Перейти до основного матеріалу

H-ISAC Hacking Healthcare 9-9-2020

TLP White: Цього тижня Hacking Healthcare просить читачів почати думати про кіберфізичні інциденти та про те, наскільки ваша організація готова впоратися з наслідками. Далі ми розповімо про нещодавнє оголошення про те, що Китай відкриває власну глобальну ініціативу безпеки даних і чого можна очікувати в результаті. Нарешті, ми коротко розглянемо, як нова обов’язкова оперативна директива Міністерства внутрішньої безпеки (DHS), яка вимагає від урядових установ прийняти Політику розкриття вразливостей, впливає на сектор охорони здоров’я.

Нагадуємо, що це публічна версія блогу Hacking Healthcare. Для додаткового поглибленого аналізу та думки приєднайтеся до H-ISAC і отримайте TLP Amber версію цього блогу (доступну на порталі для учасників).

 

Будь ласка, приділіть нам хвилину свого часу, щоб відповісти на кілька запитань щодо тем цього тижня, присвячених хакерству в галузі охорони здоров’я. Результати ми опублікуємо в наступному номері. Посилання на опитування слідує за статтями нижче.

 

 

Ласкаво просимо до Злом охорони здоров'я.

 

1. Час почати думати про кібер-фізичну відповідальність.

Оскільки різниця між кібер- і фізичним світом дедалі більше стирається, організації, ймовірно, зіткнуться з новими проблемами, пов’язаними з новими зобов’язаннями, правилами та положеннями щодо кібер-фізичних інцидентів. За словами Gartner, ці правові та нормативні зміни, ймовірно, відбудуться швидко через серйозний характер потенційних наслідків.

Серед найбільш дивовижних прогнозів Gartner є твердження про те, що до 75 року 2024% генеральних директорів можуть нести особисту відповідальність за кіберфізичні інциденти. Gartner прогнозує, що генеральним директорам буде все важче «послатися на незнання або відступити від страхових полісів».[1] Крім того, вони прогнозують швидке зростання кількості кіберфізичних інцидентів через брак планування та витрат у цій сфері. Найбільше занепокоєння викликає їхній аналіз того, що фінансовий вплив кіберфізичних інцидентів, які призводять до смертельних жертв, перевищить 50 мільярдів доларів до 2023 року.[2]

Gartner також послався на стурбованість тим, що багато організацій не знають повністю про всі кіберфізичні системи, які вони вже розгорнули. Коментуючи необхідність вирішення цих проблем, віце-президент Gartner з досліджень Кателл Тілеманн закликав технологічних лідерів допомогти генеральним директорам зрозуміти загрозу кіберфізичних інцидентів і необхідність створення «Управління операційною стійкістю (ORM) за межами інформаційно-орієнтованої кібернетики». безпеки».[3]

Дія та аналіз
** Потрібне членство **

 

2. Китай оприлюднює свою Глобальну ініціативу безпеки даних.

У вівторок вранці було оголошено, що Китай має намір запустити глобальну ініціативу безпеки даних. За даними Global Times, ця ініціатива рекламується як потенційний всесвітній стандарт безпеки даних і спрямована на вирішення деяких часто цитованих проблем урядів і корпорацій щодо конфіденційності та безпеки даних у Китаї.[4]

Global Times повідомляє, що ініціатива складається з восьми пропозицій. Звітування передбачає, що ініціатива включає або підтримує такі пункти:[5], [6]

  • Держави [повинні] керувати безпекою даних комплексно, об’єктивно та на основі доказів
  • [Протидія] діяльності ІКТ, яка використовує дані для здійснення діяльності, що підриває національну безпеку та інтереси інших держав
  • [Опозиція] проти масового стеження проти інших держав
  • Держави не повинні вимагати від вітчизняних компаній зберігати дані, створені та отримані за кордоном, на їхній власній території
  • Держави повинні поважати суверенітет, юрисдикцію та управління даними інших держав, а будь-яка двостороння угода про доступ до даних не повинна порушувати судовий суверенітет і безпеку даних третьої держави
  • Постачальники продуктів і послуг ІКТ не повинні встановлювати бекдори у своїх продуктах і послугах для незаконного отримання даних користувачів або контролю чи маніпулювання системами та пристроями користувачів
  • ІКТ-компанії не повинні шукати незаконних інтересів, користуючись залежністю користувачів від їхніх продуктів, а також змушувати користувачів оновлювати свої системи та пристрої

Чжао Ліцзянь, представник міністерства закордонних справ Китаю, нібито заявив, що «ініціатива спрямована на захист глобальних даних і безпеки ланцюга поставок, сприяння розвитку цифрової економіки та створення плану для формулювання глобальних правил».[7] Крім того, кажуть, що посадовці китайського уряду зробили кілька ледь завуальованих докорів зовнішній політиці Сполучених Штатів з цих питань. Наразі незрозуміло, наскільки глобальна підтримка існує для цієї ініціативи.

Дія та аналіз
** Потрібне членство **

 

3. Уряд розкриває вразливі місця.

Минулої середи Агентство з кібербезпеки та безпеки інфраструктури (CISA) при DHS випустило довгоочікувану обов’язкову оперативну директиву (BOD) щодо політики розкриття вразливостей (VDP) для федерального уряду. BOD 20-01 дає державним установам шість місяців на «створення VDP, які відмовляються від судових позовів проти дослідників, які діють добросовісно, ​​дозволяють учасникам анонімно подавати звіти про вразливості та охоплюють принаймні одну доступну в Інтернеті систему чи послугу».[8]

Нагадуємо, що BOD – це «обов’язкове розпорядження для федеральних, виконавчих органів влади, департаментів і агентств з метою захисту федеральної інформації та інформаційних систем», яке може видати DHS.[9] Цей конкретний BOD містить визнання DHS того, що «політика розкриття вразливостей підвищує стійкість державних онлайн-сервісів» і є «важливим елементом ефективної програми управління вразливістю підприємства».[10]

Для агенцій, які не мають великого досвіду в розробці політики розкриття вразливостей, BOD 20-01 корисно окреслює різні вимоги, містить інструкції щодо впровадження та навіть посилання на шаблон VDP. Хоча створення VDP у федеральному уряді досі відбувалося повільно, ця обов’язкова директива з чіткими інструкціями щодо впровадження має допомогти прискорити прийняття VDP.

Дія та аналіз
** Потрібне членство **

 

 

Огляд

Будь ласка, знайдіть одну хвилину, щоб відповісти на кілька запитань про Hacking Healthcare цього тижня, перейшовши за цим посиланням:

https://www.surveymonkey.com/r/QQD76GW

 

 

 

Конгрес -

 

Вівторок, вересень 9th:

– Сенат – Комітет з питань охорони здоров’я, освіти, праці та пенсій: слухання щодо перевірки вакцин, зосереджуючись на порятунку життів, забезпеченні довіри та захисті громадського здоров’я.

 

Середа, вересень 10th:

– Відповідних слухань немає

 

Четвер, 11 вересня:

– Відповідних слухань немає

 

 

 

Міжнародне покриття Слухання/зустрічі -

 

– Відповідних слухань немає

 

 

ЄС -

Середа, вересень 10th:

– Європейський парламент – Комітет з питань навколишнього середовища, громадського здоров’я та безпеки харчових продуктів

 

Четвер, 11 вересня:

– Європейський парламент – Комітет з питань навколишнього середовища, громадського здоров’я та безпеки харчових продуктів

 

 

 

 

Різне –

 

Програми-вимагачі вражають дві державні організації на Близькому Сході та в Північній Африці

https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

Франція попереджає про атаку Emotet на компанії та адміністрацію

https://www.bleepingcomputer.com/news/security/france-warns-of-emotet-attacking-компанії-адміністрація/

Мікроскопи на базі штучного інтелекту від Google можуть змінити діагностику раку

https://www.nextgov.com/emerging-tech/2020/09/microscopes-powered-googles-ai-could-зміна-діагностика раку/168220/

 

 

 

Конференції, вебінари та саміти -

 

https://h-isac.org/events/

 

Зв’яжіться з нами: підпишіться на @HealthISAC і надішліть електронний лист на contact@h-isac.org

 

[1] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[2] https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[3]https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl

[4] https://www.globaltimes.cn/content/1200228.shtml

[5] https://www.globaltimes.cn/content/1200228.shtml

[6] https://www.wsj.com/articles/china-to-launch-initiative-to-set-global-data-security-rules-11599502974?mod=tech_lead_pos7

[7] https://www.globaltimes.cn/content/1200228.shtml

[8] https://www.cyberscoop.com/cisa-vulnerability-disclosure-directive-omb/

[9] https://cyber.dhs.gov/bod/20-01/

[10] https://cyber.dhs.gov/bod/20-01/

  • Пов’язані ресурси та новини