Preskoči na glavno vsebino

H-ISAC Hacking Healthcare 9-9-2020

TLP White: Ta teden Hacking Healthcare prosi bralce, naj začnejo razmišljati o kibernetskih fizičnih incidentih in o tem, kako pripravljena je vaša organizacija na soočanje s posledicami. Nato razčlenimo nedavno objavo, da Kitajska razkriva lastno globalno pobudo za varnost podatkov in kaj se lahko pričakuje kot rezultat. Nazadnje na kratko preučimo, kako nova zavezujoča operativna direktiva ministrstva za domovinsko varnost (DHS), ki od vladnih agencij zahteva, da sprejmejo politiko razkrivanja ranljivosti, vpliva na zdravstveni sektor.

Naj vas spomnimo, da je to javna različica spletnega dnevnika Hacking Healthcare. Za dodatno poglobljeno analizo in mnenje postanite član H-ISAC in prejmite TLP Amber različico tega bloga (na voljo na portalu za člane).

 

Prosimo, da nam vzamete minuto časa, da odgovorimo na nekaj vprašanj o temah Hecking Healthcare tega tedna. Rezultate bomo objavili v prihodnji številki. Povezava do ankete sledi spodnjim člankom.

 

 

Dobrodošli nazaj na Vdiranje v zdravstvo.

 

1. Čas je, da začnete razmišljati o kibernetski fizični odgovornosti.

Ker se razlika med kibernetskim in fizičnim svetom vedno bolj briše, se bodo organizacije verjetno soočile z novimi izzivi, povezanimi z novimi obveznostmi, pravili in predpisi za kibernetske fizične incidente. Po mnenju Gartnerja se bodo te pravne in regulativne spremembe verjetno zgodile hitro zaradi resne narave morebitnih posledic.

Med bolj osupljivimi napovedmi Gartnerja je trditev, da bi lahko 75 % izvršnih direktorjev do leta 2024 osebno odgovarjali za kibernetske incidente. Gartner napoveduje, da se bodo izvršni direktorji vse težje »sklicevali na nevednost ali se umaknili za zavarovalne police«.[1] Poleg tega napovedujejo, da bo prišlo do hitrega porasta kibernetskih fizičnih incidentov zaradi pomanjkanja načrtovanja in izdatkov na tem področju. Najbolj zaskrbljujoča je njihova analiza, da bo finančni učinek kiberfizičnih incidentov, ki povzročijo smrtne žrtve, do leta 50 presegel 2023 milijard dolarjev.[2]

Gartner je navedel tudi zaskrbljenost, da se številne organizacije ne zavedajo popolnoma vseh kiberfizičnih sistemov, ki jih že uporabljajo. Katell Thielemann, podpredsednica Gartnerja za raziskave, je komentirala potrebo po reševanju teh vprašanj in pozvala tehnološke voditelje, naj izvršnim direktorjem pomagajo razumeti grožnjo kibernetskih fizičnih incidentov in potrebo po vzpostavitvi »Operacijskega upravljanja odpornosti (ORM) onkraj informacijsko osredotočenega kibernetičnega sistema. varnost."[3]

Akcija in analiza
** Zahtevano članstvo **

 

2. Kitajska razkrije svojo globalno pobudo za varnost podatkov.

V torek zjutraj je bilo objavljeno, da namerava Kitajska sprožiti globalno pobudo za varnost podatkov. Po poročanju Global Timesa se ta pobuda oglašuje kot potencialni svetovni standard za varnost podatkov in naj bi obravnavala nekatere pogosto omenjene pomisleke, ki so jih imele vlade in korporacije v zvezi z zasebnostjo in varnostjo podatkov na Kitajskem.[4]

Global Times poroča, da pobudo sestavlja osem predlogov. Poročanje kaže, da pobuda vključuje ali podpira naslednje točke:[5], [6]

  • Države [bi morale] skrbeti za varnost podatkov na celovit, objektiven in na dokazih temelječ način
  • [Nasprotovanje] dejavnostim IKT, ki uporabljajo podatke za izvajanje dejavnosti, ki spodkopavajo nacionalno varnost in interese drugih držav
  • [Nasprotovanje] množičnemu nadzoru proti drugim državam
  • Države ne bi smele od domačih podjetij zahtevati, da podatke, ustvarjene in pridobljene v tujini, hranijo na svojem ozemlju
  • Države bi morale spoštovati suverenost, jurisdikcijo in upravljanje podatkov drugih držav, nobena dvostranska pogodba o dostopu do podatkov pa ne bi smela posegati v sodno suverenost in varnost podatkov tretje države.
  • Ponudniki izdelkov in storitev IKT v svoje izdelke in storitve ne bi smeli namestiti stranskih vrat za nezakonito pridobivanje uporabniških podatkov ali nadzorovati ali manipulirati sistemov in naprav uporabnikov.
  • Podjetja IKT ne bi smela iskati nelegitimnih interesov z izkoriščanjem odvisnosti uporabnikov od njihovih izdelkov, niti siliti uporabnikov v nadgradnjo svojih sistemov in naprav.

Zhao Lijian, tiskovni predstavnik kitajskega zunanjega ministrstva, naj bi izjavil, da je "namen pobude zaščititi globalne podatke in varnost dobavne verige, spodbujati razvoj digitalnega gospodarstva in zagotoviti načrt za oblikovanje globalnih pravil."[7] Poleg tega naj bi kitajski vladni uradniki podali več tanko prikritih očitkov zunanji politiki Združenih držav glede teh zadev. Trenutno ni jasno, koliko svetovne podpore obstaja za to pobudo.

Akcija in analiza
** Zahtevano članstvo **

 

3. Vladno razkritje ranljivosti dobi spodbudo.

Prejšnjo sredo je Agencija za kibernetsko varnost in varnost infrastrukture (CISA) pod DHS izdala dolgo pričakovano zavezujočo operativno direktivo (BOD) o politikah razkrivanja ranljivosti (VDP) za zvezno vlado. BOD 20-01 daje vladnim agencijam šest mesecev časa, da "vzpostavijo VDP, ki se odrečejo sodnim postopkom proti raziskovalcem, ki delujejo v dobri veri, udeležencem omogočajo anonimno oddajo poročil o ranljivosti in pokrivajo vsaj en internetno dostopen sistem ali storitev."[8]

Naj spomnimo, BOD so "obvezna navodila zveznim organom, izvršnim organom, oddelkom in agencijam za namene varovanja zveznih informacij in informacijskih sistemov", ki jih lahko izda DHS.[9] Ta poseben BOD prihaja s priznanjem DHS, da "politike razkrivanja ranljivosti povečujejo odpornost vladnih spletnih storitev" in so "bistven element učinkovitega programa upravljanja ranljivosti podjetja."[10]

Za agencije, ki nimajo veliko izkušenj pri oblikovanju pravilnika o razkrivanju ranljivosti, BOD 20-01 koristno opisuje različne zahteve, nudi navodila za izvajanje in celo povezave do predloge VDP. Medtem ko je bila vzpostavitev VDP v zvezni vladi doslej počasna, bi morala ta obvezna direktiva z jasnimi navodili za izvajanje pomagati pospešiti sprejetje VDP.

Akcija in analiza
** Zahtevano članstvo **

 

 

Anketa

Vzemite si minuto in odgovorite na nekaj vprašanj o tem tednu Hacking Healthcare, tako da obiščete to povezavo:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

Kongres -

 

Torek, september 9th:

– Senat – Odbor za zdravje, izobraževanje, delo in pokojnine: zaslišanja za preučitev cepiv, s poudarkom na reševanju življenj, zagotavljanju zaupanja in zaščiti javnega zdravja.

 

Sreda, september 10th:

– Ni ustreznih zaslišanj

 

Četrtek, 11. september:

– Ni ustreznih zaslišanj

 

 

 

Facebook Global Zaslišanja/sestanki -

 

– Ni ustreznih zaslišanj

 

 

EU -

Sreda, september 10th:

– Evropski parlament – ​​Odbor za okolje, javno zdravje in varnost hrane

 

Četrtek, 11. september:

– Evropski parlament – ​​Odbor za okolje, javno zdravje in varnost hrane

 

 

 

 

Raznolikost –

 

Ransomware prizadene dve državni organizaciji na Bližnjem vzhodu in v Severni Afriki

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

Francija svari pred Emotetom, ki napada podjetja, upravo

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-podjetja-uprava/

Mikroskopi, ki jih poganja Googlova umetna inteligenca, bi lahko spremenili diagnostiko raka

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-sprememba-diagnostika-raka/168220/

 

 

 

Konference, spletni seminarji in srečanja na vrhu -

 

https://h-isac.org/events/

 

Pišite nam: sledite @HealthISAC in pišite na contact@h-isac.org

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • Sorodni viri in novice