Health-ISAC Hacking Healthcare 5-9-2024

Den här veckan fokuserar Hacking Healthcare™ på ny utveckling kring AI-risk, säkerhet och säkerhet. I synnerhet delar vi upp etableringen av det nya Department of Homeland Security (DHS) Säkerhets- och säkerhetsnämnden för artificiell intelligens och granska sedan nya DHS-vägledning Riktlinjer för säkerhet och säkerhet för ägare och operatörer av kritisk infrastruktur.

Som en påminnelse är detta den offentliga versionen av Hacking Healthcare-bloggen. För ytterligare djupgående analys och åsikter, bli medlem i H-ISAC och få TLP Amber-versionen av denna blogg (tillgänglig i medlemsportalen.)

Välkommen tillbaka till Hacking Healthcare™.

Health-ISAC Americas Hobby Exercise 2024

Health-ISAC ökar återigen förberedelserna för vår årliga hobbyövning i Amerika! För nya Health-ISAC-medlemmar är Hobby Exercise ett årligt evenemang för hälsovård och folkhälsa (HPH) utformat för att engagera hälso- och sjukvårdssektorn och strategiska partners i betydande utmaningar med säkerhet och motståndskraft. Det övergripande målet är att informera och ge möjligheter till organisatoriska ständiga förbättringar samtidigt som vårdsektorns motståndskraft ökar.

Följande länk till förra årets Hobby Exercise After Action-rapport ger en bra översikt över vilken typ av interaktion och värde du kan förvänta dig av årets evenemang:

https://h-isac.org/hobby-exercise-2023-after-action-report/

Årets övning kommer att hållas den 6 juni på Venable LLPs kontor i Washington, DC. Medlemmar uppmuntras att anmäla sitt intresse för att delta på följande länk:

https://portal.h-isac.org/s/community-event?id=a1Y7V00000ZmFVwUAN

Nationell säkerhetsmemorandum 22 reviderar USA:s inställning till kritisk infrastruktur

Den 30 april publicerade Biden-administrationen Nationellt säkerhetsmemorandum 22 (NSM-22): om säkerhet och motståndskraft för kritisk infrastruktur.^[I] Detta memorandum fungerar som den senaste revideringen i en serie verkställande memorandum som har försökt definiera vad som utgör amerikansk kritisk infrastruktur och beskriva hur regeringen är tänkt att förbättra säkerheten och motståndskraften hos den kritiska infrastrukturen. Som du kan förvänta dig kommer NSM-22 att ha direkta och indirekta effekter på hälso- och sjukvården och folkhälsoområdet (HPH).

Vad är NSM-22 och vad ersätter det? 

Sedan 2013 har USA:s federala regering tittat på Presidential Policy Directive 21 (PPD-21) som den stående vägledningen för vad som utgjorde kritisk infrastruktur i USA, hur USA:s regering bör se ut för att säkra den infrastrukturen, samt skissera den privata sektorns tänkta roll. Även om den verkställande promemorian inte har lagens kraft bakom sig, upphävdes den eller ersattes den aldrig förrän förra veckan.

Den här uppdateringen sattes igång med antagandet av HR6395, William M. (Mac) Thornberry National Defense Authorization Act för räkenskapsåret 2021, som krävde att DHS:s sekreterare, i samråd med cheferna för Sector Risk Management Agencies (SRMAs), att "granska det nuvarande ramverket för att säkra kritisk infrastruktur..." och skicka in en rapport relaterad till möjliga revisioner.^[II] Innehållet i den rapporten undertecknades av president Biden och arbetet med vad som skulle bli NSM-22.

NSM-22 Innehåll

Ungefär 35 sidor lång, ger NSM-22 följande för att "föra fram [förenta staternas] nationella enhet av ansträngningar för att stärka och upprätthålla säker, fungerande och motståndskraftig kritisk infrastruktur":^[III]

• Åtta policyprinciper;
• Åtta mål;
• Förtydligande av roller och ansvar för federala avdelningar och byråer;
• Främjande av riskhantering och en strategi för alla hot/faror för säkerhet och motståndskraft;
• Krav på minimikrav på säkerhet och motståndskraft för sektorer av kritisk infrastruktur;
• Riktningen av en nationell riskhanteringsplan för infrastruktur;
• Upprepningen av systemviktiga enheter (SIEs);
• En förstärkning av informationsutbyte och informationsutbyte;
• En upprepning av definitionen av kritisk infrastruktur, de utsedda kritiska infrastruktursektorerna och ansvariga SRMA:er; och
• En implementeringsplan för federala enheter att utföra på det som har beskrivits ovan.

Handling & Analys
**Ingår med Health-ISAC-medlemskap**

Kommande internationella utfrågningar/möten

• EU
  1. Inga relevanta möten just nu
• US
  1. Inga relevanta möten just nu
• Övriga världen
  1. Inga relevanta möten just nu

^[I]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[II] https://www.congress.gov/bill/116th-congress/house-bill/6395

^[III]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[IV] Direktivet om presidentbeslut/NSC-63

^[V] Presidentens politiska direktiv 21

^[Vi] "System och tillgångar, vare sig de är fysiska eller virtuella, så viktiga för USA att oförmågan eller förstörelsen av sådana system och tillgångar skulle ha en försvagande inverkan på nationell säkerhet, nationell ekonomisk säkerhet, nationell folkhälsa eller säkerhet, eller någon kombination av dessa frågor."

^[Vii]https://www.washingtonpost.com/politics/2023/10/16/biden-administration-goes-back-drawing-board-water-cybersecurity/

^[Viii]https://www.cisa.gov/cross-sector-cybersecurity-performance-goals#:~:text=A%20common%20set%20of%20protections,known%20risks%20and%20adversary%20techniques

^[Ix] https://hphcyber.hhs.gov/performance-goals.html

^[X]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xi]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xii] https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

• Relaterade resurser och nyheter
• Health-ISAC Hacking Healthcare 5-11-2026
• En CISO:s Playbook Vol. 2 – 0Auth Token Sårbarhet som orsakade Salesforce-intrång
• Månatligt nyhetsbrev – maj 2026
• Quarterly Threat Insights – Q1 2026
• Vad Stryker-attacken avslöjar om säkerhet för medicintekniska produkter
• Policyer och skyddsåtgärder för säker användning av AI
• HSCC presenterar guide för transparens inom tredjeparts AI-risk och leveranskedjan
• Anthropic avslöjar magisk 0-dagars datorgud
• Hälsovård i sikte: Irankopplade cyberhot ökar risken för sjukhus, medicinteknik och vårdleveranskedjor
• Hälso-ISAC uppmärksammar brister i cybermotståndskraft och incidenthantering…