ไปยังเนื้อหาหลัก

การแฮ็กระบบสุขภาพ-ISAC 5-9-2024

|

สัปดาห์นี้ Hacking Healthcare™ มุ่งเน้นไปที่การพัฒนาใหม่ๆ ที่เกี่ยวข้องกับความเสี่ยง ความปลอดภัย และความมั่นคงของ AI โดยเฉพาะอย่างยิ่ง เราจะอธิบายรายละเอียดเกี่ยวกับการจัดตั้งกระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) ใหม่) คณะกรรมการความปลอดภัยและความมั่นคงด้านปัญญาประดิษฐ์ จากนั้นตรวจสอบคำแนะนำใหม่ของ DHS แนวทางด้านความปลอดภัยและการรักษาความปลอดภัยสำหรับเจ้าของและผู้ปฏิบัติงานโครงสร้างพื้นฐานที่สำคัญ.

ขอเตือนว่านี่คือเวอร์ชันสาธารณะของบล็อก Hacking Healthcare หากต้องการการวิเคราะห์และความคิดเห็นเชิงลึกเพิ่มเติม โปรดสมัครเป็นสมาชิกของ H-ISAC และรับบล็อกเวอร์ชัน TLP Amber (มีให้ในพอร์ทัลสมาชิก)

ยินดีต้อนรับกลับสู่ Hacking Healthcare™

กิจกรรมงานอดิเรก Health-ISAC Americas 2024

Health-ISAC กำลังเร่งเตรียมความพร้อมสำหรับงาน Americas Hobby Exercise ประจำปีอีกครั้ง สำหรับสมาชิกใหม่ของ Health-ISAC งาน Hobby Exercise ถือเป็นงานประจำปีด้านการดูแลสุขภาพและสาธารณสุข (HPH) ที่ออกแบบมาเพื่อให้ภาคส่วนการดูแลสุขภาพและพันธมิตรเชิงกลยุทธ์มีส่วนร่วมในความท้าทายที่สำคัญด้านความปลอดภัยและความสามารถในการฟื้นตัว เป้าหมายหลักคือการแจ้งข้อมูลและมอบโอกาสสำหรับการปรับปรุงอย่างต่อเนื่องขององค์กรในขณะที่เพิ่มความสามารถในการฟื้นตัวของภาคส่วนการดูแลสุขภาพ

ลิงค์ต่อไปนี้ไปยังรายงานหลังกิจกรรม Hobby Exercise ของปีที่แล้วจะให้ภาพรวมที่ดีเกี่ยวกับประเภทของปฏิสัมพันธ์และมูลค่าที่คุณคาดหวังได้จากกิจกรรมของปีนี้:

https://h-isac.org/hobby-exercise-2023-after-action-report/

การฝึกอบรมประจำปีนี้จะจัดขึ้นในวันที่ 6 มิถุนายนที่สำนักงาน Venable LLP ในกรุงวอชิงตัน ดี.ซี. เชิญชวนสมาชิกลงทะเบียนแสดงความสนใจที่จะเข้าร่วมได้ที่ลิงก์ต่อไปนี้:

https://portal.h-isac.org/s/community-event?id=a1Y7V00000ZmFVwUAN

บันทึกข้อตกลงด้านความมั่นคงแห่งชาติฉบับที่ 22 แก้ไขแนวทางของสหรัฐฯ ต่อโครงสร้างพื้นฐานที่สำคัญ

เมื่อวันที่ 30 เมษายน รัฐบาลไบเดนได้เผยแพร่ บันทึกข้อตกลงความมั่นคงแห่งชาติฉบับที่ 22 (NSM-22): เกี่ยวกับความมั่นคงและความยืดหยุ่นของโครงสร้างพื้นฐานที่สำคัญ.[I] บันทึกความเข้าใจฉบับนี้ถือเป็นการแก้ไขครั้งล่าสุดในชุดบันทึกความเข้าใจของฝ่ายบริหารที่พยายามกำหนดว่าโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ ประกอบด้วยอะไรบ้าง และสรุปแนวทางที่รัฐบาลควรปรับปรุงความปลอดภัยและความยืดหยุ่นของโครงสร้างพื้นฐานที่สำคัญดังกล่าวอย่างไร ดังที่คุณอาจคาดไว้ NSM-22 จะส่งผลกระทบโดยตรงและโดยอ้อมต่อภาคส่วนการดูแลสุขภาพและสาธารณสุข (HPH)

NSM-22 คืออะไร และจะมาแทนที่อะไร? 

ตั้งแต่ปี 2013 รัฐบาลกลางของสหรัฐอเมริกาได้พิจารณาถึงแนวทางปฏิบัติของประธานาธิบดีหมายเลข 21 (Presidential Policy Directive 21 หรือ PPD-XNUMX) เพื่อเป็นแนวทางปฏิบัติสำหรับโครงสร้างพื้นฐานที่สำคัญในสหรัฐอเมริกา รัฐบาลสหรัฐอเมริกาควรดำเนินการอย่างไรเพื่อรักษาโครงสร้างพื้นฐานดังกล่าวให้ปลอดภัย รวมถึงกำหนดบทบาทที่ภาคเอกชนคาดหวังไว้ แม้ว่าบันทึกช่วยจำของฝ่ายบริหารดังกล่าวจะไม่มีผลบังคับใช้ทางกฎหมาย แต่ก็ไม่เคยมีการยกเลิกหรือแทนที่บันทึกช่วยจำดังกล่าวจนกระทั่งเมื่อสัปดาห์ที่แล้ว

การอัปเดตนี้เริ่มต้นจากการผ่าน HR6395 ซึ่งเป็นพระราชบัญญัติการอนุญาตการป้องกันประเทศ William M. (Mac) Thornberry สำหรับปีงบประมาณ 2021 ซึ่งกำหนดให้เลขาธิการของ DHS ปรึกษากับหัวหน้าหน่วยงานบริหารความเสี่ยงตามภาคส่วน (SRMA) เพื่อ "ตรวจสอบกรอบงานปัจจุบันสำหรับการรักษาความปลอดภัยโครงสร้างพื้นฐานที่สำคัญ..." และส่งรายงานที่เกี่ยวข้องกับการแก้ไขที่เป็นไปได้[Ii] เนื้อหาของรายงานดังกล่าวได้รับการลงนามโดยประธานาธิบดีไบเดน และกำลังดำเนินการพัฒนาสิ่งที่จะกลายมาเป็น NSM-22

สารบัญ NSM-22

NSM-35 มีความยาวประมาณ 22 หน้า โดยมีเนื้อหาต่อไปนี้เพื่อ "ส่งเสริมความสามัคคีในระดับชาติของสหรัฐฯ ในการเสริมสร้างและดูแลรักษาโครงสร้างพื้นฐานสำคัญที่ปลอดภัย ทำงานได้ และยืดหยุ่น"[Iii]

  • หลักการนโยบาย 8 ประการ
  • วัตถุประสงค์ 8 ประการ;
  • การชี้แจงเกี่ยวกับบทบาทและความรับผิดชอบของหน่วยงานและกรมของรัฐบาลกลาง
  • การส่งเสริมการจัดการความเสี่ยงและแนวทางการรับมือกับภัยคุกคาม/อันตรายทั้งหมดต่อความปลอดภัยและความยืดหยุ่น
  • การบังคับใช้ข้อกำหนดด้านความปลอดภัยและความยืดหยุ่นขั้นต่ำสำหรับภาคส่วนโครงสร้างพื้นฐานที่สำคัญ
  • ทิศทางแผนการจัดการความเสี่ยงโครงสร้างพื้นฐานระดับชาติ
  • การย้ำถึงหน่วยงานที่สำคัญในระบบ (SIEs)
  • การเสริมสร้างการแบ่งปันข่าวกรองและการแลกเปลี่ยนข้อมูล
  • การย้ำถึงคำจำกัดความของโครงสร้างพื้นฐานที่สำคัญ ภาคส่วนโครงสร้างพื้นฐานที่สำคัญที่ได้รับการกำหนด และ SRMA ที่รับผิดชอบ
  • แผนการดำเนินงานสำหรับหน่วยงานของรัฐบาลกลางเพื่อดำเนินการตามสิ่งที่ได้ระบุไว้ข้างต้น

การดำเนินการและการวิเคราะห์
**รวมอยู่ในการเป็นสมาชิก Health-ISAC**

การพิจารณาคดี/การประชุมระหว่างประเทศที่กำลังจะมีขึ้น

  • EU
    1. ไม่มีการประชุมที่เกี่ยวข้องในขณะนี้
  • US
    1. ไม่มีการประชุมที่เกี่ยวข้องในขณะนี้
  • ส่วนที่เหลือของโลก
    1. ไม่มีการประชุมที่เกี่ยวข้องในขณะนี้

[I]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

[Ii] https://www.congress.gov/bill/116th-congress/house-bill/6395

[Iii]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

[Iv] คำสั่งการตัดสินใจของประธานาธิบดี/NSC-63

[V] คำสั่งนโยบายประธานาธิบดี 21

[Vi] “ระบบและสินทรัพย์ ไม่ว่าจะเป็นทางกายภาพหรือเสมือน ล้วนมีความสำคัญต่อสหรัฐอเมริกาอย่างมาก จนถึงขั้นหากระบบและสินทรัพย์ดังกล่าวไม่สามารถดำเนินการได้หรือถูกทำลาย ซึ่งอาจส่งผลกระทบร้ายแรงต่อความมั่นคงของชาติ ความมั่นคงทางเศรษฐกิจของชาติ สุขภาพหรือความปลอดภัยของประชาชนของชาติ หรือประเด็นต่างๆ เหล่านี้รวมกัน”

[Vii]https://www.washingtonpost.com/politics/2023/10/16/biden-administration-goes-back-drawing-board-water-cybersecurity/

[Viii]https://www.cisa.gov/cross-sector-cybersecurity-performance-goals#:~:text=A%20common%20set%20of%20protections,known%20risks%20and%20adversary%20techniques

[Ix] https://hphcyber.hhs.gov/performance-goals.html

[x]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

[Xi]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

[Xii] https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

Ascension ตอบสนองต่อการโจมตีทางไซเบอร์ที่ส่งผลกระทบต่อการดูแลทางคลินิก
ผู้ก่อภัยคุกคาม Black Basta กลายเป็นภัยคุกคามสำคัญต่ออุตสาหกรรมการดูแลสุขภาพ