Prejsť k hlavnému obsahu

Health-ISAC Hacking Healthcare 9-11-2025

Tento týždeň začína publikácia Hacking Healthcare® od Health-ISAC® skúmaním listu francúzskeho ministerstva zdravotníctva, ktorý vyvoláva obavy, pretože zrejme nariaďuje francúzskym nemocniciam, aby sa pripravili na vojnu. Preskúmame pôvod listu, jeho požiadavky a prečo napriek súčasným geopolitickým okolnostiam nemusí byť až taký provokatívny. V sekcii Akcia a analýza sa potom zameriame na kybernetickú bezpečnosť. Okrem toho poskytujeme stručnú aktualizáciu nášho predchádzajúceho vydania publikácie Hacking Healthcare, keďže máme potvrdenie o odložení finálnej verzie zákona o hlásení kybernetických incidentov v kritickej infraštruktúre (CIRCIA) a náznaky, že by sa mala aktualizovať bezpečnostná smernica HIPAA.

Pripomíname, že toto je verejná verzia blogu Hacking Healthcare. Ak chcete získať ďalšiu hĺbkovú analýzu a názor, staňte sa členom H-ISAC a získajte verziu tohto blogu TLP Amber (dostupnú na portáli pre členov.)

 

Verzia PDF: TLP WHITE Hacking Healthcare 9.11.2025
Rozmer: 542.7 kB formát: PDF

 

Textová verzia:

Vitajte späť v Hacking Healthcare®.

Francúzske nemocnice dostali pokyn pripraviť sa na potenciálny konflikt 

List údajne od francúzskeho ministerstva zdravotníctva vyvolal obavy, pretože zrejme nariaďuje francúzskym verejným nemocniciam, aby sa pripravili na možnosť rozsiahleho vojenského stretnutia a potrebu podporiť potenciálne obrovský počet pacientov súvisiacich s konfliktom v blízkej budúcnosti.[Ii]

List z polovice júla zrejme nariaďuje nemocniciam, aby sa do marca 2026 pripravili na prijatie prílevu viac ako 50,000 XNUMX pacientov na obdobie od niekoľkých dní do niekoľkých mesiacov.[III] Podrobne sa v nej popisuje potenciálna potreba Francúzska pôsobiť ako zázemie pre rozsiahly konflikt a načrtáva sa možnosť výstavby zdravotníckych zariadení v blízkosti dopravných uzlov.[IV]

Francúzski vládni predstavitelia zdôraznili, že tieto opatrenia sú súčasťou všeobecnej prípravy na núdzové situácie a plánovania pre prípad nepredvídaných udalostí. Minister zdravotníctva Vautrin povedal: „Je to súčasť prípravy, ako strategické zásoby, ako epidémie... Je úplne normálne, že krajina predvída krízy a dôsledky toho, čo sa deje. To je súčasťou zodpovednosti ústrednej vlády.“[V] V samotnom liste sa údajne uvádza, že „v súčasnom medzinárodnom kontexte je potrebné predvídať spôsoby poskytovania zdravotnej podpory v situáciách konfliktu vysokej intenzity.“[Vi] Vzhľadom na závažnosť situácie na Ukrajine však pochopiteľne existujú obavy, že tento list predznamenáva blížiacu sa eskaláciu.

Pokiaľ vieme, kybernetická bezpečnosť sa v liste priamo nespomína, ale potenciál konfliktu a priame zapojenie francúzskeho sektora zdravotníctva má určite aspekt kybernetickej bezpečnosti, ktorý preskúmame v časti venovanej akcii a analýze.

CIRCIA oficiálne odložená a aktualizácia bezpečnostných pravidiel HIPAA sa zdá byť aktívna  

Máme menšiu aktualizáciu posledného vydania Hacking Healthcare týkajúcu sa nového vývoja v oblasti zákona o hlásení kybernetických incidentov v kritickej infraštruktúre (CIRCIA) a aktualizácie bezpečnostných pravidiel HIPAA, ktorá sa začala v posledných dňoch Bidenovej administratívy.

V našom predchádzajúcom vydaní sme spomenuli, že stručne zverejnená aktualizácia Jednotnej agendy federálnych regulačných a deregulačných opatrení (Jednotná agenda) naznačovala, že Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) navrhuje približne 6-mesačné odloženie zverejnenia konečného pravidla CIRCIA a že Ministerstvo zdravotníctva a sociálnych služieb (HHS) sa zrejme zameriava aj na aktualizáciu bezpečnostného pravidla HIPAA v polovici roka 2026.[Vii] Ani CISA, ani HHS však v tom čase nič verejne nepotvrdili.

Po oficiálnom zverejnení novej Jednotnej agendy sa zdá, že tieto úniky informácií boli presné, pričom oba cieľové dátumy v príslušných položkách agendy zostali nezmenené.[Viii] Od aktualizácie predstavitelia CISA uviedli, že dodatočný čas sa využije na posúdenie spôsobov zefektívnenia požiadaviek, zmiernenia záťaže pre priemysel a harmonizácie požiadaviek s inými existujúcimi kybernetickými predpismi.[Ix] Zdá sa, že HHS sa zatiaľ verejne nevyjadril k svojim plánom týkajúcim sa bezpečnostného pravidla HIPAA.

Akcia a analýza
**Súčasť členstva Health-ISAC**

 

[i] Autori publikácie Hacking Healthcare si nemohli pozrieť celý list, ktorý prvýkrát publikovali francúzske satirické noviny Le Canard Enchaîné. Hoci iné renomované spravodajské zdroje potvrdili pravdivosť listu a francúzski vládni úradníci toto zverejnenie nevyvrátili, chceli by sme byť o okolnostiach úplne transparentní.

[ii] https://www.tf1info.fr/societe/quand-nos-hopitaux-francais-se-preparent-a-la-guerre-2391113.html

[iii]https://www.the-independent.com/news/world/europe/france-hospitals-war-europe-letter-russia-ukraine-b2819143.html

[iv]https://www.euronews.com/my-europe/2025/09/05/is-president-emmanuel-macron-really-preparing-to-take-france-to-war-in-2026

[v]https://www.the-independent.com/news/world/europe/france-hospitals-war-europe-letter-russia-ukraine-b2819143.html

[vi]https://www.the-independent.com/news/world/europe/france-hospitals-war-europe-letter-russia-ukraine-b2819143.html

[vii] https://health-isac.org/health-isac-hacking-healthcare-8-28-2025/

[viii] https://www.reginfo.gov/public/do/eAgendaMain

[ix] https://cyberscoop.com/cisa-pushes-final-cyber-incident-reporting-rule-to-may-2026/

[x]https://www.euronews.com/my-europe/2025/09/05/is-president-emmanuel-macron-really-preparing-to-take-france-to-war-in-2026

[xi] https://cyberscoop.com/cisa-pushes-final-cyber-incident-reporting-rule-to-may-2026/

[xii] https://www.regulations.gov/docket/HHS-OCR-2024-0020/comments

AMT Pulse – Nová éra kybernetických hrozieb
Podcast: Kybernetická odolnosť pre nás ostatných