Health-ISAC Hacking Chăm sóc sức khỏe 5-9-2024

Tuần này, Hacking Healthcare™ tập trung vào những phát triển mới xung quanh rủi ro, an toàn và bảo mật AI. Đặc biệt, chúng tôi phân tích việc thành lập Bộ An ninh Nội địa mới (DHS)) Ban An toàn và Bảo mật Trí tuệ nhân tạo và sau đó xem xét hướng dẫn mới của DHS Hướng dẫn về an toàn và bảo mật dành cho chủ sở hữu và người vận hành cơ sở hạ tầng quan trọng.

Xin nhắc lại, đây là phiên bản công khai của blog Hacking Healthcare. Để có thêm phân tích chuyên sâu và ý kiến, hãy trở thành thành viên của H-ISAC và nhận phiên bản TLP Amber của blog này (có trong Cổng thông tin thành viên).

Chào mừng bạn trở lại với Hacking Healthcare™.

Health-ISAC Americas Sở thích tập thể dục 2024

Health-ISAC một lần nữa đang tăng cường chuẩn bị cho Bài tập Sở thích Châu Mỹ hàng năm của chúng tôi! Đối với các thành viên mới của Health-ISAC, Bài tập Sở thích là sự kiện Y tế và Sức khỏe Cộng đồng (HPH) hàng năm được thiết kế để thu hút ngành y tế và các đối tác chiến lược vào các thách thức đáng kể về an ninh và khả năng phục hồi. Mục tiêu bao quát là thông báo và cung cấp các cơ hội để cải tiến liên tục tổ chức trong khi tăng khả năng phục hồi của ngành y tế.

Liên kết sau đây đến Báo cáo sau hoạt động thể dục thể thao năm ngoái cung cấp cái nhìn tổng quan về các loại tương tác và giá trị mà bạn có thể mong đợi từ sự kiện năm nay:

https://h-isac.org/hobby-exercise-2023-after-action-report/

Cuộc tập trận năm nay sẽ được tổ chức vào ngày 6 tháng XNUMX tại văn phòng Venable LLP ở Washington, DC. Các thành viên được khuyến khích đăng ký sự quan tâm tham gia theo liên kết sau:

https://portal.h-isac.org/s/community-event?id=a1Y7V00000ZmFVwUAN

Bản ghi nhớ an ninh quốc gia số 22 sửa đổi cách tiếp cận của Hoa Kỳ đối với cơ sở hạ tầng quan trọng

Vào ngày 30 tháng XNUMX, chính quyền Biden đã công bố Bản ghi nhớ an ninh quốc gia 22 (NSM-22): về an ninh và khả năng phục hồi cơ sở hạ tầng quan trọng.^[I] Bản ghi nhớ này đóng vai trò là bản sửa đổi mới nhất trong một loạt các bản ghi nhớ hành pháp nhằm xác định những gì cấu thành nên cơ sở hạ tầng quan trọng của Hoa Kỳ và phác thảo cách chính phủ có nghĩa vụ cải thiện tính bảo mật và khả năng phục hồi của cơ sở hạ tầng quan trọng đó. Như bạn có thể mong đợi, NSM-22 sẽ có tác động trực tiếp và gián tiếp đến lĩnh vực chăm sóc sức khỏe và y tế công cộng (HPH).

NSM-22 là gì và nó thay thế cái gì? 

Từ năm 2013, chính phủ liên bang Hoa Kỳ đã xem Chỉ thị Chính sách Tổng thống 21 (PPD-21) là hướng dẫn thường trực về những gì cấu thành nên cơ sở hạ tầng quan trọng tại Hoa Kỳ, cách chính phủ Hoa Kỳ nên xem xét để bảo vệ cơ sở hạ tầng đó, cũng như phác thảo vai trò được hình dung của khu vực tư nhân. Mặc dù bản ghi nhớ hành pháp đó không có hiệu lực pháp lý, nhưng nó chưa bao giờ bị bãi bỏ hoặc thay thế cho đến tuần trước.

Bản cập nhật này được triển khai với việc thông qua HR6395, Đạo luật Ủy quyền Quốc phòng William M. (Mac) Thornberry cho Năm tài chính 2021, yêu cầu Bộ trưởng DHS, sau khi tham vấn với người đứng đầu các Cơ quan Quản lý Rủi ro Ngành (SRMA), phải "xem xét khuôn khổ hiện tại để bảo vệ cơ sở hạ tầng quan trọng..." và nộp báo cáo liên quan đến các sửa đổi có thể có.^[Ii] Nội dung của báo cáo đó đã được Tổng thống Biden ký và tiến hành xây dựng NSM-22.

Nội dung NSM-22

Dài khoảng 35 trang, NSM-22 cung cấp những nội dung sau đây nhằm “thúc đẩy sự đoàn kết toàn quốc của Hoa Kỳ trong nỗ lực củng cố và duy trì cơ sở hạ tầng quan trọng an toàn, hoạt động và phục hồi”:^[Iii]

• Tám nguyên tắc chính sách;
• Tám mục tiêu;
• Làm rõ vai trò và trách nhiệm của các bộ và cơ quan liên bang;
• Thúc đẩy quản lý rủi ro và cách tiếp cận toàn diện đối với an ninh và khả năng phục hồi;
• Việc đưa ra các yêu cầu tối thiểu về an ninh và khả năng phục hồi cho các lĩnh vực cơ sở hạ tầng quan trọng;
• Định hướng của kế hoạch quản lý rủi ro cơ sở hạ tầng quốc gia;
• Sự lặp lại của các Thực thể quan trọng có hệ thống (SIE);
• Tăng cường chia sẻ thông tin tình báo và trao đổi thông tin;
• Lặp lại định nghĩa về cơ sở hạ tầng quan trọng, các lĩnh vực cơ sở hạ tầng quan trọng được chỉ định và các SRMA có trách nhiệm; và
• Một kế hoạch triển khai cho các cơ quan liên bang thực hiện những nội dung đã nêu ở trên.

Hành động & Phân tích
**Bao gồm với tư cách thành viên Health-ISAC**

Các phiên điều trần/cuộc họp quốc tế sắp tới

• EU
  1. Không có cuộc họp nào có liên quan vào lúc này
• US
  1. Không có cuộc họp nào có liên quan vào lúc này
• Phần còn lại của thế giới
  1. Không có cuộc họp nào có liên quan vào lúc này

^[I]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Ii] https://www.congress.gov/bill/116th-congress/house-bill/6395

^[Iii]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Iv] Chỉ thị Quyết định của Tổng thống/NSC-63

^[V] Chỉ thị chính sách của Tổng thống 21

^[Vi] “Các hệ thống và tài sản, dù là vật lý hay ảo, vô cùng quan trọng đối với Hoa Kỳ đến mức việc các hệ thống và tài sản đó bị vô hiệu hóa hoặc bị phá hủy sẽ gây ra tác động làm suy yếu an ninh quốc gia, an ninh kinh tế quốc gia, sức khỏe hoặc sự an toàn công cộng quốc gia, hoặc bất kỳ sự kết hợp nào của những vấn đề đó.”

^[Vii]https://www.washingtonpost.com/politics/2023/10/16/biden-administration-goes-back-drawing-board-water-cybersecurity/

^[Viii]https://www.cisa.gov/cross-sector-cybersecurity-performance-goals#:~:text=A%20common%20set%20of%20protections,known%20risks%20and%20adversary%20techniques

^[Ix] https://hphcyber.hhs.gov/performance-goals.html

^[X]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xi]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xii] https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

• Tài nguyên liên quan & Tin tức
• Health-ISAC Hacking Chăm sóc sức khỏe 5-11-2026
• Cẩm nang dành cho Giám đốc An ninh Thông tin (CISO) Tập 2 – Lỗ hổng mã thông báo 0Auth gây ra vụ xâm nhập Salesforce
• Bản tin hàng tháng – Tháng 2026 năm XNUMX
• Thông tin chi tiết về mối đe dọa hàng quý – Quý 1 năm 2026
• Vụ tấn công Stryker hé lộ điều gì về bảo mật thiết bị y tế?
• Chính sách và biện pháp bảo vệ để sử dụng AI một cách an toàn
• HSCC công bố hướng dẫn về rủi ro AI của bên thứ ba và tính minh bạch trong chuỗi cung ứng.
• Anthropic hé lộ vị thần máy tính kỳ diệu chưa từng có tiền lệ.
• Ngành y tế trở thành mục tiêu tấn công: Các mối đe dọa mạng liên quan đến Iran làm gia tăng rủi ro cho các bệnh viện, công nghệ y tế và chuỗi cung ứng dịch vụ chăm sóc sức khỏe.
• Health-ISAC chỉ ra những lỗ hổng trong khả năng phục hồi an ninh mạng và ứng phó sự cố…