Hoppa till huvudinnehåll

H-ISAC Hacking Healthcare 2-19-2020

TLP White: I den här utgåvan av Hacking Healthcare börjar vi med ett meddelande från FDA som letar efter nomineringar till Patient Engagement Advisory Committee. Därefter undersöker vi resultaten av en KPMG-rapport om hur artificiell intelligens (“AI”) ses av olika industrier. Vi informerar dig sedan om en ransomware-process där kärandena verkar begära betalning för påstådd skada snarare än faktisk skada. Slutligen utforskar vi hur bedragare och illvilliga aktörer använder sig av coronaviruset för att infektera sina offer.

Som en påminnelse är detta den offentliga versionen av Hacking Healthcare-bloggen. För ytterligare djupgående analys och åsikter, bli medlem i H-ISAC och få TLP Amber-versionen av denna blogg (tillgänglig i medlemsportalen.)

Välkommen tillbaka till Hacking Healthcare.

 

1. Meddelande: FDA, HHS Begäran om nomineringar av individer och branschorganisationer för Patient Engagement Advisory Committee [1]

Kommittén ger råd i frågor som rör medicintekniska produkter, apparatreglering och patientanvändning. Frågor inkluderar myndighetsvägledning och policyer, design av kliniska prövningar eller register, design av patientpreferensstudier, bestämning av nytta och risk, märkning av enheter och mer. Områden med nödvändig expertis inkluderar cybersäkerhet, kommunikation av nytta och riskinformation till patienter; Märkning av medicinsk utrustning och digital hälsoteknik/artificiell intelligens.

 

Ytterligare information och inlämningsinstruktioner finns i det federala registret eller på FDA:s webbplats.

 

2. Hur sjukvårdssektorn ser på AI:

Eftersom artificiell intelligens fortsätter att snabbt integreras i komponenterna och processerna i varje bransch går ibland åsikterna isär om dess effekter. En nyligen genomförd studie av KPMG undersökte hur olika branscher ser på AI, med fokus på övergripande nytta, medarbetarnas beredskap och adoptionsinsatser. Sjukvårdsindustrin stack ut i sin tro att AI kommer att ha transformativa effekter på sektorn.

KPMG fann att 90 % av hälsovårdsinsiderna tror att AI kommer att förbättra patienternas upplevelser.[2] De trodde att diagnostik, hantering av elektroniska journaler och robotuppgifter var de tre områden som mest sannolikt skulle gynnas.[3] Men samma grupp är nästan jämnt fördelad på huruvida AI var mer hype än verkligheten, med 52% som lutar mot hype. Denna uppdelning var mer gynnsam för AI än inom detaljhandeln och transportsektorerna, där över 64 % av insiders var mer skeptiska. Till viss del handlar oro över "hype" om förvirring över vad AI är, eftersom termen kastas runt i marknadsföring ganska löst av ett brett spektrum av företag. Icke desto mindre representerar sammanflödet av data med maskininlärning en hel del möjligheter. Som sådan är det värt att notera att ytterligare fynd visar att 69 % av hälsovårdsinsiderna önskar att deras organisationer var mer aggressiva efter AI-adoption.[4]

 

3.  A Rättegång mot sjukhus för påstådd skada:

Tidigare förra veckan i S. District Court för distriktet Puerto Rico, ingavs en grupptalan mot två Puerto Rico sjukhus med påståenden om att kärandena "leddes av betydande skador och skador" som ett resultat av ett "säkerhetsbrott [som] äventyrade fullständiga namn, adresser, födelsedatum, kön, ekonomisk information och personnummer."[5] Tvisten i den här dräkten är dock att det ännu inte är klart om någon patientdata någonsin har stulits och avslöjats.[6]

Stämningen härrör från en ransomware-attack som ägde rum i februari 2019. Rapporter säger att det inte fanns några bevis som tydde på att någon patientdata exfiltrerades eller exponerades och sjukhusen har upprepat att så fortfarande är fallet. Detta klagomål hävdar inte att kärandena har bevis för att deras data har avslöjats, utan fokuserar istället på de omedelbara kostnaderna för kreditövervakning och relaterade tjänster, såväl som potentialen för framtida skada som kan vara knuten till all data som stulits i attacken. . Dessutom hävdar kärandena att sjukhusen inte vidtog lämpliga åtgärder för att skydda data, till och med gå så långt som att hävda att "de tillät hackare att få tag på dem."[7]

 

4. Coronavirusets cyberstam.

Som vi diskuterade i vår förra upplaga fortsätter den ekonomiska effekten av coronaviruset att växa. Den sammanlänkade karaktären hos modern handel och handel gör att oavsett geografisk närhet kan företag av alla storlekar och branscher förvänta sig vissa negativa effekter. I brådskan med att samla information för att bättre kartlägga sårbarheter i försörjningskedjan och fastställa kortsiktiga begränsningar, har illvilliga aktörer upptäckt en möjlighet.

Det verkar som om bedragare som arbetar från Östeuropa och Ryssland har påbörjat kampanjer som riktar sig till sektorer som transport och tillverkning med e-postmeddelanden som lovar djupgående analyser eller viktiga anteckningar om hur coronaviruset kan påverka deras sektor.[8],[9]E-postmeddelandena innehåller en bilaga som de hävdar ger ytterligare viktig information, men som faktiskt innehåller skadlig programvara som är utformad för att stjäla data.[10] Det är intressant att notera att denna skadliga programvara utnyttjar en sårbarhet som är över två år gammal, vilket återigen hjälper till att driva in vikten av snabb patchning.

 

Kongressen -

 

Tisdag, februari 18th:

– Inga relevanta utfrågningar

 

Onsdag, februari 19th:

– Inga relevanta utfrågningar

 

Torsdag, februari 20th:

– Inga relevanta utfrågningar

 

Internationell Utfrågningar/möten -

 

EU -

 

Tisdag, februari 18th

Europaparlamentet – Utskottet för miljö, folkhälsa och livsmedelssäkerhet

 

 

Konferenser, webbseminarier och toppmöten -

–H-ISAC-medlemsmöte på RSA-konferensen – San Francisco, CA (2-25-2020)

https://h-isac.org/hisacevents/h-isac-member-meet-up-at-rsa-conference-2/

–H-ISAC Analysts Security Workshop – Titusville, FL (3/4/2020)

https://h-isac.org/hisacevents/h-isac-analysts-security-workshop-titusville-fl/

–H-ISAC Member Meet-Up vid HIMSS Global Conference – Plats TBA (3/11/2020)

https://h-isac.org/hisacevents/h-isac-member-meet-up-at-himss/

— Smart IoT – London – ExCeL London, Storbritannien (3/11/2020)

https://www.ieee-smartiot.org/

–H-ISAC Security Workshop – Chennai, Indien (3/27/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-india/

–H-ISAC månadsrapport om hot mot medlemmar – webbseminarium (3-31-2020)

H-ISAC månatliga hotbriefing för medlemmar – 31 mars 2020

–2020 APAC Summit – Singapore (3/31/2020-4/2/2020)

/toppmöten/

–H-ISAC Security Workshop – Cambridge, MA (4/7/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-cambridge-ma/

–H-ISAC Security Workshop – Atlanta, GA (4/13/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-atlanta/

– Healthcare Cybersecurity Forum – Mid-Atlantic – Philadelphia, PA (4/20/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426497

–H-ISAC 2020 Spring Summit – Singapore (3/31/2020–4/2/2020)

/toppmöten/

–H-ISAC Security Workshop – Frederick, MD (6/9/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-frederick-md/

–AAMI Exchange – New Orleans, LA (6/12/2020-6/15/2020)

https://h-isac.org/hisacevents/aami-exchange/

– Healthcare Cybersecurity Forum – Rocky Mountain – Denver, CO (7/20/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426499

– Healthcare Cybersecurity Forum – Southeast – Nashville, TN (9/9/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426517

– Healthcare Cybersecurity Forum – Northeast – Boston, MA (9/22/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/427126

–Toppmöte om säkerhet och tredjepartsrisk – National Harbor, MD (9/28/2020–9/30/2020)

GRF Summit on Security & Third Party Risk Digital Series

– Healthcare Cybersecurity Forum – Texas – Houston, TX (10/8/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840

– Healthcare Cybersecurity Forum – Pacific Northwest – Seattle, WA (10/28/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428886

– Healthcare Cybersecurity Forum – Kalifornien – Los Angeles, CA (11/12/2020)

 

 

Diverse –

 

–FDA, MITER erbjuder tips för cybersäkerhet för medicinska enheter

https://www.healthcareitnews.com/news/fda-mitre-offer-tips-med-device-cybersecurity

 

–PKI misskötsel gör sjukvårdsorganisationer sårbara

https://www.healthcareitnews.com/news/pki-mismanagement-leaves-healthcare-organizations-vulnerable

 

–USA anklagar 4 kinesiska militärofficerare i 2017 Equifax Hack

https://krebsonsecurity.com/2020/02/u-s-charges-4-chinese-military-officers-in-2017-equifax-hack/

 

– Ett av de mest destruktiva botnäten kan nu spridas till närliggande Wi-Fi-nätverk

https://arstechnica.com/information-technology/2020/02/one-of-the-most-destructive-botnets-can-now-spread-to-nearby-wi-fi-networks/

 

 

Kontakta oss: följ @HealthISAC och maila till contact@h-isac.org

[1] https://www.federalregister.gov/documents/2020/02/13/2020-02872/request-for-nominations-of-individuals-and-industry-organizations-for-the-patient-engagement

[2] https://advisory.kpmg.us/content/dam/advisory/en/pdfs/2020/living-in-ai-world.pdf

[3] https://advisory.kpmg.us/content/dam/advisory/en/pdfs/2020/living-in-ai-world.pdf

[4] https://advisory.kpmg.us/content/dam/advisory/en/pdfs/2020/living-in-ai-world.pdf

[5] https://www.classaction.org/media/quintero-et-al-v-metro-santurce-inc-et-al.pdf

[6] https://www.cyberscoop.com/hospital-pavia-class-action-lawsuit-ransomware/

[7] https://www.classaction.org/media/quintero-et-al-v-metro-santurce-inc-et-al.pdf

[8] https://www.cyberscoop.com/coronavirus-phishing-emails-proofpoint-research/

[9] https://www.proofpoint.com/us/corporate-blog/post/coronavirus-themed-attacks-target-global-shipping-concerns

[10] https://www.cyberscoop.com/coronavirus-phishing-emails-proofpoint-research/

H-ISAC Hacking Healthcare 2-25-2020
Health-ISAC Hacking Healthcare 2-11-2020