Skip to main content

Health-ISAC Hacking Healthcare 3-21-2025

Ngayong linggo, Health-ISAC®Pang-hack na Pangangalaga sa Kalusugan® sinusuri ang isang bagong rehimeng nag-uulat ng insidente sa cyber na ipapatupad sa Switzerland. Sumali sa amin habang tinatasa namin kung paano maaaring maapektuhan ng bagong batas ang mga entity ng sektor ng kalusugan, kung paano ito nakikipag-ugnayan at nagkukumpara sa mga umiiral nang rehimen sa pag-uulat sa Europe, at kung paano ito umaangkop sa pag-uulat ng insidente sa cyber at pagsasaayos ng regulasyon sa pangkalahatan. 

Bilang paalala, ito ang pampublikong bersyon ng blog ng Hacking Healthcare. Para sa karagdagang malalim na pagsusuri at opinyon, maging miyembro ng H-ISAC at tanggapin ang TLP Amber na bersyon ng blog na ito (magagamit sa Portal ng Miyembro.)

 

Bersyon ng PDF: TLPWHITE Hacking Healthcare 3.21.25
Laki: 172.9 kB Format: PDF

 

Bersyon ng Teksto:

Maligayang pagdating sa Pag-hack ng Pangangalaga sa Kalusugan®.

Maikling Buwanang Banta

Ngunit una, bilang paalala, sa susunod na Martes at Miyerkules ay ang buwanang pagbabanta ng Health-ISAC. Halina't samahan ang iyong mga kapwa miyembro ng Health-ISAC habang ang mga kawani ng Health-ISAC at mga kasosyong organisasyon ay nagbibigay ng pangkalahatang-ideya ng tanawin ng pagbabanta. Kasama sa mga presentasyon ang isang pagtatasa ng umuusbong na malware, mga uso sa APT, mga isyu sa legal at regulasyon, mga alalahanin sa pisikal na seguridad, at higit pa. Hinihikayat namin ang lahat ng miyembro ng Health-ISAC na samantalahin ang serbisyong ito.

 

Switzerland na Magpapatupad ng Cyber ​​Incident Reporting para sa Kritikal na Imprastraktura

Inamyenda ng Swiss Federal Council ang kanilang Information Security Act (ISA), at malapit na itong mangailangan ng mga kritikal na entity sa imprastraktura na mag-ulat ng mga cyberattacks. Hatiin natin ang bagong entry na ito sa pandaigdigang listahan ng mga rehimeng nag-uulat ng insidente sa cyber. 

Background ng Pag-uulat ng Insidente

Ang gobyerno ng Switzerland ay nagtatasa at nagsusumikap tungo sa pagpapakilala ng mekanismo sa pag-uulat ng insidente sa cyber sa loob ng ilang taon, at ang bagong obligasyon sa pag-uulat na ito ay nag-ugat sa isang iminungkahing pag-amyenda sa ISA mula 2023. Ang tumaas na banta ng cyberattacks ay ang pamilyar na katalista para sa pagsisikap, at ang Swiss National Cyber ​​Security Center (NCSC) ay nagpahayag na ang mga ulat na ito ay "magbibigay-daan sa mga biktima at alerto sa mga kritikal na imprastraktura ng NCSC."[I] Tinawag din ng NCSC ang bagong obligasyon sa pag-uulat na isang milestone para sa cybersecurity sa loob ng bansa at isa na nagpapanatili nitong nakaayon sa mga internasyonal na pamantayan.[Ii] 

Ano ang Kinakailangan?

Hatiin natin ang ilan sa mga pangunahing elemento:

Saklaw: Sa pangkalahatan, ang mga bagong obligasyon ay ilalapat sa mga kritikal na sektor ng imprastraktura, ngunit ang isang buong accounting ng mga sakop na entity ay makikita sa loob ng Artikulo 74b ng ISA.[Iii] Sa mga tuntunin ng sektor ng kalusugan, ang obligasyon sa pag-uulat ay kinabibilangan ng:[Iv]    

  • Mga pasilidad sa kalusugan na nakalista sa listahan ng cantonal na ospital alinsunod sa Artikulo 39 talata 1 letra e ng Federal Act ng 18 Marso 1994 sa health insurance;
  • Mga medikal na laboratoryo na may awtorisasyon alinsunod sa Artikulo 16 talata 1 ng Epidemics Act ng Setyembre 28, 2012;
  • Mga kumpanyang may lisensya para sa paggawa, marketing at pag-import ng mga produktong panggamot sa ilalim ng Therapeutic Products Act of 15 December 2000;
  • Mga organisasyong nagbibigay ng mga benepisyo upang maprotektahan laban sa mga kahihinatnan ng sakit, aksidente, kawalan ng kakayahan para sa trabaho at paghahanap-buhay, katandaan, kapansanan, at kawalan ng kakayahan;

Nilinaw din ng artikulo na ang obligasyon sa pag-uulat ay "nalalapat sa mga cyberattack na may epekto sa Switzerland, kahit na ang mga mapagkukunan ng IT na apektado ay nasa ibang bansa."[V]

Timeline ng Pag-uulat: Ang mga sakop na entity ay inaasahang mag-uulat ng mga cyberattack sa Swiss National Cyber ​​Security Center (NCSC) sa loob ng 24 na oras "pagkatapos ng pagtuklas." Maaaring kailanganin ang mga karagdagang karagdagang ulat sa loob ng 14 na araw upang punan ang mga nawawalang elemento ng pag-uulat mula sa paunang ulat.[Vi]

Mga Saklaw na Insidente: Ang Artikulo 74d ay nagdedetalye kung ano ang kwalipikado sa isang cyber incident para sa pag-uulat. Ang isang insidente ay dapat iulat kung ito ay: 

  • Naglalagay sa panganib sa paggana ng apektadong kritikal na imprastraktura;
  • Nagdulot ng pagmamanipula o pagtagas ng impormasyon;
  • Nanatiling hindi natukoy sa loob ng mahabang panahon, lalo na kung may mga indikasyon na ito ay isinagawa bilang paghahanda para sa karagdagang cyberattacks; o
  • Kinasasangkutan ng blackmail, pagbabanta, o pamimilit.

Ang mga halimbawang ibinigay ng NCSC ay kinabibilangan ng “malware na matagumpay na na-install sa isang system, encryption trojans, availability attacks,” at mga pag-atake na “[nakakakuha] ng hindi awtorisadong access sa mga computer system sa pamamagitan ng pagsasamantala sa mga butas ng seguridad.”[Vii]

Nilalaman at Proseso ng Ulat: Ang mga ulat ay dapat magsama ng "impormasyon sa awtoridad o organisasyon na kinakailangan upang mag-ulat, ang kalikasan at pagpapatupad ng cyber-attack, ang mga epekto nito, mga hakbang na ginawa at, kung alam, ang nakaplanong karagdagang aksyon."[Viii] Upang mapagaan ang pasanin sa pag-uulat, magbibigay ang NCSC ng form sa pag-uulat sa kanilang website.

Mga Pagbubukod at Proteksyon: Ang nakasaad na layunin ng obligasyon sa pag-uulat ay "lamang" na "paganahin ang NCSC na tukuyin ang mga pattern ng pag-atake sa kritikal na imprastraktura sa maagang yugto at sa gayon ay upang bigyan ng babala ang mga potensyal na biktima at magrekomenda ng naaangkop na mga hakbang sa pag-iwas at pagtatanggol."[Ix] Dahil dito, walang sinuman ang "hindi kailangang magbigay ng anumang impormasyon sa proseso ng pag-uulat na maaaring magdulot sa kanya ng krimen sa ilalim ng batas na kriminal," at ang mga insidente na "may maliit lamang na epekto sa paggana ng ekonomiya o sa kagalingan ng populasyon" ay hindi kailangang iulat.

Pagpapatupad: Bagama't teknikal na magkakabisa ang bagong obligasyon sa Abril 1, sa pagsisikap na matiyak ang maayos na paglipat, walang pagpapatupad ng mga naaangkop na multa hanggang Oktubre 1.  

 

Pagkilos at Pagsusuri
**Kasama sa Health-ISAC Membership**

 

[I] https://www.ncsc.admin.ch/ncsc/en/home/aktuell/im-fokus/2025/meldepflicht-2025.html

[Ii] https://www.ncsc.admin.ch/ncsc/en/home/aktuell/im-fokus/2025/meldepflicht-2025.html

[Iii] https://www.fedlex.admin.ch/eli/oc/2024/257/de#mod_u19

[Iv] https://www.fedlex.admin.ch/eli/oc/2024/257/de#mod_u19

[V] https://www.fedlex.admin.ch/eli/oc/2024/257/de#mod_u19

[Vi] https://www.ncsc.admin.ch/ncsc/en/home/meldepflicht/meldepflicht-info.html

[Vii] https://www.ncsc.admin.ch/ncsc/en/home/meldepflicht/meldepflichtige-cyberangriffe.html

[Viii] https://www.fedlex.admin.ch/eli/oc/2024/257/de#mod_u19

[Ix] https://www.fedlex.admin.ch/eli/oc/2024/257/de#mod_u19

[X]https://www.reuters.com/technology/cybersecurity/hong-kong-aims-safeguard-key-facilities-with-new-cybersecurity-law-2025-03-19/

  • Mga Kaugnay na Mapagkukunan at Balita