H-ISAC Hacking Healthcare 9-1-2020
TLP White: Sa linggong ito, magsisimula ang Hacking Healthcare sa pagsusuri ng Health and Human Services' (HHS) Office of Civil Rights' (OCR) na inilabas ng kanilang summer cybersecurity newsletter, na ginagawang kaso ang pagpapatupad ng isang asset ng information technology (IT) ang imbentaryo ay maaaring makatulong sa pagsunod sa HIPAA. Susunod, ipinapaalam namin sa iyo ang tungkol sa mga kamakailang singil na ipinataw laban sa dating Uber Chief Security Officer (CSO) na si Joe Sullivan para sa kanyang tungkulin sa pagtakpan ng paglabag sa data noong 2016 at isaalang-alang kung ano ang maaaring gawin ng sektor ng pangangalagang pangkalusugan upang mawalan ng sentensya sa gayong pag-uugali. Panghuli, hinahati namin ang isang insider threat attack na may masayang pagtatapos at isinasaalang-alang kung ano ang magagawa ng mga organisasyon para mabawasan ang mga naturang pag-atake.
Bilang paalala, ito ang pampublikong bersyon ng blog ng Hacking Healthcare. Para sa karagdagang malalim na pagsusuri at opinyon, maging miyembro ng H-ISAC at tanggapin ang TLP Amber na bersyon ng blog na ito (magagamit sa Portal ng Miyembro.)
Maligayang pagbabalik sa Pag-hack ng Pangangalaga sa Kalusugan.
1. Itinatakda ng OCR ang IT Asset Inventory bilang Benepisyo sa HIPAA Compliance.
Noong Agosto 25th, inilabas ng OCR ang kanilang Summer 2020 Cybersecurity Newsletter. Dito, binanggit ng OCR na ang isang karaniwang aspeto sa marami sa kanilang mga pagsisiyasat ay ang kawalan ng kakayahang makita ng isang organisasyon kung saan naka-imbak ang electronic protected health information (ePHI). Ang kakulangan ng insight na ito ay lumilikha ng mga hadlang sa mga organisasyong naghahanap upang masuri ang kanilang panganib sa buong enterprise pagdating sa pagsunod sa HIPAA Security Rule. Sa pananaw ng OCR, dapat na seryosong isaalang-alang ng mga organisasyon ang paglikha at pagpapanatili ng isang “napapapanahon, impormasyong teknolohiya (IT) na imbentaryo ng asset” upang magkaroon ng mas mahusay na kakayahang makita kung saan nakaimbak ang ePHI, na magpapahusay sa kanilang kakayahang manatiling sumusunod sa HIPAA at maiwasan ang mga parusa.[1]
Ano ang isang IT Asset Inventory?
Sa loob ng kanilang newsletter, tinukoy ng OCR ang imbentaryo ng asset ng IT bilang "isang komprehensibong listahan ng mga asset ng IT ng isang organisasyon na may kaukulang mapaglarawang impormasyon," na maaaring saklaw upang isama ang hardware, software, at data.[2] Bagama't ang imbentaryo ng asset ng IT ay maaari lang saklawin upang isama ang hardware, software, at data na nauugnay sa ePHI, sinabi ng OCR na may mga makabuluhang benepisyo para sa mga sumasaklaw dito na isama ang kabuuan ng mga asset ng isang organisasyon. Para sa mga naghahanap ng higit pang mga detalye, ang function ng Identify ng NIST Cybersecurity Framework ay naglalaan ng isang buong kategorya sa pamamahala ng asset, kumpleto sa mga impormasyong sanggunian sa mga kilalang internasyonal na pamantayan.
Paano Ko Ipapatupad ang isang IT Asset Inventory?
Bagama't ang prosesong ito ay maaaring isagawa nang manu-mano gamit ang mga in house na solusyon na iniakma nang eksakto sa mga detalye ng iyong organisasyon, maraming mga IT asset management solution sa merkado na maaaring suriin upang umangkop sa mga partikular na pangangailangan ng mga entity ng pangangalaga sa kalusugan. Gaya ng tala ng OCR, ang mga nakatuong solusyon na ito ay kadalasang maaaring magsama ng mga kapaki-pakinabang na feature gaya ng "awtomatikong pagtuklas at mga proseso ng pag-update para sa pamamahala ng asset at imbentaryo."[3]
Pagkilos at Pagsusuri
**Kinakailangan ang membership**
2. Sinisingil ng US Department of Justice (DOJ) ang CSO Over Breach Concealment.
Noong 2016, ang Uber, ang kilalang kumpanya ng transportasyon, ay dumanas ng malaking paglabag na nakompromiso ang data sa milyun-milyong user nila. Gayunpaman, sa kabila ng kahalagahan ng paglabag, tumanggi ang Uber na ibunyag ang insidente sa loob ng isang taon. Ang kuwento sa likod ng mahabang pagkaantala, at ang nagresultang pagbagsak, ay dapat kumilos bilang isang babala para sa anumang organisasyon na magpapasya laban sa paggalang sa kanilang mga obligasyon na mag-ulat ng mga paglabag sa mga nauugnay na awtoridad.
Inilarawan ng Uber ang paglabag noong 2016 sa pamamagitan ng pagsasabing, "dalawang indibidwal sa labas ng kumpanya ang hindi naaangkop na nag-access ng data ng user na nakaimbak sa isang third-party na cloud-based na serbisyo," na nagbigay sa kanila ng access sa "Ilang personal na impormasyon ng 57 milyong Uber user sa buong mundo, kabilang ang "Ang mga pangalan at numero ng lisensya sa pagmamaneho ng humigit-kumulang 600,000 mga driver sa Estados Unidos."[4] Ang tanging problema ay naganap ang pahayag na ito noong Nobyembre 2017, isang taon pagkatapos maganap ang paglabag.
Tulad ng ipinaliwanag ng DOJ, lumalabas na ang dahilan ng pagkaantala at ang huling pagsisiyasat ng Federal Bureau of Investigation (FBI) ay dahil ang CSO ng Uber noon, si Joe Sullivan, ay nag-coordinate ng isang pagtatangka na "iwasan at itago mula sa FTC ang parehong hack mismo. at ang katotohanan na ang data breach ay nagresulta sa pagkuha ng mga hacker ng milyun-milyong record na nauugnay sa mga user at driver ng Uber.[5] Kasama sa mga aksyon ni Sullivan ang inilarawan ng US Attorney para sa Northern District ng California na si David Anderson bilang "isang iligal na pananahimik na pera [pagbabayad]" sa mga hacker na itinago bilang isang bug bounty payment.[6] Napilitan si Uber na magbayad ng $148 milyon sa isang settlement noong 2018, at nitong nakaraang linggo, si Sullivan ay kinasuhan ng obstruction of justice at misprision of a felony, lahat ng ito ay maaaring humantong sa pinagsamang 8 taong pagkakakulong.[7]
Pagkilos at Pagsusuri
**Kinakailangan ang membership**
3. Pagtatangka ng Ruso na Ikompromiso ang Tesla na Nabigo ng Insider Action.
Noong nakaraang linggo, binalangkas ng isang bagong ulat ng DOJ kung ano ang tila isang mapangahas na pagtatangka ng Russia na ikompromiso ang network ng computer ng Tesla ngayong tag-init. Sa kabutihang palad, ang diumano'y plano ay napigilan ng mga aksyon ng isang tagaloob na masunuring nag-alerto sa mga awtoridad at nagpakilos ng pag-aresto. Bagama't sa huli ay nagreresulta sa isang positibong resulta para sa Tesla, itinatampok ng kuwento ang isa sa maraming taktika na ginagamit ng mga malisyosong aktor sa cyber at inuulit kung gaano kahalaga ang mga empleyado sa cybersecurity ng isang organisasyon.
Noong ika-25 ng Agosto, nag-post ang DOJ ng press release na pinamagatang Ang Pambansang Ruso ay Inaresto dahil sa Sabwatan upang Ipakilala ang Malware sa Computer Network ng isang Kumpanya ng Nevada na malawak na binalangkas ang sinasabing kriminal na plano.[8] Noong kalagitnaan ng Hulyo, sinubukan ni Egor Igorevich Kriuchkov, isang Russian National, na "mag-recruit ng empleyado ng isang kumpanya upang ipasok ang malware" sa network ng isang kumpanya.[9] Ang tanong ng kumpanya ay Tesla, at ang layunin ng malware ay kunin ang data at hawakan ito para sa ransom.[10] Kapansin-pansin, talagang pumunta si Kriuchkov sa Estados Unidos upang kunin ang tagaloob at talakayin nang personal ang operasyon. Ang napiling recruit, na iniulat na isang Russian speaking non-US citizen, ay malamang na inilaan nang maaga.[11]
Sa kabutihang-palad, ang tagaloob ay matapat na nag-ulat ng malisyosong diskarte na ito sa kumpanya at ang FBI ay agad na nasangkot. Sa susunod na ilang linggo, kasama ang patnubay ng FBI, nakolekta ng insider ang mahalagang impormasyon sa operasyon ng Russia, kasama ang kanilang imprastraktura, proseso, at pamamaraan, pati na rin ang mga detalye na tumulong sa FBI na makilala ang mga indibidwal na kasangkot. Si Kriuchkov ay naaresto na at naghihintay ng paglilitis.
Pagkilos at Pagsusuri
**Kinakailangan ang membership**
Kapulungang-bansa -
Martes, ika-1 ng Setyembre:
– Walang nauugnay na mga pagdinig
Miyerkules, ika-2 ng Setyembre:
– Walang nauugnay na mga pagdinig
Huwebes, ika-3 ng Setyembre:
– Walang nauugnay na mga pagdinig
Internasyonal Mga Pagdinig/Pagpupulong -
– Walang nauugnay na mga pagdinig
EU -
Miyerkules, ika-2 ng Setyembre:
– Pagpupulong ng Committee on the Environment, Public Health at Food Safety
Huwebes, ika-3 ng Setyembre:
– Pagpupulong ng Committee on the Environment, Public Health at Food Safety
sari-sari –
Survey: Halos 3 sa 4 na Amerikano ang Gusto ng Higit pang Pangangasiwa ng Pamahalaan sa Data Privacy
Nanawagan ang NIST para sa Mga Pamantayan upang Pahusayin ang Mga Kakayahang Forensic sa Cloud
Maaaring Ilantad ng Mga Search Engine ang Impormasyon sa Kalusugan ng Pasyente, babala ng ACR
https://healthitsecurity.com/news/search-engines-may-expose-patient-health-information-acr-warns
Makipag-ugnayan sa amin: sundan ang @HealthISAC, at mag-email sa contact@h-isac.org
Mga Kumperensya, Webinar, at Summit -
— ITIGIL ANG DATA NG PAGDUGO: MINIMIZE ANG THIRD-PARTY RISK SA HEALTHCARE NG RISKRECON – Webinar (9/1/2020)
–Healthcare Cybersecurity Forum – Southeast – Webinar (9/9/2020)
https://endeavor.swoogo.com/Southeast_Virtual_Healthcare_Innovation_Cybersecurity_Forum
— H-ISAC Virtual Threat Hunting Workshop na ini-sponsor ng RiskIQ – Webinar (9/9/2020)
https://h-isac.org/hisacevents/h-isac-threat-hunting-workshop-sponsored-by-riskiq-members-only/
–H-ISAC European Council Webinar Series – Webinar (9/10/2020)
https://h-isac.org/hisacevents/h-isac-european-council-webinar-series-2/
–Paano Manatiling nangunguna sa Maze at WastedLocker Ransomware sa pamamagitan ng SafeBreach – Webinar (9/16/2020)
https://h-isac.org/hisacevents/how-to-stay-ahead-of-maze-and-wastelocker-ransomware-by-safebreach/
–Cybersecurity Resilience sa Mundo ng COVID-19 – Webinar (9/18/2020)
https://h-isac.org/hisacevents/cybersecurity-resilience-in-the-world-of-covid-19/
— ENISA Trust Services Forum – CA Day 2020 – Schloßplatz Berlin, Germany (9/22/2020)
https://h-isac.org/hisacevents/enisa-trust-services-forum-ca-day-2020/
–Healthcare Cybersecurity Forum – Northeast – Webinar (9/22/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/427126
–H-ISAC Cyber Threat Intel Training – Titusville, FL (9/22/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-titusville-fl/
–H-ISAC Security Workshop – Virtual (9/23/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-forchheim-germany/
–Summit on Security at Third Party Risk – National Harbor, MD (9/28/2020-9/30/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840
–H-ISAC Monthly Member Threat Briefing – Webinar (9/29/2020)
https://h-isac.org/hisacevents/h-isac-monthly-member-threat-briefing-12/
— Ang MedTech Conference – Virtual (10/5/2020)
https://h-isac.org/hisacevents/the-medtech-conference-toronto/
— Healthcare Cybersecurity Forum – Houston, TX (10/8/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840
— NCHICA AMC Security & Privacy Conference – Durham, North Carolina (10/21/2020-10/22/2020)
https://h-isac.org/hisacevents/nchica-amc-security-privacy-conference/
— 2020 H-ISAC European Summit – Santpoort-Noord, Netherlands (10/20/2020-10/22/2020)
https://h-isac.org/summits/european-2020-summit/
–CYSEC 2020 – Dubrovnik, Croatia (10/27/2020 – 10/28/2020)
https://h-isac.org/hisacevents/cysec-2020-croatia/
–Healthcare Cybersecurity Forum – Pacific Northwest – Seattle, WA (10/28/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428886
–H-ISAC VIRTUAL MEDICAL DEVICE SECURITY WORKSHOP – Webinar (10/29/2020)
https://h-isac.org/hisacevents/h-isac-virtual-medical-device-security-workshop/
–H-ISAC Security Workshop – Seattle, WA – (10/29/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-seattle-wa-2/
–Healthcare Cybersecurity Forum – California – Los Angeles, CA (11/12/2020)
Healthcare Cybersecurity Forum – California
–H-ISAC Security Workshop – Paris, France (11/18/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-paris-france/
–H-ISAC Fall Summit – Phoenix, AZ (11/30/2020-12/4/2020)
https://h-isac.org/summits/fall-summit-2020/
— H-ISAC Security Workshop – Prague, Czech Republic (12/8/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-prague/
— 2021 APAC Summit – Singapore (3/23/2021-3/25/2021)
[1] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html
[2] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html
[3] https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-summer-2020/index.html
[4] https://www.uber.com/newsroom/2016-data-incident/
[5] https://www.justice.gov/usao-ndca/press-release/file/1306781/download
[6] https://www.zdnet.com/article/former-uber-cso-charged-for-2016-hack-cover-up/
[7] https://www.zdnet.com/article/former-uber-cso-charged-for-2016-hack-cover-up/
[8] https://www.justice.gov/opa/pr/russian-national-arrested-conspiracy-introduce-malware-nevada-companys-computer-network
[9] https://www.justice.gov/opa/pr/russian-national-arrested-conspiracy-introduce-malware-nevada-companys-computer-network
[10] https://news.clearancejobs.com/2020/08/26/company-insider-works-with-fbi-to-turn-the-tables-on-russias-million-dollar-attempt-to-hijack-the-network/
[11] https://news.clearancejobs.com/2020/08/26/company-insider-works-with-fbi-to-turn-the-tables-on-russias-million-dollar-attempt-to-hijack-the-network/
- Mga Kaugnay na Mapagkukunan at Balita