Перейти до основного матеріалу

Health-ISAC Hacking Healthcare 2-23-2024

|

Цього тижня Hacking Healthcare™ досліджує, як Закон ЄС про цифрові ринки може мати негативний вплив на кібербезпеку охорони здоров’я. Зокрема, ми досліджуємо, як положення, що стосуються мобільних додатків і магазинів додатків, можуть ненавмисно призвести до підвищеного ризику для мобільної екосистеми ЄС і організацій, які користуються політикою щодо використання власного пристрою (BYOD). Ми також розглядаємо заходи, які члени Health-ISAC можуть вжити для обмеження цього ризику.

Нагадуємо, що це публічна версія блогу Hacking Healthcare. Для додаткового поглибленого аналізу та думки приєднайтеся до H-ISAC і отримайте TLP Amber версію цього блогу (доступну на порталі для учасників).

Версія PDF:
Завантажити

 

Текстова версія:

Ласкаво просимо до Hacking Healthcare™.

Закон ЄС про цифрові ринки може підвищити ризик мобільної кібербезпеки 

Протягом останніх кількох років ЄС доклав кількох значних законодавчих та регуляторних заходів із наслідками для кібербезпеки та конфіденційності. Хоча багато хто з вас знайомі з переглядом Директиви про мережеву та інформаційну безпеку (NIS) і Закону про захист від кібернетичного впливу (CRA), менша кількість, ймовірно, настільки ж знайома з Законом про цифрові ринки (DMA). Хоча деякі положення тексту не спрямовані безпосередньо на організації охорони здоров’я, вони можуть негативно вплинути на кібербезпеку закладів охорони здоров’я, тому їх варто вивчити докладніше.

Що таке DMA? 

Європейська комісія описує DMA як «закон, який має зробити ринки в цифровому секторі більш справедливими та конкурентними».[Я] За номінальною вартістю, DMA є спробою вирівняти цифрове ігрове поле таким чином, щоб допомогти стимулювати ринкові інновації та конкуренцію, одночасно забезпечуючи переваги конкуренції, такі як нижчі ціни та вибір продуктів/послуг, для споживачів.

Як DMA досягає своїх цілей?

Основним діючим механізмом є ідентифікація та регулювання «привратників», які Європейська комісія описує як «великі цифрові платформи, що надають так звані основні платформні послуги, такі як, наприклад, онлайн-пошукові системи, магазини програм, служби обміну повідомленнями».[Ii] На практиці DMA націлена на американських технологічних гігантів, таких як Alphabet, Amazon, Apple, Meta та Microsoft.[Iii] Однак DMA також застосовується до ByteDance, і список Gatekeepers може бути змінений.

Удар по мобільній кібербезпеці?

Сервіси основної платформи та Gatekeepers в кінцевому підсумку надають Apple App Store, Google Play Store, операційну систему Google Android та операційну систему Apple iOS у сферу покриття DMA. Це означає, що Apple і Google, чиї мобільні телефони, операційні системи та магазини програм домінують на ринку мобільних пристроїв, повинні дотримуватися різних застосовних положень у межах DMA.

Для наших цілей ми збираємося зосередитися на двох положеннях, які, здається, майже безперечно негативно вплинуть на екосистему мобільної кібербезпеки. Згідно зі статтею 6, «Зобов’язання гейткіперів, які можуть бути додатково визначені відповідно до статті 8», містяться такі положення:[Iv]

  • – 6.4. Гейткіпер повинен дозволяти та технічно забезпечувати встановлення та ефективне використання програмного забезпечення або сховищ програмного забезпечення сторонніх розробників, які використовують або взаємодіють із своєю операційною системою, а також дозволяти доступ до цих програм або сховищ програмного забезпечення іншими засобами, ніж відповідне ядро послуги платформи цього Gatekeeper.
  • – 6.7 Gatekeeper повинен надавати постачальникам послуг і постачальникам апаратного забезпечення, безоплатно, ефективну взаємодію з тими самими функціями апаратного та програмного забезпечення, до яких можна отримати доступ або керувати через операційну систему або віртуального помічника, перелічені в рішення про призначення згідно зі статтею 3(9) як доступне для послуг або апаратного забезпечення, яке надає гейткіпер.

Ці положення, по суті, вимагають від гейткіперів, таких як Google і Apple, відкрити свою мобільну екосистему, щоб легше надати користувачам мобільних пристроїв доступ до програм і магазинів додатків сторонніх розробників. Вони також вимагають, щоб програми сторонніх розробників мали доступ до тих самих функцій апаратного та програмного забезпечення, які в іншому випадку могли б бути зарезервовані для довірених програм першої сторони.

Давайте проаналізуємо наслідки безпеки цих положень, розмістимо їх у ширшому контексті політики та дамо деякі рекомендації щодо того, як учасники Health-ISAC можуть пом’якшити певний рівень ризику, створеного цими положеннями DMA.

Дія та аналіз
**Входить до складу Health-ISAC Membership**

 

Конгрес

Вівторок, лютий 20

Відповідних слухань немає

Середу, лютий 21

Відповідних зустрічей немає

Четвер, лютому 22

Відповідних зустрічей немає

 

Міжнародне покриття Слухання/зустрічі

Відповідних зустрічей немає

 

E

 

[Я] https://digital-markets-act.ec.europa.eu/about-dma_en

[Ii] https://digital-markets-act.ec.europa.eu/index_en

[Iii] https://digital-markets-act.ec.europa.eu/gatekeepers_en

[Iv] https://eur-lex.europa.eu/eli/reg/2022/1925

[V] https://play.google/intl/en_au/developer-content-policy/

[Vi] https://developer.apple.com/app-store/review/guidelines/

[VII] https://arxiv.org/pdf/2010.10088.pdf

[viii] https://eur-lex.europa.eu/eli/reg/2022/1925

[IX] https://www.apple.com/newsroom/2024/01/apple-announces-changes-to-ios-safari-and-the-app-store-in-the-european-union/

[X] https://www.apple.com/newsroom/2024/01/apple-announces-changes-to-ios-safari-and-the-app-store-in-the-european-union/

[xi] https://www.pymnts.com/news/regulation/2024/competitors-say-apples-plans-dont-comply-with-digital-markets-act/

[xii] https://arstechnica.com/security/2024/02/a-password-manager-lastpass-calls-fraudulent-booted-from-app-store/

Стратегічний план кібербезпеки галузі охорони здоров’я на 2024-2029 рр
Групи попереджають сектор охорони здоров'я про зміни. Кібернаслідки охорони здоров'я