H-ISAC Sağlık Hizmetlerini Hackliyor 2-19-2020
TLP White: Hacking Healthcare'in bu sayısında, Hasta Katılımı Danışma Komitesi için adaylık arayan FDA'dan bir bildirimle başlıyoruz. Ardından, yapay zekanın ("AI") çeşitli sektörler tarafından nasıl görüldüğüne dair bir KPMG raporunun sonuçlarını inceliyoruz. Ardından, davacıların gerçek zarar yerine iddia edilen zarar için ödeme talep ettiği görünen bir fidye yazılımı davası hakkında sizi bilgilendiriyoruz. Son olarak, dolandırıcıların ve kötü niyetli aktörlerin kurbanlarını enfekte etmek için koronavirüsü nasıl kullandıklarını inceliyoruz.
Hatırlatma olarak, bu Hacking Healthcare blogunun herkese açık versiyonudur. Daha derinlemesine analiz ve görüş için H-ISAC üyesi olun ve bu blogun TLP Amber versiyonunu edinin (Üye Portalında mevcuttur.)
Tekrar hoşgeldiniz Sağlık Hizmetlerini Hacklemek.
1. Duyuru: FDA, HHS'nin Hasta Katılımı Danışma Komitesi için bireylerin ve endüstri kuruluşlarının aday gösterilmesi talebi [1]
Komite, tıbbi cihazlar, cihaz düzenlemesi ve hasta kullanımıyla ilgili konularda tavsiyelerde bulunur. Konular arasında kurum rehberliği ve politikaları, klinik deneme veya kayıt tasarımı, hasta tercihi çalışma tasarımı, fayda-risk belirlemeleri, cihaz etiketleme ve daha fazlası yer alır. Gerekli uzmanlık alanları arasında Siber Güvenlik, Fayda ve Risk Bilgilerinin Hastalara İletimi; Tıbbi Cihaz Etiketleme ve Dijital Sağlık Teknolojisi/Yapay Zeka bulunur.
Ek bilgi ve başvuru talimatları federal kayıtlarda veya FDA'nın web sitesinde bulunabilir.
2. Sağlık Sektörü Yapay Zeka'ya Nasıl Bakıyor?
Yapay zeka her sektörün bileşenlerine ve süreçlerine hızla entegre olmaya devam ederken, bazen etkileri konusunda görüşler farklılaşıyor. KPMG tarafından yakın zamanda yapılan bir araştırma, çeşitli sektörlerin AI'ya nasıl baktığını inceleyerek genel faydaya, çalışanların hazırlığına ve benimseme çabalarına odaklandı. Sağlık sektörü, AI'nın sektör üzerinde dönüştürücü etkileri olacağına olan inancıyla öne çıktı.
KPMG, sağlık sektöründeki çalışanların %90'ının yapay zekanın hasta deneyimlerini iyileştireceğine inandığını tespit etti.[2] Tanılama, elektronik sağlık kayıtları yönetimi ve robotik görevlerin en çok fayda sağlayacak üç alan olduğuna inanıyorlardı.[3] Ancak, aynı grup AI'nın gerçeklikten çok abartı olup olmadığı konusunda neredeyse eşit olarak bölünmüş durumda ve %52'si abartıya meyilli. Bu bölünme, içeridekilerin %64'ünden fazlasının daha şüpheci olduğu perakende ve ulaşım sektörlerine göre AI'ya daha yakındı. Bir dereceye kadar, "abartı" konusundaki endişeler, terimin pazarlamada çok çeşitli şirketler tarafından oldukça gevşek bir şekilde kullanılması nedeniyle AI'nın ne olduğu konusundaki kafa karışıklığıyla ilgilidir. Yine de, verilerin makine öğrenimiyle bir araya gelmesi büyük bir fırsat sunuyor. Bu nedenle, ek bulguların sağlık sektöründeki içeridekilerin %69'unun kuruluşlarının AI benimsemesini daha agresif bir şekilde takip etmesini istediğini gösterdiğini belirtmekte fayda var.[4]
3. A Hastanelere Karşı İddia Edilen Zarar Nedeniyle Açılan Dava:
Geçtiğimiz hafta başında Porto Riko Bölge S. Bölge Mahkemesi'nde, iki Porto Riko hastanesine karşı, davacıların "tam adları, adresleri, doğum tarihleri, cinsiyetleri, mali bilgileri ve sosyal güvenlik numaralarını tehlikeye atan bir güvenlik ihlali" sonucu "önemli yaralanmalar ve hasarlar yaşadıkları" iddiasıyla toplu dava açıldı.[5] Ancak davadaki ilginç nokta, herhangi bir hasta verisinin çalınıp ifşa edilip edilmediğinin henüz belli olmaması.[6]
Dava, Şubat 2019'da gerçekleşen bir fidye yazılımı saldırısından kaynaklanıyor. Raporlarda, herhangi bir hasta verisinin sızdırıldığına veya ifşa edildiğine dair bir kanıt olmadığı belirtiliyor ve hastaneler bunun hala böyle olduğunu yineledi. Bu şikayette, davacıların verilerinin ifşa edildiğine dair kanıtları olduğu iddia edilmiyor, bunun yerine kredi izleme ve ilgili hizmetlerin anlık maliyetine ve saldırıda çalınan herhangi bir veriyle bağlantılı olabilecek gelecekteki zarar potansiyeline odaklanılıyor. Dahası, davacılar hastanelerin verileri korumak için uygun önlemleri almadıklarını, hatta "bilgisayar korsanlarının verileri ele geçirmesine izin verdiklerini" iddia edecek kadar ileri gittiklerini iddia ediyorlar.[7]
4. Koronavirüsün Siber Saldırısı.
Geçtiğimiz sayımızda tartıştığımız gibi, koronavirüsün ekonomik etkisi büyümeye devam ediyor. Modern ticaret ve alışverişin birbirine bağlı yapısı, coğrafi yakınlıktan bağımsız olarak, her büyüklükteki ve sektördeki işletmenin bazı olumsuz etkiler beklemesi anlamına geliyor. Tedarik zinciri zaaflarını daha iyi haritalamak ve kısa vadeli hafifletmeleri belirlemek için bilgi toplama telaşında, kötü niyetli aktörler bir fırsat gördüler.
Doğu Avrupa ve Rusya'dan faaliyet gösteren dolandırıcıların, ulaştırma ve imalat gibi sektörleri hedef alan kampanyalara başladığı ve koronavirüsün kendi sektörlerini nasıl etkileyebileceğine dair derinlemesine analizler veya önemli notlar vaat eden e-postalar gönderdiği görülüyor.[8],[9]E-postalarda, ek önemli bilgiler sağladığı iddia edilen bir ek yer alıyor; ancak aslında veri çalmak için tasarlanmış kötü amaçlı yazılım içeriyor.[10] Bu kötü amaçlı yazılımın iki yıldan daha eski bir güvenlik açığını istismar etmesi ilginçtir; bu da zamanında yama yapmanın önemini bir kez daha vurgulamaktadır.
Kongre -
Salı Şubat 18th:
– İlgili duruşma yok
Çarşamba Şubat 19th:
– İlgili duruşma yok
Perşembe Şubat 20th:
– İlgili duruşma yok
Uluslararası Duruşmalar/Toplantılar -
AB -
Salı Şubat 18th
Avrupa Parlamentosu – Çevre, Halk Sağlığı ve Gıda Güvenliği Komitesi
Konferanslar, Web Seminerleri ve Zirveler -
– RSA Konferansında H-ISAC Üye Buluşması – San Francisco, CA (2/25/2020)
https://h-isac.org/hisacevents/h-isac-member-meet-up-at-rsa-conference-2/
–H-ISAC Analist Güvenlik Çalıştayı – Titusville, FL (3/4/2020)
https://h-isac.org/hisacevents/h-isac-analysts-security-workshop-titusville-fl/
– HIMSS Küresel Konferansında H-ISAC Üye Buluşması – Yer duyurulacak (3/11/2020)
https://h-isac.org/hisacevents/h-isac-member-meet-up-at-himss/
— Akıllı IoT – Londra – ExCeL Londra, İngiltere (3/11/2020)
https://www.ieee-smartiot.org/
–H-ISAC Güvenlik Çalıştayı – Chennai, Hindistan (3/27/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-india/
–H-ISAC Aylık Üye Tehdit Bilgilendirmesi – Web Semineri (3/31/2020)
H-ISAC Aylık Üye Tehdit Bilgilendirmesi – 31 Mart 2020
–2020 APAC Zirvesi – Singapur (3/31/2020-4/2/2020)
/zirveler/
–H-ISAC Güvenlik Çalıştayı – Cambridge, MA (4/7/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-cambridge-ma/
–H-ISAC Güvenlik Çalıştayı – Atlanta, GA (4/13/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-atlanta/
–Sağlık Siber Güvenlik Forumu – Mid-Atlantic – Philadelphia, PA (4/20/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426497
–H-ISAC 2020 Bahar Zirvesi – Singapur (3/31/2020-4/2/2020)
/zirveler/
–H-ISAC Güvenlik Atölyesi – Frederick, MD (6/9/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-frederick-md/
–AAMI Borsası – New Orleans, LA (6/12/2020-6/15/2020)
https://h-isac.org/hisacevents/aami-exchange/
–Sağlık Siber Güvenlik Forumu – Rocky Mountain – Denver, CO (7)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426499
–Sağlık Siber Güvenlik Forumu – Güneydoğu – Nashville, TN (9/9/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426517
–Sağlık Siber Güvenlik Forumu – Kuzeydoğu – Boston, MA (9/22/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/427126
– Güvenlik ve Üçüncü Taraf Riski Zirvesi – National Harbor, MD (9/28/2020-9/30/2020)
GRF Güvenlik ve Üçüncü Taraf Riski Dijital Serisi Zirvesi
–Sağlık Siber Güvenlik Forumu – Teksas – Houston, TX (10/8/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840
–Sağlık Siber Güvenlik Forumu – Pasifik Kuzeybatısı – Seattle, WA (10/28/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428886
–Sağlık Siber Güvenlik Forumu – Kaliforniya – Los Angeles, CA (11/12/2020)
Çeşitli –
–FDA, MITRE tıbbi cihaz siber güvenliği için ipuçları sunuyor
https://www.healthcareitnews.com/news/fda-mitre-offer-tips-med-device-cybersecurity
–PKI'nin kötü yönetimi sağlık kuruluşlarını savunmasız bırakıyor
https://www.healthcareitnews.com/news/pki-mismanagement-leaves-healthcare-organizations-vulnerable
–ABD 4 Equifax Saldırısında 2017 Çinli Askeri Subayı Suçladı
https://krebsonsecurity.com/2020/02/u-s-charges-4-chinese-military-officers-in-2017-equifax-hack/
– En yıkıcı botnetlerden biri artık yakındaki Wi-Fi ağlarına yayılabilir
Bizimle iletişime geçin: @HealthISAC'ı takip edin ve contact@h-isac.org adresine e-posta gönderin.
[1] https://www.federalregister.gov/documents/2020/02/13/2020-02872/request-for-nominations-of-individuals-and-industry-organizations-for-the-patient-engagement
[2] https://advisory.kpmg.us/content/dam/advisory/en/pdfs/2020/living-in-ai-world.pdf
[3] https://advisory.kpmg.us/content/dam/advisory/en/pdfs/2020/living-in-ai-world.pdf
[4] https://advisory.kpmg.us/content/dam/advisory/en/pdfs/2020/living-in-ai-world.pdf
[5] https://www.classaction.org/media/quintero-et-al-v-metro-santurce-inc-et-al.pdf
[6] https://www.cyberscoop.com/hospital-pavia-class-action-lawsuit-ransomware/
[7] https://www.classaction.org/media/quintero-et-al-v-metro-santurce-inc-et-al.pdf
[8] https://www.cyberscoop.com/coronavirus-phishing-emails-proofpoint-research/
[9] https://www.proofpoint.com/us/corporate-blog/post/coronavirus-themed-attacks-target-global-shipping-concerns
[10] https://www.cyberscoop.com/coronavirus-phishing-emails-proofpoint-research/
- İlgili Kaynaklar ve Haberler