H-ISAC แฮ็คระบบดูแลสุขภาพ 9-1-2020
TLP White: สัปดาห์นี้ Hacking Healthcare เริ่มต้นด้วยการตรวจสอบจดหมายข่าวความปลอดภัยทางไซเบอร์ประจำฤดูร้อนของสำนักงานสิทธิพลเมือง (OCR) ของกระทรวงสาธารณสุขและบริการมนุษย์ (HHS) ซึ่งชี้ให้เห็นว่าการนำระบบตรวจสอบสินทรัพย์ด้านเทคโนโลยีสารสนเทศ (IT) มาใช้จะช่วยให้ปฏิบัติตามกฎหมาย HIPAA ได้ ต่อไปนี้ เราจะสรุปข้อกล่าวหาล่าสุดที่เรียกเก็บจากโจ ซัลลิแวน อดีตหัวหน้าเจ้าหน้าที่ฝ่ายความปลอดภัย (CSO) ของ Uber สำหรับบทบาทของเขาในการปกปิดการละเมิดข้อมูลในปี 2016 และพิจารณาว่าภาคส่วนการดูแลสุขภาพสามารถทำอะไรได้บ้างเพื่อลดแรงจูงใจในการกระทำดังกล่าว สุดท้าย เราจะวิเคราะห์การโจมตีจากภัยคุกคามภายในพร้อมตอนจบที่มีความสุข และพิจารณาว่าองค์กรต่างๆ สามารถทำอะไรได้บ้างเพื่อลดการโจมตีดังกล่าว
ขอเตือนว่านี่คือเวอร์ชันสาธารณะของบล็อก Hacking Healthcare หากต้องการการวิเคราะห์และความคิดเห็นเชิงลึกเพิ่มเติม โปรดสมัครเป็นสมาชิกของ H-ISAC และรับบล็อกเวอร์ชัน TLP Amber (มีให้ในพอร์ทัลสมาชิก)
ยินดีต้อนรับกลับสู่ การแฮ็คระบบดูแลสุขภาพ.
1. OCR นำเสนอคลังสินทรัพย์ไอทีว่าเป็นประโยชน์ต่อการปฏิบัติตาม HIPAA
สิงหาคม 25thOCR ได้เปิดตัว จดหมายข่าวความปลอดภัยทางไซเบอร์ประจำฤดูร้อนปี 2020ในเอกสารดังกล่าว OCR ระบุว่าลักษณะทั่วไปอย่างหนึ่งในการสืบสวนหลายๆ ครั้งคือองค์กรขาดการมองเห็นว่าข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ (ePHI) ถูกเก็บไว้ที่ใด การขาดข้อมูลเชิงลึกนี้สร้างอุปสรรคให้กับองค์กรที่ต้องการประเมินความเสี่ยงในระดับองค์กรเมื่อต้องปฏิบัติตามกฎความปลอดภัย HIPAA ในมุมมองของ OCR องค์กรต่างๆ ควรพิจารณาอย่างจริงจังในการสร้างและรักษา "คลังสินทรัพย์ด้านเทคโนโลยีสารสนเทศ (IT) ที่ทันสมัย" เพื่อให้มองเห็นได้ชัดเจนยิ่งขึ้นว่า ePHI ถูกเก็บไว้ที่ใด ซึ่งจะช่วยเพิ่มความสามารถในการปฏิบัติตาม HIPAA และหลีกเลี่ยงโทษ[1]
บัญชีสินทรัพย์ไอทีคืออะไร?
ภายในจดหมายข่าว OCR ได้กำหนดให้รายการทรัพย์สินไอทีเป็น “รายการทรัพย์สินไอทีขององค์กรอย่างครอบคลุมพร้อมข้อมูลอธิบายที่เกี่ยวข้อง” โดยอาจมีขอบเขตครอบคลุมถึงฮาร์ดแวร์ ซอฟต์แวร์ และข้อมูล[2] แม้ว่าจะสามารถกำหนดขอบเขตของรายการทรัพย์สินไอทีได้เฉพาะฮาร์ดแวร์ ซอฟต์แวร์ และข้อมูลที่เกี่ยวข้องกับ ePHI เท่านั้น แต่ OCR ระบุว่ารายการทรัพย์สินไอทีที่กำหนดให้ครอบคลุมทรัพย์สินทั้งหมดขององค์กรจะมีประโยชน์อย่างมาก สำหรับผู้ที่ต้องการข้อมูลเฉพาะเจาะจงมากขึ้น ฟังก์ชัน Identify ของ NIST Cybersecurity Framework จะกำหนดหมวดหมู่ทั้งหมดให้กับการจัดการทรัพย์สิน พร้อมด้วยข้อมูลอ้างอิงที่เป็นประโยชน์เกี่ยวกับมาตรฐานสากลที่เป็นที่รู้จัก
ฉันจะนำการจัดทำบัญชีสินทรัพย์ไอทีไปใช้ได้อย่างไร?
แม้ว่ากระบวนการนี้สามารถดำเนินการด้วยตนเองได้โดยใช้โซลูชันภายในองค์กรที่ปรับแต่งให้เหมาะกับข้อกำหนดขององค์กรของคุณโดยเฉพาะ แต่ก็มีโซลูชันการจัดการทรัพย์สินไอทีจำนวนมากในตลาดที่สามารถประเมินให้เหมาะกับความต้องการเฉพาะของหน่วยงานด้านการดูแลสุขภาพได้ ดังที่ OCR ระบุไว้ โซลูชันเฉพาะเหล่านี้มักมีคุณสมบัติที่เป็นประโยชน์ เช่น "กระบวนการค้นหาและอัปเดตอัตโนมัติสำหรับการจัดการทรัพย์สินและสินค้าคงคลัง"[3]
การดำเนินการและการวิเคราะห์
**จำเป็นต้องเป็นสมาชิก**
2. กระทรวงยุติธรรมสหรัฐฯ (DOJ) แจ้งข้อกล่าวหา CSO กรณีละเมิดข้อมูลโดยปกปิด
ในปี 2016 บริษัทขนส่งชื่อดังอย่าง Uber ประสบปัญหาการละเมิดข้อมูลครั้งใหญ่ ส่งผลให้ข้อมูลของผู้ใช้หลายล้านรายรั่วไหล อย่างไรก็ตาม แม้ว่าการละเมิดข้อมูลดังกล่าวจะมีความสำคัญ แต่ Uber ก็ปฏิเสธที่จะเปิดเผยเหตุการณ์ดังกล่าวเป็นเวลา XNUMX ปี เรื่องราวเบื้องหลังความล่าช้าและผลที่ตามมาควรเป็นบทเรียนเตือนใจสำหรับองค์กรใดๆ ที่ตัดสินใจไม่ปฏิบัติตามภาระผูกพันในการรายงานการละเมิดข้อมูลต่อหน่วยงานที่เกี่ยวข้อง
Uber อธิบายถึงการละเมิดข้อมูลในปี 2016 โดยระบุว่า "บุคคล 57 รายภายนอกบริษัทได้เข้าถึงข้อมูลผู้ใช้ที่จัดเก็บไว้ในบริการบนคลาวด์ของบุคคลที่สามโดยไม่เหมาะสม" ซึ่งทำให้พวกเขาสามารถเข้าถึง "ข้อมูลส่วนบุคคลของผู้ใช้ Uber กว่า 600,000 ล้านคนทั่วโลก ซึ่งรวมถึง "ชื่อและหมายเลขใบอนุญาตขับขี่ของผู้ขับขี่ประมาณ XNUMX คนในสหรัฐอเมริกา"[4] ปัญหาเดียวคือคำชี้แจงนี้เกิดขึ้นในเดือนพฤศจิกายน พ.ศ. 2017 ซึ่งเป็นเวลาหนึ่งปีหลังจากเกิดการละเมิด
ตามที่กระทรวงยุติธรรมอธิบายไว้ ปรากฏว่าสาเหตุของความล่าช้าและการสอบสวนในที่สุดของสำนักงานสอบสวนกลาง (FBI) ก็คือ Joe Sullivan ซึ่งขณะนั้นดำรงตำแหน่ง CSO ของ Uber ได้ประสานงานความพยายามที่จะ "ยับยั้งและปกปิดไม่ให้ FTC ดำเนินการแฮ็ก และความจริงที่ว่าการละเมิดข้อมูลส่งผลให้แฮกเกอร์เข้าถึงข้อมูลหลายล้านรายการที่เกี่ยวข้องกับผู้ใช้และคนขับของ Uber"[5] การกระทำของซัลลิแวนรวมถึงสิ่งที่เดวิด แอนเดอร์สัน อัยการสหรัฐฯ ประจำเขตตอนเหนือของแคลิฟอร์เนีย อธิบายว่าเป็น "การจ่ายเงินปิดปากที่ผิดกฎหมาย" ให้กับแฮ็กเกอร์ที่ปลอมตัวมาเป็นการจ่ายเงินรางวัลเพื่อปิดบังจุดบกพร่อง[6] Uber ถูกบังคับให้จ่ายเงิน 148 ล้านเหรียญสหรัฐในข้อตกลงเมื่อปี 2018 และในสัปดาห์ที่ผ่านมา ซัลลิแวนถูกตั้งข้อหาขัดขวางการยุติธรรมและกระทำความผิดอาญา ซึ่งทั้งหมดอาจส่งผลให้ต้องโทษจำคุกรวมกัน 8 ปี[7]
การดำเนินการและการวิเคราะห์
**จำเป็นต้องเป็นสมาชิก**
3. ความพยายามของรัสเซียที่จะประนีประนอม Tesla ถูกขัดขวางโดยการกระทำของคนวงใน
เมื่อสัปดาห์ที่แล้ว รายงานใหม่ของกระทรวงยุติธรรมได้ระบุถึงความพยายามที่กล้าหาญของรัสเซียที่จะเจาะระบบเครือข่ายคอมพิวเตอร์ของ Tesla ในช่วงซัมเมอร์นี้ โชคดีที่แผนการดังกล่าวถูกขัดขวางโดยการกระทำของบุคคลภายในที่แจ้งเจ้าหน้าที่อย่างเต็มใจและดำเนินการจับกุม แม้ว่าในท้ายที่สุดจะส่งผลดีต่อ Tesla แต่เรื่องราวดังกล่าวยังเน้นย้ำถึงกลวิธีต่างๆ มากมายที่ผู้ไม่หวังดีใช้และย้ำถึงความสำคัญของพนักงานต่อความปลอดภัยทางไซเบอร์ขององค์กร
วันที่ 25 สิงหาคม กระทรวงยุติธรรมได้เผยแพร่ข่าวประชาสัมพันธ์หัวข้อ ชาวรัสเซียถูกจับกุมฐานสมคบคิดเพื่อติดตั้งมัลแวร์ในเครือข่ายคอมพิวเตอร์ของบริษัทแห่งหนึ่งในเนวาดา ซึ่งได้ระบุแผนการก่ออาชญากรรมที่ถูกกล่าวหาไว้อย่างคร่าวๆ[8] ในช่วงกลางเดือนกรกฎาคม Egor Igorevich Kriuchkov ซึ่งเป็นชาวรัสเซีย พยายาม "รับสมัครพนักงานของบริษัทแห่งหนึ่งเพื่อติดตั้งมัลแวร์" ลงในเครือข่ายของบริษัท[9] บริษัทที่ถูกตั้งคำถามคือ Tesla และเป้าหมายของมัลแวร์คือการดึงข้อมูลและเก็บไว้เพื่อเรียกค่าไถ่[10] ที่น่าสนใจคือ Kriuchkov เดินทางไปยังสหรัฐอเมริกาเพื่อคัดเลือกบุคคลในองค์กรและหารือเกี่ยวกับปฏิบัติการดังกล่าวด้วยตนเอง ผู้สมัครที่ได้รับเลือก ซึ่งรายงานว่าเป็นชาวรัสเซียและไม่ใช่พลเมืองสหรัฐฯ น่าจะได้รับการคัดเลือกไว้ล่วงหน้า[11]
โชคดีที่คนวงในรายงานการกระทำอันเป็นอันตรายนี้ให้บริษัททราบอย่างเต็มใจ และเอฟบีไอก็เข้ามาเกี่ยวข้องทันที ในช่วงไม่กี่สัปดาห์ต่อมา ด้วยคำแนะนำจากเอฟบีไอ คนวงในได้รวบรวมข้อมูลอันมีค่าเกี่ยวกับปฏิบัติการของรัสเซีย รวมถึงโครงสร้างพื้นฐาน กระบวนการ และขั้นตอนต่างๆ ตลอดจนรายละเอียดที่ช่วยให้เอฟบีไอระบุตัวบุคคลที่เกี่ยวข้องได้ ปัจจุบัน คริอุชคอฟถูกจับกุมแล้วและกำลังรอการพิจารณาคดี
การดำเนินการและการวิเคราะห์
**จำเป็นต้องเป็นสมาชิก**
คองเกรส -
วันอังคารที่ 1 กันยายน:
– ไม่มีการพิจารณาคดีที่เกี่ยวข้อง
วันพุธที่ 2 กันยายน:
– ไม่มีการพิจารณาคดีที่เกี่ยวข้อง
วันพฤหัสบดีที่ 3 กันยายน :
– ไม่มีการพิจารณาคดีที่เกี่ยวข้อง
นานาชาติ การพิจารณาคดี/การประชุม -
– ไม่มีการพิจารณาคดีที่เกี่ยวข้อง
สหภาพยุโรป -
วันพุธที่ 2 กันยายน:
– การประชุมคณะกรรมการสิ่งแวดล้อม สาธารณสุข และความปลอดภัยด้านอาหาร
วันพฤหัสบดีที่ 3 กันยายน :
– การประชุมคณะกรรมการสิ่งแวดล้อม สาธารณสุข และความปลอดภัยด้านอาหาร
ของเบ็ดเตล็ด –
ผลสำรวจ: คนอเมริกันเกือบ 3 ใน 4 คนต้องการให้รัฐบาลกำกับดูแลเรื่องความเป็นส่วนตัวของข้อมูลมากขึ้น
NIST เรียกร้องให้มีมาตรฐานเพื่อปรับปรุงความสามารถด้านนิติวิทยาศาสตร์ในระบบคลาวด์
ACR เตือนว่าเครื่องมือค้นหาอาจเปิดเผยข้อมูลสุขภาพของผู้ป่วย
https://healthitsecurity.com/news/search-engines-may-expose-patient-health-information-acr-warns
ติดต่อเรา: ติดตาม @HealthISAC และส่งอีเมลได้ที่ contact@h-isac.org
การประชุมสัมมนาทางเว็บและการประชุมสุดยอด -
— หยุดการตกเลือดข้อมูล: ลดความเสี่ยงของบุคคลที่สามในการดูแลสุขภาพโดย RISKRECON – เว็บสัมมนา (9/1/2020)
– ฟอรั่มความปลอดภัยทางไซเบอร์ด้านการแพทย์ – ภาคตะวันออกเฉียงใต้ – เว็บสัมมนา (9/9/2020)
https://endeavor.swoogo.com/Southeast_Virtual_Healthcare_Innovation_Cybersecurity_Forum
— การประชุมเชิงปฏิบัติการการล่าภัยคุกคามเสมือนจริง H-ISAC ที่สนับสนุนโดย RiskIQ – เว็บสัมมนา (9/9/2020)
https://h-isac.org/hisacevents/h-isac-threat-hunting-workshop-sponsored-by-riskiq-members-only/
– สัมมนาออนไลน์ชุด H-ISAC ของสภายุโรป (9/10/2020)
https://h-isac.org/hisacevents/h-isac-european-council-webinar-series-2/
– วิธีก้าวให้ทัน Maze และ WastedLocker Ransomware โดย SafeBreach – เว็บสัมมนา (9/16/2020)
https://h-isac.org/hisacevents/how-to-stay-ahead-of-maze-and-wastelocker-ransomware-by-safebreach/
– ความยืดหยุ่นของความปลอดภัยทางไซเบอร์ในโลกของ COVID-19 – เว็บสัมมนา (9/18/2020)
https://h-isac.org/hisacevents/cybersecurity-resilience-in-the-world-of-covid-19/
— ฟอรัมบริการของ ENISA Trust – วัน CA ปี 2020 – Schloßplatz Berlin ประเทศเยอรมนี (9/22/2020)
https://h-isac.org/hisacevents/enisa-trust-services-forum-ca-day-2020/
– ฟอรั่มความปลอดภัยทางไซเบอร์ด้านการแพทย์ – ภาคตะวันออกเฉียงเหนือ – เว็บสัมมนา (9/22/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/427126
–การฝึกอบรมข่าวกรองภัยคุกคามทางไซเบอร์ H-ISAC – ไททัสวิลล์ รัฐฟลอริดา (9/22/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-titusville-fl/
– การประชุมเชิงปฏิบัติการด้านความปลอดภัย H-ISAC แบบเสมือนจริง (9/23/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-forchheim-germany/
–การประชุมสุดยอดด้านความปลอดภัยและความเสี่ยงของบุคคลที่สาม – เนชั่นแนลฮาร์เบอร์ รัฐแมริแลนด์ (9/28/2020-9/30/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840
– การบรรยายสรุปภัยคุกคามสำหรับสมาชิกรายเดือนของ H-ISAC – เว็บสัมมนา (9/29/2020)
https://h-isac.org/hisacevents/h-isac-monthly-member-threat-briefing-12/
— การประชุม MedTech – เสมือนจริง (10/5/2020)
https://h-isac.org/hisacevents/the-medtech-conference-toronto/
— ฟอรัมความปลอดภัยทางไซเบอร์ด้านการดูแลสุขภาพ – ฮูสตัน, เท็กซัส (10/8/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840
— การประชุมด้านความปลอดภัยและความเป็นส่วนตัวของ NCHICA AMC – เดอแรม รัฐนอร์ทแคโรไลนา (10/21/2020-10/22/2020)
https://h-isac.org/hisacevents/nchica-amc-security-privacy-conference/
— การประชุมสุดยอดยุโรป H-ISAC ประจำปี 2020 – Santpoort-Noord, เนเธอร์แลนด์ (10/20/2020-10/22/2020)
https://h-isac.org/summits/european-2020-summit/
–CYSEC 2020 – ดูบรอฟนิก โครเอเชีย (10/27/2020 – 10/28/2020)
https://h-isac.org/hisacevents/cysec-2020-croatia/
– ฟอรัมความปลอดภัยทางไซเบอร์ด้านการดูแลสุขภาพ – แปซิฟิกตะวันตกเฉียงเหนือ – ซีแอตเทิล รัฐวอชิงตัน (10 ต.ค. 28)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428886
– เวิร์กช็อปการรักษาความปลอดภัยอุปกรณ์การแพทย์เสมือนจริง H-ISAC – เว็บสัมมนา (10/29/2020)
https://h-isac.org/hisacevents/h-isac-virtual-medical-device-security-workshop/
–การประชุมเชิงปฏิบัติการด้านความปลอดภัย H-ISAC – ซีแอตเทิล รัฐวอชิงตัน – (10 ต.ค. 29)
https://h-isac.org/hisacevents/h-isac-security-workshop-seattle-wa-2/
– ฟอรัมความปลอดภัยทางไซเบอร์ด้านการดูแลสุขภาพ – แคลิฟอร์เนีย – ลอสแองเจลิส, แคลิฟอร์เนีย (11 พฤศจิกายน 12)
ฟอรั่มความปลอดภัยทางไซเบอร์ด้านการแพทย์ – แคลิฟอร์เนีย
–การประชุมเชิงปฏิบัติการด้านความปลอดภัย H-ISAC – ปารีส ประเทศฝรั่งเศส (11/18/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-paris-france/
–การประชุมสุดยอดฤดูใบไม้ร่วง H-ISAC – ฟีนิกซ์, อาริโซน่า (11/30/2020-12/4/2020)
https://h-isac.org/summits/fall-summit-2020/
— เวิร์กช็อปด้านความปลอดภัย H-ISAC – ปราก สาธารณรัฐเช็ก (12/8/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-prague/
— การประชุมสุดยอดเอเชียแปซิฟิก 2021 – สิงคโปร์ (3/23/2021-3/25/2021)
[1] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html
[2] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html
[3] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html
[4] https://www.uber.com/newsroom/2016-data-incident/
[5] https://www.justice.gov/usao-ndca/press-release/file/1306781/download
[6] https://www.zdnet.com/article/former-uber-cso-charged-for-2016-hack-cover-up/
[7] https://www.zdnet.com/article/former-uber-cso-charged-for-2016-hack-cover-up/
[8] https://www.justice.gov/opa/pr/russian-national-arrested-conspiracy-introduce-malware-nevada-companys-computer-network
[9] https://www.justice.gov/opa/pr/russian-national-arrested-conspiracy-introduce-malware-nevada-companys-computer-network
[10] https://news.clearancejobs.com/2020/08/26/company-insider-works-with-fbi-to-turn-the-tables-on-russias-million-dollar-attempt-to-hijack-the-network/
[11] https://news.clearancejobs.com/2020/08/26/company-insider-works-with-fbi-to-turn-the-tables-on-russias-million-dollar-attempt-to-hijack-the-network/
- แหล่งข้อมูลและข่าวสารที่เกี่ยวข้อง