Ana içeriğe atla

H-ISAC Sağlık Hizmetlerini Hackliyor 9-9-2020

TLP White: Bu hafta, Hacking Healthcare okuyucularından siber-fiziksel olaylar ve kuruluşunuzun sonuçlarla başa çıkmak için ne kadar hazırlıklı olduğu hakkında düşünmeye başlamalarını istiyor. Ardından, Çin'in kendi küresel veri güvenliği girişimini açıkladığına dair son duyuruyu ve bunun sonucunda ne beklenebileceğini ele alıyoruz. Son olarak, İç Güvenlik Bakanlığı'nın (DHS) hükümet kurumlarının bir Güvenlik Açığı Açıklama Politikası benimsemesini gerektiren yeni Bağlayıcı Operasyonel Direktifinin sağlık sektörünü nasıl etkilediğini kısaca inceliyoruz.

Hatırlatma olarak, bu Hacking Healthcare blogunun herkese açık versiyonudur. Daha derinlemesine analiz ve görüş için H-ISAC üyesi olun ve bu blogun TLP Amber versiyonunu edinin (Üye Portalında mevcuttur.)

 

Lütfen bu haftanın Hacking Healthcare konuları hakkında birkaç soruyu yanıtlamak için bize bir dakikanızı ayırın. Sonuçları gelecek sayımızda yayınlayacağız. Anket bağlantısı aşağıdaki makaleleri takip ediyor.

 

 

Tekrar hoşgeldiniz Sağlık Hizmetlerini Hacklemek.

 

1. Siber-Fiziksel Sorumluluk Hakkında Düşünmeye Başlamanın Zamanı Geldi.

Siber ve fiziksel dünya arasındaki ayrım giderek belirsizleştikçe, kuruluşların siber-fiziksel olaylar için yeni yükümlülükler, kurallar ve düzenlemelerle ilgili yeni zorluklarla karşılaşması muhtemeldir. Gartner'a göre, bu yasal ve düzenleyici değişikliklerin potansiyel sonuçların ciddi doğası nedeniyle hızla gerçekleşmesi muhtemeldir.

Gartner'ın yaptığı kaş kaldıran tahminler arasında, CEO'ların %75'inin 2024 yılına kadar siber-fiziksel olaylardan kişisel olarak sorumlu tutulabileceği iddiası da yer alıyor. Gartner, CEO'ların "cehaletlerini savunmalarının veya sigorta poliçelerinin arkasına saklanmalarının" giderek daha zor olacağını öngörüyor.[1] Ayrıca, bu alanda planlama ve harcama eksikliği nedeniyle siber-fiziksel olaylarda hızlı bir artış olacağını öngörüyorlar. En endişe verici olanı, ölümcül can kayıplarına yol açan siber-fiziksel olayların finansal etkisinin 50 yılına kadar 2023 milyar doları geçeceği yönündeki analizleri.[2]

Gartner ayrıca birçok kuruluşun halihazırda konuşlandırdıkları tüm siber-fiziksel sistemlerin tam olarak farkında olmamasından endişe duyduğunu belirtti. Bu sorunların ele alınması gerekliliği hakkında yorum yaparken, Gartner'ın araştırma başkan yardımcısı Katell Thielemann, teknoloji liderlerini CEO'ların siber-fiziksel olayların tehdidini ve "bilgi merkezli siber güvenliğin ötesinde Operasyonel Dayanıklılık Yönetimi (ORM)" kurma ihtiyacını anlamalarına yardımcı olmaya çağırdı.[3]

Eylem ve Analiz
**Üyelik gereklidir**

 

2. Çin, Küresel Veri Güvenliği Girişimini Açıkladı.

Salı sabahı, Çin'in küresel bir veri güvenliği girişimi başlatmayı planladığı duyuruldu. Global Times'a göre, bu girişim veri güvenliği için potansiyel bir dünya standardı olarak tanıtılıyor ve hükümetlerin ve şirketlerin Çin'deki veri gizliliği ve güvenliğiyle ilgili sıkça dile getirilen endişelerinden bazılarını ele aldığı iddia ediliyor.[4]

Global Times, girişimin sekiz tekliften oluştuğunu bildiriyor. Rapor, girişimin aşağıdaki noktaları içerdiğini veya desteklediğini öne sürüyor:[5], [6]

  • Devletler veri güvenliğini kapsamlı, nesnel ve kanıta dayalı bir şekilde ele almalıdır
  • [Muhalefet] Diğer devletlerin ulusal güvenliğini ve çıkarlarını baltalayan faaliyetleri yürütmek için veri kullanan BT faaliyetlerine
  • [Muhalefet] Diğer devletlere yönelik kitlesel gözetlemeye
  • Devletler, yerel şirketlerden yurtdışında üretilen ve elde edilen verileri kendi topraklarında saklamalarını talep etmemelidir.
  • Devletler, diğer devletlerin egemenlik, yargı yetkisi ve veri yönetimine saygı göstermeli ve herhangi bir ikili veri erişim anlaşması, üçüncü bir devletin yargı egemenliğini ve veri güvenliğini ihlal etmemelidir.
  • BT ürünleri ve hizmet sağlayıcıları, kullanıcı verilerini yasa dışı bir şekilde elde etmek veya kullanıcıların sistemlerini ve cihazlarını kontrol etmek veya manipüle etmek için ürünlerine ve hizmetlerine arka kapılar yerleştirmemelidir.
  • BT şirketleri, kullanıcıların ürünlerine olan bağımlılığından yararlanarak gayri meşru çıkarlar aramamalı veya kullanıcıları sistemlerini ve cihazlarını yükseltmeye zorlamamalıdır.

Çin Dışişleri Bakanlığı Sözcüsü Zhao Lijian'ın, "Girişimin amacının küresel veri ve tedarik zinciri güvenliğini korumak, dijital ekonominin gelişimini teşvik etmek ve küresel kuralların formüle edilmesine yönelik bir plan sunmak" olduğu iddia edildi.[7] Ek olarak, Çin hükümet yetkililerinin bu konularda ABD'nin dış politikasına birkaç örtülü uyarıda bulunduğu söyleniyor. Bu girişim için küresel desteğin ne kadar olduğu şu anda belirsiz.

Eylem ve Analiz
**Üyelik gereklidir**

 

3. Hükümetlerin Güvenlik Açığı Bildirimi Hız Kazanıyor.

Geçtiğimiz Çarşamba günü, DHS'ye bağlı Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), federal hükümet için güvenlik açığı ifşa politikaları (VDP'ler) hakkında uzun zamandır beklenen Bağlayıcı Operasyonel Direktifi (BOD) yayınladı. BOD 20-01, hükümet kurumlarına "iyi niyetle hareket eden araştırmacılara karşı yasal işlem yapmaktan vazgeçen, katılımcıların güvenlik açığı raporlarını anonim olarak göndermelerine izin veren ve en az bir internet erişimli sistemi veya hizmeti kapsayan VDP'ler kurmaları" için altı ay süre veriyor.[8]

Hatırlatmak gerekirse, BOD'lar, DHS tarafından çıkarılabilecek "federal bilgi ve bilgi sistemlerini koruma amacıyla federal, yürütme organı, departmanlar ve kurumlara verilen zorunlu talimatlardır".[9] Bu özel Yönetim Kurulu, DHS'nin "güvenlik açığı ifşa politikalarının hükümetin çevrimiçi hizmetlerinin dayanıklılığını artırdığı" ve "etkili bir kurumsal güvenlik açığı yönetim programının temel bir unsuru" olduğu yönündeki kabulüyle birlikte geliyor.[10]

Bir güvenlik açığı ifşa politikası oluşturma konusunda fazla deneyimi olmayan kurumlar için, BOD 20-01 çeşitli gereklilikleri ana hatlarıyla belirtir, uygulama konusunda rehberlik sağlar ve hatta bir VDP şablonuna bağlantılar sunar. Federal hükümette VDP'nin kurulması şimdiye kadar yavaş olsa da, net uygulama talimatları içeren bu zorunlu direktif VDP'nin benimsenmesini hızlandırmaya yardımcı olmalıdır.

Eylem ve Analiz
**Üyelik gereklidir**

 

 

Anket hazırla

Bu haftanın Hacking Healthcare'i hakkında birkaç soruyu yanıtlamak için lütfen bu bağlantıyı ziyaret ederek bir dakikanızı ayırın:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

Kongre -

 

Salı, Eylül XNX:

– Senato – Sağlık, Eğitim, Çalışma ve Emeklilik Komitesi: Aşıları incelemek, hayat kurtarmaya, güveni sağlamaya ve halk sağlığını korumaya odaklanmak üzere duruşmalar.

 

Çarşamba, Eylül 10th:

– İlgili duruşma yok

 

Perşembe, 11 Eylül:

– İlgili duruşma yok

 

 

 

Uluslararası Duruşmalar/Toplantılar -

 

– İlgili duruşma yok

 

 

AB -

Çarşamba, Eylül 10th:

– Avrupa Parlamentosu – Çevre, Halk Sağlığı ve Gıda Güvenliği Komitesi

 

Perşembe, 11 Eylül:

– Avrupa Parlamentosu – Çevre, Halk Sağlığı ve Gıda Güvenliği Komitesi

 

 

 

 

Çeşitli –

 

Fidye yazılımı Orta Doğu ve Kuzey Afrika'daki iki devlet kuruluşunu vurdu

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

Fransa, Emotet'in şirketlere ve yönetime saldıracağı konusunda uyardı

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-şirketler-yönetimi/

Google'ın Yapay Zekası Tarafından Desteklenen Mikroskoplar Kanser Teşhislerini Değiştirebilir

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-kanser-tanısını-değiştir/168220/

 

 

 

Konferanslar, Web Seminerleri ve Zirveler -

 

https://h-isac.org/events/

 

Bizimle iletişime geçin: @HealthISAC'ı takip edin ve contact@h-isac.org adresine e-posta gönderin.

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • İlgili Kaynaklar ve Haberler