Hoppa till huvudinnehåll

H-ISAC Hacking Healthcare 9-9-2020

TLP White: Denna vecka ber Hacking Healthcare läsarna att börja tänka på cyberfysiska incidenter och hur förberedd din organisation är för att hantera konsekvenserna. Därefter bryter vi ner det senaste tillkännagivandet att Kina avslöjar sitt eget globala datasäkerhetsinitiativ och vad som kan förväntas som ett resultat. Slutligen undersöker vi kort hur Department of Homeland Securitys (DHS) nya bindande operativa direktiv, som kräver att statliga myndigheter antar en policy för sårbarhet, påverkar hälso- och sjukvårdssektorn.

Som en påminnelse är detta den offentliga versionen av Hacking Healthcare-bloggen. För ytterligare djupgående analys och åsikter, bli medlem i H-ISAC och få TLP Amber-versionen av denna blogg (tillgänglig i medlemsportalen.)

 

Vänligen ge oss en minut av din tid att svara på några frågor om veckans Hacking Healthcare-ämnen. Vi kommer att publicera resultaten i ett kommande nummer. Enkätlänken följer artiklarna nedan.

 

 

Välkommen tillbaka till Hacking Healthcare.

 

1. Dags att börja tänka på cyberfysiskt ansvar.

Eftersom skillnaden mellan cybervärlden och den fysiska världen allt mer suddas ut, kommer organisationer sannolikt att möta nya utmaningar relaterade till nya ansvarsområden, regler och regler för cyberfysiska incidenter. Enligt Gartner kommer dessa lag- och regleringsförändringar sannolikt att ske snabbt på grund av de potentiella konsekvensernas allvarliga karaktär.

Bland de mer ögonbrynshöjande förutsägelserna som Gartner gör är påståendet att 75 % av vd:arna kan hållas personligen ansvariga för cyberfysiska incidenter till 2024. Gartner förutspår att det kommer att bli allt svårare för vd:ar att "präva okunnighet eller dra sig tillbaka bakom försäkringar."[1] Dessutom förutspår de att det kommer att ske en snabb ökning av cyberfysiska incidenter på grund av bristande planering och utgifter inom detta område. Mest oroande är deras analys att de ekonomiska konsekvenserna av cyberfysiska incidenter som leder till dödliga offer kommer att passera 50 miljarder dollar till 2023.[2]

Gartner nämnde också oron över att många organisationer inte är fullt medvetna om alla cyberfysiska system som de redan har implementerat. I sin kommentar om behovet av att ta itu med dessa problem, uppmanade Gartners forskningsvicepresident, Katell Thielemann, teknikledare att hjälpa VD:ar att förstå hotet från cyberfysiska incidenter och behovet av att etablera "Operational Resilience Management (ORM) bortom informationscentrerad cyber". säkerhet."[3]

Handling & Analys
** Medlemskap krävs **

 

2. Kina presenterar sitt globala datasäkerhetsinitiativ.

På tisdagsmorgonen meddelades att Kina har för avsikt att lansera ett globalt datasäkerhetsinitiativ. Enligt Global Times sägs detta initiativ vara en potentiell världsomspännande standard för datasäkerhet och påstås ta itu med några av de ofta citerade farhågor som regeringar och företag har haft när det gäller datasekretess och säkerhet i Kina.[4]

Global Times rapporterar att initiativet består av åtta förslag. Rapportering tyder på att initiativ inkluderar eller stödjer följande punkter:[5], [6]

  • Stater [bör] hantera datasäkerhet på ett heltäckande, objektivt och evidensbaserat sätt
  • [Opposition] mot IKT-aktiviteter som använder data för att utföra aktiviteter som undergräver andra staters nationella säkerhet och intressen
  • [Opposition] mot massövervakning mot andra stater
  • Stater bör inte begära att inhemska företag lagrar data som genererats och erhållits utomlands på deras eget territorium
  • Stater bör respektera suveräniteten, jurisdiktionen och styrningen av data i andra stater, och alla bilaterala dataåtkomstavtal bör inte inkräkta på en tredje stats rättsliga suveränitet och datasäkerhet
  • IKT-produkter och tjänsteleverantörer bör inte installera bakdörrar i sina produkter och tjänster för att olagligt skaffa användardata eller kontrollera eller manipulera användarnas system och enheter
  • IKT-företag bör inte söka olagliga intressen genom att dra fördel av användarberoendet av sina produkter, och inte heller tvinga användare att uppgradera sina system och enheter

Zhao Lijian, talesperson för det kinesiska utrikesministeriet, påstås ha sagt att "initiativet syftar till att skydda global data- och leveranskedjas säkerhet, främja utvecklingen av den digitala ekonomin och tillhandahålla en plan för utformningen av globala regler."[7] Dessutom sägs kinesiska regeringstjänstemän ha gjort flera tunt beslöjade tillrättavisningar till USA:s utrikespolitik i dessa frågor. Det är för närvarande oklart hur mycket globalt stöd som finns för detta initiativ.

Handling & Analys
** Medlemskap krävs **

 

3. Offentliggörande av offentlig sårbarhet får ett uppsving.

Förra onsdagen släppte The Cybersecurity and Infrastructure Security Agency (CISA) under DHS ett efterlängtat bindande operativt direktiv (BOD) om sårbarhetsavslöjande (VDP) för den federala regeringen. BOD 20-01 ger statliga myndigheter sex månader på sig att "etablera VDP:er som avstår från rättsliga åtgärder mot forskare som agerar i god tro, tillåter deltagare att lämna in sårbarhetsrapporter anonymt och täcker minst ett internettillgängligt system eller en tjänst."[8]

Som en påminnelse är BODs "en obligatorisk anvisning till federala, verkställande grenar, avdelningar och myndigheter i syfte att skydda federala informations- och informationssystem" som kan utfärdas av DHS.[9] Denna speciella BOD kommer med DHS:s erkännande att "policyer för avslöjande av sårbarhet förbättrar motståndskraften hos regeringens onlinetjänster" och är "en väsentlig del av ett effektivt program för företagssårbarhetshantering."[10]

För byråer som inte har mycket erfarenhet av att utforma en policy för avslöjande av sårbarheter, beskriver BOD 20-01 på ett användbart sätt de olika kraven, ger vägledning om implementering och till och med länkar till en VDP-mall. Även om VDP-etableringen i den federala regeringen hittills har gått långsamt, bör detta obligatoriska direktiv med tydliga implementeringsinstruktioner hjälpa till att påskynda VDP-antagandet.

Handling & Analys
** Medlemskap krävs **

 

 

Enkät undersökning

Vänligen ägna en minut åt att svara på några frågor om veckans Hacking Healthcare genom att besöka den här länken:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

Kongressen -

 

Tisdag, september 9th:

– Senaten – Utskottet för hälsa, utbildning, arbete och pensioner: Utfrågningar för att undersöka vacciner, med fokus på att rädda liv, säkerställa förtroende och skydda folkhälsan.

 

Onsdag, september 10th:

– Inga relevanta utfrågningar

 

Torsdag 11 september:

– Inga relevanta utfrågningar

 

 

 

Internationell Utfrågningar/möten -

 

– Inga relevanta utfrågningar

 

 

EU -

Onsdag, september 10th:

– Europaparlamentet – Utskottet för miljö, folkhälsa och livsmedelssäkerhet

 

Torsdag 11 september:

– Europaparlamentet – Utskottet för miljö, folkhälsa och livsmedelssäkerhet

 

 

 

 

Diverse –

 

Ransomware träffar två statliga organisationer i Mellanöstern och Nordafrika

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

Frankrike varnar för att Emotet attackerar företag, administration

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-företag-administration/

Mikroskop som drivs av Googles AI kan förändra cancerdiagnostik

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-förändring-cancer-diagnostik/168220/

 

 

 

Konferenser, webbseminarier och toppmöten -

 

https://h-isac.org/events/

 

Kontakta oss: följ @HealthISAC och maila till contact@h-isac.org

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • Relaterade resurser och nyheter