečnosti 22 reviduje prístup USA ku kritickej infraštruktúre

30. apríla Bidenova administratíva zverejnila Memorandum o národnej bezpečnosti 22 (NSM-22): o bezpečnosti a odolnosti kritickej infraštruktúry.^[I] Toto memorandum slúži ako posledná revízia zo série výkonných memoránd, ktoré sa snažili definovať, čo tvorí kritickú infraštruktúru USA, a načrtnúť, ako má vláda zlepšiť bezpečnosť a odolnosť tejto kritickej infraštruktúry. Ako sa dalo očakávať, NSM-22 bude mať priamy a nepriamy vplyv na sektor zdravotníctva a verejného zdravia (HPH).

Čo je NSM-22 a čo nahrádza? 

Od roku 2013 sa federálna vláda Spojených štátov amerických pozerá na smernicu o politike prezidenta 21 (PPD-21) ako na stály návod na to, čo predstavovalo kritickú infraštruktúru v Spojených štátoch, ako by sa vláda Spojených štátov mala snažiť zabezpečiť túto infraštruktúru, ako aj načrtnúť predpokladanú úlohu súkromného sektora. Hoci toto výkonné memorandum nemá za sebou silu zákona, až do minulého týždňa nebolo nikdy zrušené ani nahradené.

Táto aktualizácia bola uvedená do pohybu schválením HR6395, zákona Williama M. (Mac) Thornberry o národnej obrane autorizácie na fiškálny rok 2021, ktorý si vyžadoval, aby tajomník ministerstva vnútra po konzultácii s vedúcimi agentúr pre riadenie sektorových rizík (SRMAs), „preskúmať súčasný rámec pre zabezpečenie kritickej infraštruktúry...“ a predložiť správu súvisiacu s možnými revíziami.^[Ii] Obsah tejto správy podpísal prezident Biden a pracuje na tom, čo sa stane NSM-22.

Obsah NSM-22

NSM-35 má približne 22 strán a poskytuje nasledujúce informácie smerom k „pokroku národnej jednoty [Spojených štátov] v úsilí o posilnenie a udržiavanie bezpečnej, fungujúcej a odolnej kritickej infraštruktúry“:^[III]

• Osem zásad politiky;
• Osem cieľov;
• Objasnenie úloh a zodpovedností federálnych oddelení a agentúr;
• Podpora riadenia rizík a prístupu k bezpečnosti a odolnosti voči všetkým hrozbám/nebezpečenstvám;
• Nariadenie minimálnych požiadaviek na bezpečnosť a odolnosť pre sektory kritickej infraštruktúry;
• Smerovanie národného plánu riadenia rizík infraštruktúry;
• Opakovanie systémovo dôležitých entít (SIE);
• Posilnenie zdieľania spravodajských informácií a výmeny informácií;
• zopakovanie definície kritickej infraštruktúry, určených sektorov kritickej infraštruktúry a zodpovedných SRMA; a
• Implementačný plán pre federálne subjekty, ktorý majú vykonať to, čo bolo načrtnuté vyššie.

Akcia a analýza
**Súčasť členstva Health-ISAC**

Nadchádzajúce medzinárodné vypočutia/stretnutia

• EU
  1. Momentálne nie sú žiadne relevantné stretnutia
• US
  1. Momentálne nie sú žiadne relevantné stretnutia
• Zvyšok sveta
  1. Momentálne nie sú žiadne relevantné stretnutia

^[I]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Ii] https://www.congress.gov/bill/116th-congress/house-bill/6395

^[III]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[IV] Smernica o prezidentskom rozhodnutí/NSC-63

^[V] Smernica o prezidentskej politike 21

^[Vi] „Systémy a aktíva, či už fyzické alebo virtuálne, také dôležité pre Spojené štáty, že neschopnosť alebo zničenie takýchto systémov a aktív by malo oslabujúci vplyv na národnú bezpečnosť, národnú ekonomickú bezpečnosť, verejné zdravie alebo bezpečnosť štátu alebo akúkoľvek kombináciu týchto záleží."

^[Vii]https://www.washingtonpost.com/politics/2023/10/16/biden-administration-goes-back-drawing-board-water-cybersecurity/

^[Viii]https://www.cisa.gov/cross-sector-cybersecurity-performance-goals#:~:text=A%20common%20set%20of%20protections,known%20risks%20and%20adversary%20techniques

^[Ix] https://hphcyber.hhs.gov/performance-goals.html

^[X]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xi]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xii] https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

• Súvisiace zdroje a správy
• Health-ISAC Hacking Healthcare 4-14-2026
• Mythos a podobné nástroje umelej inteligencie zvyšujú riziko kybernetického zdravotníctva
• Nemocnica v Massachusetts odmieta odovzdávať sanitky po kybernetickom útoku
• Podcast: Phil Englert o kybernetickej bezpečnosti zdravotníckych pomôcok
• Hrozba zvnútra opäť narastá
• „Premeškaná príležitosť“: Neúčasť vlády USA na konferencii RSAC zanecháva výraznú prázdnotu
• Health-ISAC Hacking Healthcare 3-26-2026
• Health-ISAC Hacking Healthcare 3-19-2026
• Mesačný spravodaj Health-ISAC – apríl 2026
• Správa po akcii: Séria cvičení odolnosti Health-ISAC 2025