Bỏ qua nội dung chính

Health-ISAC Hacking Chăm sóc sức khỏe 10-7-2021

|

TLP White: Tháng 10 đánh dấu Tháng nâng cao nhận thức về an ninh mạng, một nỗ lực hợp tác giữa chính phủ và ngành công nghiệp nhằm nâng cao nhận thức về tầm quan trọng của an ninh mạng và đảm bảo rằng mọi người đều có các nguồn lực cần thiết để an toàn hơn và bảo mật hơn khi trực tuyến. Là một nhà vô địch về nhận thức an ninh mạng đầy tự hào, chúng tôi sẽ lồng ghép một số chủ đề hàng tuần vào các bài viết của mình trong tháng này. Tuần này, Hacking chăm sóc sức khỏe bắt đầu bằng việc nhắc đến xác thực đa yếu tố (MFA). Chúng tôi nêu bật mối đe dọa mới đối với các giải pháp mật khẩu một lần (OTP) có thể có tác động đến các tổ chức sử dụng OTP như một phần của giải pháp MFA của họ. Sau đó, chúng tôi cung cấp thông tin cập nhật về những diễn biến mới về luật báo cáo sự cố tại Hoa Kỳ. Cuối cùng, chúng tôi kết thúc bằng một cuộc thảo luận về cách một số tin tức gần đây cáo buộc mối liên hệ giữa các cuộc tấn công mạng trong chăm sóc sức khỏe và tác hại của bệnh nhân có thể không rõ ràng như nhiều người ngụ ý.

Nhưng trước tiên, nếu bạn là thành viên H-ISAC, vui lòng cân nhắc tham gia Bài tập sở thích sắp tới của H-ISAC. Xem thông tin chi tiết bên dưới.

Xin nhắc lại, đây là phiên bản công khai của blog Hacking Healthcare. Để có thêm phân tích chuyên sâu và ý kiến, hãy trở thành thành viên của H-ISAC và nhận phiên bản TLP Amber của blog này (có trong Cổng thông tin thành viên).

 

Chào đón trở lại Hacking chăm sóc sức khỏe.

 

Phiên bản PDF:

Tải về

 

Phiên bản văn bản:

Chào đón trở lại Hacking chăm sóc sức khỏe.

1. Kêu gọi tham gia Bài tập sở thích H-ISAC

Hobby Exercise là sự kiện Y tế và Sức khỏe Cộng đồng (HPH) thường niên được thiết kế để thu hút sự tham gia của ngành và các đối tác vào các thách thức đáng kể về an ninh và khả năng phục hồi nhằm cung cấp thông tin cải thiện cho hoạt động lập kế hoạch và ứng phó. Lần lặp lại thứ hai của Hobby Exercise được lên lịch vào ngày 2 tháng 2021 năm 30, tại Venable LLP ở Washington, DC. Chúng tôi dự kiến ​​sẽ có 50-XNUMX người tham gia, trực tiếp, từ khu vực công và tư nhân. Bài tập kéo dài cả ngày này có các diễn giả chính, thảo luận nhóm lớn, thảo luận trong phòng họp nhỏ, bữa trưa và nhiều giờ nghỉ để giao lưu. Bài tập sẽ được tổ chức tại TLP Amber để tạo điều kiện cho các cuộc thảo luận cởi mở về những vấn đề quan trọng này.

Chi tiết người tham gia:

Một cách tiếp cận toàn diện, bao gồm, đa ngành mang lại giá trị cho bài tập này và chúng tôi đang tìm kiếm sự đại diện đa dạng trong toàn ngành. Sự đa dạng này mở rộng đến loại hình tổ chức (ví dụ: MDM, HDO, v.v.), vai trò (ví dụ: CNTT/Bảo mật, Nhân sự, Pháp lý, Truyền thông, v.v.) và trình độ kinh nghiệm cá nhân.

Mục đích:

Bài tập sở thích giáo dục những người tham gia về các vấn đề trong chăm sóc sức khỏe và cách H-ISAC và các thành viên của mình có thể giải quyết và đang giải quyết các vấn đề đó. Bài tập này xây dựng các mối quan hệ lâu dài trong và giữa khu vực công và tư nhân giúp tăng cường hiểu biết, phản ứng và các kế hoạch và hoạt động phục hồi.

Để tham gia Bài tập sở thích hoặc tìm hiểu thêm, vui lòng gửi email jbanghart@h-isac.org.

 

2. Những thách thức mới đối với bảo mật mật khẩu một lần và MFA

Việc ngăn chặn những kẻ tấn công độc hại ngày càng trở nên khó khăn hơn khi khả năng của chúng liên tục được cải thiện theo thời gian. Trong khi nhiều tổ chức, may mắn thay, đã thừa nhận rằng việc chỉ dựa vào mật khẩu tĩnh và các câu hỏi dựa trên kiến ​​thức không còn đủ để đánh bại những kẻ tấn công quyết tâm, một số hình thức xác thực khác thường được sử dụng trong MFA cũng đang bị đe dọa. Theo Intel 471, các giải pháp xác thực OTP đang bị nhắm mục tiêu bởi một số lượng ngày càng tăng các dịch vụ lừa đảo dựa trên bot.[1]

Để hiểu rõ hơn, các giải pháp xác thực OTP “dựa vào mật khẩu dùng một lần được tạo trong mã thông báo phần cứng độc lập hoặc phổ biến hơn hiện nay là ứng dụng trên điện thoại thông minh”.[2] Những mật khẩu này thay đổi sau một số giây nhất định và theo truyền thống là một cải tiến bảo mật đáng kể. Tuy nhiên, một bài đăng gần đây của Intel 471 đã nêu bật "sự gia tăng các dịch vụ trên thế giới tội phạm mạng ngầm cho phép kẻ tấn công chặn các mã thông báo mật khẩu một lần".[3]

Các dịch vụ có bản chất này đã được báo cáo vào đầu năm nay, với bài đăng trên KrebsOnSecurity vào tháng 2 đã xem xét một dịch vụ có tên là OTP Agency.[4] Theo Intel 471, các dịch vụ mới này sử dụng ứng dụng nhắn tin Telegram để liên lạc với nạn nhân trong khi xuất hiện "như một cuộc gọi hợp pháp từ một ngân hàng cụ thể và lừa nạn nhân nhập OTP hoặc mã xác minh khác vào điện thoại di động để đánh cắp và gửi mã".[5] Những kiểu tấn công lừa đảo này có vẻ rất thành công, điều này có thể giải thích cho sự gia tăng số lượng dịch vụ trên thị trường.

Hành động & Phân tích
**Yêu cầu phải là thành viên**

  

3. Cập nhật báo cáo sự cố mạng

Báo cáo sự cố mạng vẫn là chủ đề thảo luận tại Quốc hội khi các nhà lập pháp ở cả hai bên tìm cách ứng phó với sự gia tăng các cuộc tấn công mạng đáng kể tác động đến các thực thể của Hoa Kỳ. Người mới tham gia được xem xét, Đạo luật báo cáo sự cố mạng, đã được Thượng nghị sĩ Peters (D-MI) và Thượng nghị sĩ Portman (R-OH) giới thiệu vào tuần trước.[6] Dự luật này tham gia trước đó Đạo luật thông báo sự cố mạng, được Thượng nghị sĩ Warner (D-VA) giới thiệu, là hai văn bản luật chính về vấn đề này hiện đang được lưu hành tại Thượng viện.[7]

Như được mô tả bởi các tác giả của nó, Đạo luật báo cáo sự cố mạng sẽ “yêu cầu chủ sở hữu và nhà điều hành cơ sở hạ tầng quan trọng báo cáo với Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) nếu họ gặp phải cuộc tấn công mạng và [sẽ yêu cầu] hầu hết các thực thể báo cáo nếu họ thực hiện thanh toán bằng phần mềm tống tiền”.[8] Portman và Peters tin rằng dự luật này sẽ “cải thiện sự hiểu biết của các cơ quan liên bang về cách tốt nhất để chống lại các cuộc tấn công mạng, giúp quốc gia của chúng ta buộc tội tin tặc nhắm vào các mạng lưới của Mỹ và tăng cường khả năng của chính phủ liên bang trong việc giúp ngăn chặn các cuộc tấn công này làm tổn hại thêm đến an ninh quốc gia và phá vỡ cuộc sống cũng như sinh kế của người dân Mỹ”.

Dự luật này nhắc lại nhiều mối quan ngại tương tự như dự luật trước đó của Warner, theo đó "yêu cầu các cơ quan chính phủ liên bang, nhà thầu liên bang và nhà điều hành cơ sở hạ tầng quan trọng phải thông báo cho Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) thuộc Bộ An ninh Nội địa (DHS) khi phát hiện vi phạm để chính phủ Hoa Kỳ có thể huy động lực lượng bảo vệ các ngành công nghiệp quan trọng trên khắp cả nước".[9]

Mặc dù cả dự luật Portman/Peters và dự luật Warner đều là dự luật lưỡng đảng và giải quyết cùng một vấn đề, phạm vi và cách tiếp cận của mỗi dự luật đều có những điểm khác biệt quan trọng, ít nhất là ở dạng hiện tại. Một số điểm khác biệt đáng chú ý nhất là mốc thời gian báo cáo, các thực thể được báo cáo và cơ chế thực thi.

Hành động & Phân tích
**Yêu cầu phải là thành viên**

 

4. Bình tĩnh đánh giá tác động của các cuộc tấn công mạng đến kết quả điều trị của bệnh nhân

Một báo cáo mới từ Viện Ponemon về tác động của phần mềm tống tiền đối với chăm sóc sức khỏe trong thời kỳ COVID-19 cáo buộc rằng phần mềm tống tiền đã làm tăng tỷ lệ tử vong ở bệnh nhân. [10]  Cùng thời điểm đó, một bài báo trên tờ Wall Street Journal được xuất bản mô tả cách phần mềm tống tiền gây ra biến chứng sức khỏe gây tử vong cho một em bé sơ sinh.[11]

Cả hai bài viết này đều tập trung vào nỗi lo sợ rằng các cuộc tấn công mạng đang tác động tiêu cực đến kết quả điều trị của bệnh nhân. Thật không may, những bài viết này thường bị bóp méo và giật gân, làm rối tung vấn đề thực sự quan trọng và khiến cuộc đối thoại trung thực giữa các nhà cung cấp dịch vụ chăm sóc sức khỏe, bệnh nhân và nhà lập pháp trở nên khó khăn hơn. Khi xem xét kỹ hơn tài liệu nguồn, những câu chuyện này dường như không rõ ràng như một số tiêu đề tin tức mô tả.

Nghiên cứu của Ponemon, Tác động của Ransomware đối với Chăm sóc sức khỏe trong thời kỳ COVID-19 và Ngoài, là báo cáo nghiên cứu dài 43 trang được tài trợ bởi công ty quản lý rủi ro bên thứ ba Censinet.[12] Được công bố vào tháng 9, báo cáo bao gồm một số số liệu đáng lo ngại về tác động của các cuộc tấn công mạng đối với chăm sóc sức khỏe. Đáng chú ý nhất là:[13]

  • – 22% số người được hỏi trong các Tổ chức cung cấp dịch vụ chăm sóc sức khỏe (HDO) đã trải qua cuộc tấn công bằng phần mềm tống tiền đã xác nhận rằng “tỷ lệ tử vong tăng”
  • – 36% số người được hỏi tại HDO đã trải qua cuộc tấn công ransomware đã xác nhận “Tăng biến chứng từ các thủ thuật y tế”
  • – 23% trong số tất cả những người được hỏi xác nhận rằng “hậu quả của các cuộc tấn công mạng đối với việc chăm sóc bệnh nhân” đã dẫn đến “tỷ lệ tử vong tăng”

 

Bài báo của tờ Wall Street Journal nêu ra một vụ kiện bắt nguồn từ các biến chứng sức khỏe mà một trẻ sơ sinh gặp phải trong vụ tấn công bằng phần mềm tống tiền tại Trung tâm Y tế Springhill ở Alabama. Vụ kiện cáo buộc rằng Trung tâm Y tế Springhill "không thông báo cho nguyên đơn về vụ tấn công mạng và sự cố ngừng hoạt động", và rằng "các bác sĩ và y tá tại Trung tâm Y tế Springhill đã không tiến hành nhiều xét nghiệm trước khi sinh ... và rằng các xét nghiệm đó không được tiến hành do sự mất tập trung do cuộc tấn công bằng phần mềm tống tiền gây ra".[14] Mặc dù phần mềm tống tiền có thể đã góp phần gây ra kết quả này, nhưng tòa án vẫn chưa xác định liệu nó có phải là yếu tố quyết định hay không.

Hành động & Phân tích
**Yêu cầu phải là thành viên**

 

Quốc hội

 

Thứ ba, tháng 10 5th:

– Không có phiên điều trần có liên quan

 

Thứ tư, ngày 6 tháng XNUMX:

– Không có phiên điều trần có liên quan

 

Thứ năm, ngày 7 tháng XNUMX:

– Thượng viện – Ủy ban Thương mại, Khoa học và Giao thông vận tải: Phiên điều trần để xem xét tình trạng chăm sóc sức khỏe từ xa, tập trung vào việc xóa bỏ rào cản tiếp cận và cải thiện kết quả điều trị cho bệnh nhân.

 

Quốc Tế Phiên điều trần/Cuộc họp

– Không có cuộc họp nào có liên quan

 

EU -

Thứ hai, tháng 10 11th

– Nghị viện EU – Ủy ban Môi trường, Y tế Công cộng và An toàn Thực phẩm

 

 

 

Hội nghị, Hội thảo trên web và Hội nghị thượng đỉnh –

 

 

https://h-isac.org/events/

 

Liên hệ với chúng tôi: theo dõi @HealthISAC và gửi email tới contact@h-isac.org

 

[1] https://intel471.com/blog/otp-password-bots-telegram

[2] /wp-content/uploads/H-ISAC_All-About-Authentication-White-Paper.pdf

[3] https://intel471.com/blog/otp-password-bots-telegram

[4] https://krebsonsecurity.com/2021/02/u-k-arrest-in-sms-bandits-phishing-service/

[5] https://intel471.com/blog/otp-password-bots-telegram

[6] https://www.congress.gov/bill/117th-congress/senate-bill/2875

[7] https://www.congress.gov/bill/117th-congress/senate-bill/2407/text

[8] https://www.hsgac.senate.gov/media/majority-media/peters-and-portman-introduce-bipartisan-legislation-requiring-critical-infrastructure-entities-to-report-cyber-attacks

[9] https://www.warner.senate.gov/public/index.cfm/2021/7/following-solarwinds-colonial-hacks-leading-national-security-senators-introduce-bipartisan-cyber-reporting-bill

[10] https://www.censinet.com/thank-you-ponemon-covid-ransomware-impact/

[11] https://www.wsj.com/articles/ransomware-hackers-hospital-first-alleged-death-11633008116

[12] https://www.censinet.com/thank-you-ponemon-covid-ransomware-impact/

[13] https://www.censinet.com/thank-you-ponemon-covid-ransomware-impact/

[14] https://www.hipaajournal.com/lawsuit-alleges-ransomware-attack-resulted-in-hospital-baby-death/

Health-ISAC Hacking Chăm sóc sức khỏe 10-12-2021
Bản tin hàng tháng – Tháng 2021 năm XNUMX