Skip to main content

H-ISAC Hacking Healthcare 9-9-2020

TLP White: Sa linggong ito, hinihiling ng Hacking Healthcare sa mga mambabasa na simulan ang pag-iisip tungkol sa mga cyber-physical na insidente at kung gaano kahanda ang iyong organisasyon na harapin ang mga kahihinatnan. Susunod, pinaghiwa-hiwalay namin ang kamakailang anunsyo na ang China ay nagbubunyag ng kanilang sariling inisyatiba sa seguridad ng data sa buong mundo at kung ano ang maaaring asahan bilang isang resulta. Sa wakas, maikli naming sinusuri kung paano naaapektuhan ng bagong Binding Operational Directive ng Department of Homeland Security (DHS), na nangangailangan ng mga ahensya ng gobyerno na magpatibay ng Vulnerability Disclosure Policy, sa sektor ng pangangalagang pangkalusugan.

Bilang paalala, ito ang pampublikong bersyon ng blog ng Hacking Healthcare. Para sa karagdagang malalim na pagsusuri at opinyon, maging miyembro ng H-ISAC at tanggapin ang TLP Amber na bersyon ng blog na ito (magagamit sa Portal ng Miyembro.)

 

Mangyaring bigyan kami ng isang minuto ng iyong oras upang sagutin ang ilang mga tanong tungkol sa mga paksa ng Pag-hack sa Healthcare ngayong linggo. Ipa-publish namin ang mga resulta sa paparating na isyu. Ang link ng survey ay sumusunod sa mga artikulo sa ibaba.

 

 

Maligayang pagbabalik sa Pag-hack ng Pangangalaga sa Kalusugan.

 

1. Oras para Simulan ang Pag-iisip Tungkol sa Cyber-Physical Liability.

Habang lalong lumalabo ang pagkakaiba sa pagitan ng cyber at pisikal na mundo, malamang na haharapin ng mga organisasyon ang mga bagong hamon na nauugnay sa mga bagong pananagutan, panuntunan, at regulasyon para sa mga cyber-physical na insidente. Ayon kay Gartner, ang mga legal at regulasyong pagbabagong ito ay malamang na mabilis na magaganap dahil sa seryosong katangian ng mga potensyal na kahihinatnan.

Kabilang sa mga mas nakakataas na kilay na hula na ginawa ni Gartner ay ang pag-aangkin na ang 75% ng mga CEO ay maaaring personal na managot para sa mga cyber-physical na insidente pagsapit ng 2024. Hinuhulaan ni Gartner na lalong magiging mahirap para sa mga CEO na "magsumamo ng kamangmangan o umatras sa likod ng mga patakaran sa seguro."[1] Bukod pa rito, hinuhulaan nila na magkakaroon ng mabilis na pagtaas sa mga cyber-physical na insidente dahil sa kakulangan ng pagpaplano at paggasta sa lugar na ito. Ang pinakanakababahala ay ang kanilang pagsusuri na ang epekto sa pananalapi ng mga cyber-physical na insidente na nagreresulta sa mga nakamamatay na kaswalti ay lalampas sa $50 bilyon sa 2023.[2]

Binanggit din ni Gartner ang pag-aalala na maraming organisasyon ang hindi lubos na nakakaalam ng lahat ng cyber-physical system na nai-deploy na nila. Sa pagkomento tungkol sa pangangailangang tugunan ang mga isyung ito, nanawagan ang research vice president ng Gartner na si Katell Thielemann, sa mga pinuno ng teknolohiya na tulungan ang mga CEO na maunawaan ang banta ng mga cyber-physical na insidente at ang pangangailangang magtatag ng “Operational Resilience Management (ORM) na lampas sa information-centric cyber seguridad.”[3]

Pagkilos at Pagsusuri
** Kinakailangan ang membership **

 

2. Inihayag ng China ang Global Data Security Initiative nito.

Noong Martes ng umaga, inihayag na ang China ay nagnanais na maglunsad ng isang pandaigdigang inisyatiba sa seguridad ng data. Ayon sa Global Times, ang inisyatiba na ito ay itinuturing na isang potensyal na pandaigdigang pamantayan para sa seguridad ng data at sinasabing tugunan ang ilan sa mga madalas na binabanggit na mga alalahanin ng mga gobyerno at mga korporasyon tungkol sa privacy at seguridad ng data sa China.[4]

Iniulat ng Global Times na ang inisyatiba ay binubuo ng walong panukala. Iminumungkahi ng pag-uulat na kasama o sinusuportahan ng inisyatiba ang mga sumusunod na punto:[5], [6]

  • Ang mga estado ay [dapat] pangasiwaan ang seguridad ng data sa isang komprehensibo, layunin at nakabatay sa ebidensya na paraan
  • [Oposisyon] sa mga aktibidad ng ICT na gumagamit ng data upang magsagawa ng mga aktibidad na sumisira sa pambansang seguridad at interes ng ibang mga estado
  • [Oposisyon] sa malawakang pagmamatyag laban sa ibang mga estado
  • Ang mga estado ay hindi dapat humiling ng mga domestic na kumpanya na mag-imbak ng data na nabuo at nakuha sa ibang bansa sa kanilang sariling teritoryo
  • Dapat igalang ng mga estado ang soberanya, hurisdiksyon at pamamahala ng data ng ibang mga estado, at anumang bilateral na kasunduan sa pag-access ng data ay hindi dapat lumabag sa soberanya ng hudisyal at seguridad ng data ng isang ikatlong estado
  • Ang mga produkto at service provider ng ICT ay hindi dapat mag-install ng mga backdoor sa kanilang mga produkto at serbisyo upang iligal na makakuha ng data ng user, o kontrolin o manipulahin ang mga system at device ng mga user
  • Ang mga kumpanya ng ICT ay hindi dapat maghanap ng mga hindi lehitimong interes sa pamamagitan ng pagsasamantala sa pag-asa ng user sa kanilang mga produkto, o pilitin ang mga user na i-upgrade ang kanilang mga system at device

Si Zhao Lijian, isang tagapagsalita ng Ministri ng Panlabas ng Tsina, ay sinasabing "naglalayon ang inisyatiba na pangalagaan ang pandaigdigang data at seguridad ng supply chain, itaguyod ang pag-unlad ng digital na ekonomiya, at magbigay ng blueprint para sa pagbabalangkas ng mga pandaigdigang panuntunan."[7] Karagdagan pa, ang mga opisyal ng gobyerno ng China ay sinasabing gumawa ng ilang manipis na takip na pagsaway sa patakarang panlabas ng Estados Unidos sa mga bagay na ito. Kasalukuyang hindi malinaw kung gaano karaming suporta sa buong mundo ang umiiral para sa inisyatiba na ito.

Pagkilos at Pagsusuri
** Kinakailangan ang membership **

 

3. Ang Pagsisiwalat ng Kahinaan ng Pamahalaan ay Nagkakaroon ng Paglakas.

Noong nakaraang Miyerkules, naglabas ang Cybersecurity and Infrastructure Security Agency (CISA) sa ilalim ng DHS ng isang pinakahihintay na Binding Operational Directive (BOD) sa mga patakaran sa pagsisiwalat ng kahinaan (vulnerability disclosure policy (VDP)) para sa pederal na pamahalaan. Binibigyan ng BOD 20-01 ang mga ahensya ng gobyerno ng anim na buwan upang "magtatag ng mga VDP na sumusumpa ng legal na aksyon laban sa mga mananaliksik na kumikilos nang may mabuting loob, nagpapahintulot sa mga kalahok na magsumite ng mga ulat sa kahinaan nang hindi nagpapakilala at sumasaklaw sa kahit isang sistema o serbisyong naa-access sa internet."[8]

Bilang paalala, ang mga BOD ay "isang sapilitang direksyon sa pederal, ehekutibong sangay, mga departamento at ahensya para sa mga layunin ng pag-iingat ng pederal na impormasyon at mga sistema ng impormasyon" na maaaring ibigay ng DHS.[9] Ang partikular na BOD na ito ay kasama ng pagkilala ng DHS na "ang mga patakaran sa pagsisiwalat ng kahinaan ay nagpapahusay sa katatagan ng mga online na serbisyo ng gobyerno" at ito ay "isang mahalagang elemento ng isang epektibong programa sa pamamahala ng kahinaan sa negosyo."[10]

Para sa mga ahensyang walang gaanong karanasan sa paggawa ng patakaran sa pagsisiwalat ng kahinaan, nakakatulong na binabalangkas ng BOD 20-01 ang iba't ibang mga kinakailangan, nagbibigay ng gabay sa pagpapatupad, at kahit na mga link sa isang template ng VDP. Habang ang pagtatatag ng VDP sa pederal na pamahalaan ay mabagal hanggang ngayon, ang sapilitang direktiba na ito na may malinaw na mga tagubilin sa pagpapatupad ay dapat makatulong na mapabilis ang pag-aampon ng VDP.

Pagkilos at Pagsusuri
** Kinakailangan ang membership **

 

 

Pagsisiyasat

Mangyaring maglaan ng isang minuto upang sagutin ang ilang mga tanong tungkol sa Pang-hack na Pangangalaga sa Kalusugan ngayong linggo sa pamamagitan ng pagbisita sa link na ito:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

Kapulungang-bansa -

 

Martes, Setyembre 9:

– Senado – Committee on Health, Education, Labor, and Pensions: Mga pagdinig para suriin ang mga bakuna, nakatuon sa pagliligtas ng mga buhay, pagtiyak ng kumpiyansa, at pagprotekta sa kalusugan ng publiko.

 

Miyerkules, Setyembre 10:

– Walang nauugnay na mga pagdinig

 

Huwebes, ika-11 ng Setyembre:

– Walang nauugnay na mga pagdinig

 

 

 

Internasyonal Mga Pagdinig/Pagpupulong -

 

– Walang nauugnay na mga pagdinig

 

 

EU -

Miyerkules, Setyembre 10:

– European Parliament – ​​Committee on the Environment, Public Health, at Food Safety

 

Huwebes, ika-11 ng Setyembre:

– European Parliament – ​​Committee on the Environment, Public Health, at Food Safety

 

 

 

 

sari-sari –

 

Tinatamaan ng Ransomware ang dalawang organisasyong pinamamahalaan ng estado sa Middle East at North Africa

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

Nagbabala ang France sa Emotet na umaatake sa mga kumpanya, administrasyon

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-kumpanya-administrasyon/

Maaaring Baguhin ng Mga Microscope na Pinapatakbo ng AI ng Google ang Cancer Diagnostics

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-change-cancer-diagnostics/168220/

 

 

 

Mga Kumperensya, Webinar, at Summit -

 

https://h-isac.org/events/

 

Makipag-ugnayan sa amin: sundan ang @HealthISAC, at mag-email sa contact@h-isac.org

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • Mga Kaugnay na Mapagkukunan at Balita