Home » CISA выпускает руководство для некоммерческих организаций с высоким уровнем риска

CISA выпускает руководство для некоммерческих организаций с высоким уровнем риска

Агентство кибербезопасности и безопасности инфраструктуры опубликовало новое руководство для некоммерческих организаций высокого риска и других общественных организаций с ограниченными ресурсами, чтобы улучшить их понимание и усилия по смягчению киберугроз.

Но предстоящие выборы 2024 года могут оказать огромное влияние на более широкие усилия CISA, включая недавно завершившиеся национальные кибер-учения по защите данных, направленные на устранение недостатков безопасности в нескольких критически важных секторах, сообщила директор Джен Истерли Сенату на прошлой неделе.

ПОЧЕМУ ЭТО ВАЖНО

Поскольку организации гражданского общества, в том числе некоторые организации здравоохранения, «плохо подготовлены и уязвимы к» попыткам социальной инженерии и другим распространенным киберугрозам, CISA стала соавтором книги «Снижение киберугроз с помощью ограниченных ресурсов: руководство для гражданского общества», опубликованной 14 мая.

Собирая передовой опыт, CISA и его соавторы из национальных и международных правоохранительных органов и агентств безопасности надеются помочь организациям гражданского общества, которые склонны полагаться на небезопасные каналы связи и имеют низкую обороноспособность.

«Этим организациям не хватает внутренней ИТ-поддержки и необходимой кибергигиены для предотвращения возможности вредоносной деятельности (например, управления жизненным циклом, управления исправлениями, многофакторной аутентификации, управления паролями)», — заявили они.

Рекомендуемые действия и меры по смягчению последствий для этих уязвимых организаций связаны с курсами CISA и другими ресурсами, такими как Access Now. Горячая линия цифровой безопасности, который предлагает гражданским организациям круглосуточную поддержку на девяти языках. Согласно веб-сайту «массовой глобальной» организации, он отвечает в течение двух часов.

Однако для дальнейшей защиты уязвимых и подверженных высокому риску сообществ от кибератак агентства также рекомендуют поставщикам публично взять на себя обязательства Безопасность благодаря дизайну практики.

«Это обязательство влечет за собой принятие принципов Secure by Design, включая (1) принятие на себя ответственности за результаты безопасности клиентов, (2) обеспечение радикальной прозрачности и непоколебимой подотчетности и (3) руководство сверху и внедрение руководства сверху вниз для реализации преобразующих изменений, направленных на приоритет безопасности на каждом этапе разработки и развертывания программного обеспечения», — заявили CISA и ее соавторы в новом докладе. гид.

Read more:  «Аудио-шарики, переполненные конфетами для ушей»: читатели пренебрежительно отзываются о Грэмми в этом году | Музыка

Они рекомендуют поставщикам программного обеспечения работать над устранением уязвимостей продуктов, включать многофакторную аутентификацию по умолчанию, сообщать своим клиентам о подозрительном поведении сети и настраивать оповещения о небезопасных конфигурациях.

Помимо поддержки уязвимых организаций с низким уровнем ресурсов, CISA уделяет особое внимание организациям с лучшими ресурсами в важнейших секторах.

В прошлом месяце агентство провело национальные учения по киберготовности Cyber ​​Storm IX, которые дали более чем 2200 участникам возможность проверить свою реакцию на кибератаки на облачные ресурсы. Периодические национальные краеугольные кибер-учения объединяют государственный и частный секторы для моделирования и подготовки отчетов о реагировании на киберкризис, затрагивающий важнейшую инфраструктуру страны.

Участники предыдущие упражнения в 2020 и 2022 годах в их число входили такие поставщики, как Cleveland Clinic, HCA Healthcare и Система здравоохранения Университета Канзаса, поставщики медицинских ИТ, такие как Nuance, Siemens и Cisco, компании по обеспечению безопасности, такие как CrowdStrike, и координирующие организации, такие как HHS и Центр обмена и анализа медицинской информации.

Учения в этом году «сосредоточены на злоумышленном использовании распространенных неправильных конфигураций облачных сред, чтобы вызвать различные воздействия на конфиденциальность, целостность и доступность данных», заявила Истерли в своем докладе от 16 мая. резюме мероприятия.

Хотя сектор здравоохранения в настоящее время находится под угрозой со стороны различных групп программ-вымогателей, стремящихся получить прибыль от серьезных сбоев в системе, таких как изнурительная кибератака ALPHV, требующая от материнской компании UnitedHealth Group перестроить системы Change Healthcare с помощью облачной безопасности и предполагаемая атака программы-вымогателя Black Basta на некоммерческую организацию Ascension2024 год представляет собой дополнительное препятствие в области кибербезопасности, которое агентству предстоит устранить.

Истерли сообщил Специальному комитету Сената по разведке на слушаниях 15 мая по вопросу об иностранных угрозах предстоящим выборам, что, хотя среда избирательной сети США более безопасна, чем когда-либо, «сегодняшняя среда угроз более сложна, чем когда-либо».

Read more:  Видеокарта за 179 долларов для игр с разрешением 1080p

«Мы не можем успокаиваться», — заявила она в своем заявлении. вступительная речьотметив, что «CISA предоставляет больше услуг в большем количестве юрисдикций, чем когда-либо прежде».

БОЛЬШОЙ ТРЕНД

Годы серьезных нарушений привели к длительным перебоям в оказании медицинской помощи и отклонениям, которые подвергают пациентов риску, заставляя правительство действовать.

После публикации Национальной стратегии кибербезопасности в прошлом году Министерство здравоохранения и социальных служб США обрисовало свою стратегию кибербезопасности в сфере здравоохранения, в которой некоторые отказ от Американской ассоциации больниц и другие группы.

В дополнение к новым добровольные цели в области кибербезопасностиHHS заявило, что будет сотрудничать с Конгрессом для создания стимулов для улучшения показателей кибербезопасности в отечественных больницах и потребует большей подотчетности и координации с сектором здравоохранения.

В письме министру здравоохранения Ксавье Бесерре в четверг Рабочая группа по электронному обмену данными призвала федеральное правительство создать Управление национальной политики кибербезопасности, которое возглавит новый «царь киберполитики», и предложила несколько других рекомендаций для помощи в координации и возглавить национальное реагирование на кибернетику

WEDI попросил HHS и другие федеральные агентства сделать больше, чтобы помочь системам здравоохранения поддерживать работу и смягчить последствия успешных кибератак путем обеспечение возможности обмена информацией.

Помимо усилий CISA и HHS, Энн Нойбергер, заместитель советника по национальной безопасности по кибербезопасности и новым технологиям, сосредоточила свое внимание на кибербезопасности здравоохранения через несколько федеральных агентств.

Ранее в этом месяце Совет лидеров здравоохранения встретился с заместителем советника по национальной безопасности для неофициального обсуждения вопросов кибербезопасности.

«Мы ценим откровенность г-жи Нойбергер и ее готовность сотрудничать с лидерами здравоохранения по этому важнейшему приоритету и надеемся на сотрудничество с администрацией для повышения устойчивости отрасли здравоохранения и обеспечения безопасности пациентов», — говорится в сообщении совета. онлайн-заявление.

Read more:  Наборы для самотестирования на ВИЧ теперь более доступны в северо-восточном Онтарио

ПОД ЗАПИСЬ

«Это руководство вместе с [HHS] «Цели эффективности кибербезопасности» могут помочь больницам с ограниченными ресурсами расставить приоритеты в области кибербезопасности и разработать дорожную карту для реализации», — сказал Джон Ригги, национальный советник AHA по кибербезопасности и рискам, в заявление.

Андреа Фокс — старший редактор журнала Healthcare IT News.
Электронная почта: [email protected]

Healthcare IT News — издание HIMSS Media.

2024-05-20 18:19:35


1716238481
#CISA #выпускает #руководство #для #некоммерческих #организаций #высоким #уровнем #риска

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.