CISA сосредоточится на большей подотчетности в экосистеме кибербезопасности

По словам официальных лиц, Агентство по кибербезопасности и безопасности инфраструктуры предпринимает новые действия и делает долгосрочные инвестиции для обеспечения межотраслевого сотрудничества и повышения безопасности в масштабе.

ПОЧЕМУ ЭТО ВАЖНО

С его новым финансовым годом 2024-2026 стратегический план выпущенная 4 августа, национальная группа по кибербезопасности стремится устранять непосредственные угрозы кибербезопасности и защищать системы от атак.

Агентство заявляет, что киберинциденты нанесли слишком большой ущерб слишком многим американским организациям, и призывает инвестировать в сотрудничество в области кибербезопасности, чтобы сделать национальные сети «сложной и дорогостоящей мишенью для киберпреступников».

CISA наметила ряд действий, в том числе увеличение числа организаций, которым оно предоставляет ресурсы для обучения кибербезопасности, обеспечение внедрения ресурсов облачных вычислений, содействие постоянному развитию национальная рабочая сила в области кибербезопасности и поощрение принятия Целей эффективности кибербезопасности (CPG).

«Мы знаем, что не сможем обеспечить прочную безопасность без тесного и постоянного сотрудничества между правительством, промышленностью, исследователями в области безопасности, международным сообществом и другими», — говорится в сообщении CISA.

«Несмотря на то, что мы несем ответственность за национальную кибербезопасность, мы должны согласовать ответственность по всей экосистеме, чтобы кибербезопасность считалась основным бизнес-риском в каждой организации».

CPG, предназначенные для того, чтобы помочь критически важной инфраструктуре, такой как сектор здравоохранения и другие организации, принимать решения по управлению рисками, которые обеспечивают высокоприоритетные результаты безопасности и учитывают совокупный риск для страны, должны быть улучшены в долгосрочной перспективе «путем стимулирования продуктов, менее уязвимых для кибератак». », — говорится в сообщении агентства.

«Несмотря на то, что мы сталкиваемся с проблемой небезопасных технологических продуктов, мы должны обеспечить, чтобы будущее было более безопасным, чем настоящее, в том числе за счет перспективного снижения рисков и полного использования преимуществ искусственного интеллекта и достижений квантовых вычислений. .”

В прошлом месяце администрация Байдена-⁠Харриса анонсировала US Cyber ​​Trust Mark, программу маркировки кибербезопасности для интеллектуальных устройств потребительского уровня. Хотя в заявлении конкретно не упоминались медицинские устройства, медицинские ИТ, микропрограммы или больницы, в нем подробно излагались требования, которые сектор здравоохранения выиграет в рамках такой программы:

«Программа будет использовать усилия заинтересованных сторон по сертификации и маркировке продуктов на основе конкретных критериев кибербезопасности, опубликованных Национальным институтом стандартов и технологий, которые, например, требуют уникальных и надежных паролей по умолчанию, защиты данных, обновлений программного обеспечения и возможностей обнаружения инцидентов. “, – говорится в сообщении администрации. заявление.

В своем обновленном стратегическом плане CISA заявила, что ее совместная совместная работа по киберзащите и «расширяющиеся региональные команды» объединят правительство, частный сектор и международных партнеров для значительного снижения киберрисков.

«Мы будем инвестировать в постоянное сотрудничество, определяемое взаимными ожиданиями прозрачности и ценности, а также сведением к минимуму трений, чтобы обеспечить масштаб и анализ на основе данных», — пообещало агентство.

«Мы разработаем, отработаем и реализуем планы киберзащиты, которые позволят эффективно реагировать на неотложные угрозы, сохраняя при этом внимание к долгосрочным рискам, требующим устойчивых инвестиций».

Агентство также заявило, что будет измерять свою видимость уязвимостей в критической инфраструктуре и государственных сетях и будет укреплять доверие и сотрудничество с исследовательским сообществом и частным сектором за счет расширения участия в усилиях по «скоординированному раскрытию уязвимостей».

Модель постоянного сотрудничества CISA в рамках Национального плана реагирования на киберинциденты должна увеличить количество участвующих организаций «и операционную ценность, получаемую каждым участником», а также количество планов киберзащиты для высокоприоритетных рисков, определенных государственными и частными заинтересованными сторонами, агентство сказал.

БОЛЬШАЯ ТЕНДЕНЦИЯ

С Национальная стратегия кибербезопасности Байдена призывает к рыночным силам и мандатамтакие организации, как Американская больничная ассоциация и HITRUST, хотят помочь сделать стимулы безопасности для компаний-разработчиков программного обеспечения возможными.

Хотя стратегия, предложенная в марте, «признает, что одних только усилий частного сектора недостаточно для противодействия серьезным киберугрозам, с которыми мы сталкиваемся как нация», — заявил в своем тогдашнем заявлении национальный советник AHA по кибербезопасности и рискам Джон Ригги. о том, как требования безопасности программного обеспечения повлияют на поставщиков ИТ в сфере здравоохранения.

Законодательство, принятое в сентябре прошлого года, предписывает CISA сотрудничать со службами здравоохранения и социальных служб в конкретных защитить медицинские данные от кибератакно законопроект S.3904, представленный сенатором Джеки Розеном, штат Невада, находится на рассмотрении Комитета по национальной безопасности и делам правительства с октября.

По данным этого комитета отчет«S. 3904 гарантирует, что CISA и HHS координируют свои действия для предоставления соответствующих ресурсов здравоохранению и организациям сектора общественного здравоохранения для предотвращения, обнаружения и реагирования на киберинциденты.

«Это включает в себя разработку продуктов для отраслевых организаций, обмен информацией и проведение обучения по кибербезопасности для владельцев и операторов отраслевых активов. Кроме того, законопроект требует, чтобы HHS обновлял отраслевой план здравоохранения и общественного здравоохранения, последний раз обновленный в 2015 году, в течение одного года после принятия. .”

Комитет заявил, что согласен с Бюджетным управлением Конгресса в том, что законопроект «не содержит межправительственных или частных мандатов, как это определено в Законе о реформе нефинансируемых мандатов, и не будет возлагать никаких расходов на правительства штатов, местные органы власти или правительства племен».

Представитель Джейсон Кроу, штат Колорадо, также представил сопутствующую версию HR8806 в сентябре, но до сих пор не предпринимал никаких действий. В том же месяце офис Кроу сообщил Медицинские ИТ-новости что Розен возглавит финансирование предложения в Законе об ассигнованиях на национальную оборону на 23 финансовый год.

Однако краткое изложение окончательного NDAA на веб-сайте комитета Палаты представителей по вооруженным силам не упоминает о финансировании CISA или HHS в области кибербезопасности и защиты данных здравоохранения.

В ЗАПИСИ

«Мы должны быстро обнаруживать злоумышленников, инциденты и уязвимости и обеспечивать своевременное смягчение последствий до того, как будет нанесен ущерб», — заявили в CISA. «Мы должны помочь организациям, особенно тем, которые «богаты целями, бедны ресурсами», предпринимать как можно меньше шагов, чтобы добиться максимального воздействия на безопасность.

«Это общее путешествие и общая задача».

В следующем месяце на форуме HIMSS 2023 Healthcare Cybersecurity Forum будет рассмотрено, как отрасль сегодня укрепляет свою защиту и разрабатывает стратегии на будущее. Это запланировано на 7 и 8 сентября в Бостоне. Узнать больше и зарегистрироваться на HIMSS.org/event-healthcare-cybersecurity-forum.

Андреа Фокс — старший редактор Healthcare IT News.
Электронная почта: [email protected]
Healthcare IT News — это издание HIMSS Media.