ABD Sağlık ve İnsani Hizmetler Bakanlığı, elektronik korumalı sağlık bilgilerinin (PHI) korunmasına yönelik temel siber güvenlik gerekliliklerini güçlendirmek amacıyla Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası güvenlik kuralında büyük bir revizyon yapmayı planlıyor. önerilen değişikliklerdergisinde yayımlanacak olan Federal Kayıt 6 Ocak’ta yürürlüğe girecek olan yasa, sağlık kuruluşlarının ve kapsam dahilindeki diğer kuruluşların, çok faktörlü kimlik doğrulama ve gelişmiş şifreleme gereklilikleri gibi güvenlik kontrollerini uygulamasını zorunlu kılacak.

Teklif, HIPAA’da bugüne kadar yapılan en önemli değişiklikleri açıklamaktadır. Güvenlik kuralı en son 2013 yılında revize edildi. tehdit ortamı HHS Sivil Haklar Ofisi, şu anda durumun on yıldan fazla bir süre öncesine göre farklı olduğunu ve sağlık kuruluşlarına yönelik ihlallerin 2018 ile 2023 arasında %102 arttığını söyledi. ifade. 2023 yılında, 2018’e göre %1.002 artışla 167 milyonun üzerinde insanın sağlık bilgileri ele geçirildi.

HIPAA’da Önerilen Değişiklikler

Değişiklikler sağlık planları, sağlık hizmeti takas odaları, sağlık sağlayıcıları, sağlık tesisleri, sigorta şirketleri ve iş ortakları için geçerli olacak.

Yazılı Her Şey: Tüm politikaların, prosedürlerin, planların ve analizlerin yazılı olması gerekecektir. Bu aynı zamanda yazılı müdahale gibi daha güçlü olay müdahale prosedürlerinin geliştirilmesi için de geçerlidir. olay müdahale planları ve test planları ile bilgi sistemlerini ve verileri 72 saat içinde geri yükleyebilmek için yazılı prosedürler.

Varlık Envanteri: Sağlık kuruluşlarının, korunan sağlık bilgilerinin (PHI) çeşitli sistemler arasındaki hareketini izlemek için güncel bir teknoloji varlığı envanteri ve ağ haritası geliştirmesi ve düzenli olarak sürdürmesi gerekecektir.

Risk Analizi: Sağlık kuruluşları güvenlik riski analizinde o kadar da iyi değil. Önerilen değişiklikler, teknoloji varlık envanterinin ve ağ haritasının gözden geçirilmesini içeren yazılı değerlendirmeler, PHI’ye yönelik tüm potansiyel tehditlerin belirlenmesi ve her tehdit ve güvenlik açığı için risk düzeyinin değerlendirilmesi gibi güvenlik riski analizinin nasıl yürütüleceğine ilişkin daha fazla ayrıntıyı içermektedir.

Güvenlik Kontrollerini Uygulayın: Sağlık kuruluşlarının, sağlık sistemlerinin tehlikeye atılmasını veya veri ihlallerini zorlaştırmak için çok faktörlü kimlik doğrulama ve ağ bölümlendirme kullanması gerekecek. Tüm PHI’ların hem bekleme sırasında hem de aktarım sırasında şifrelenmesi gerekecektir; bu, şifrelemenin artık isteğe bağlı olmadığı konusundaki fikir birliğini yansıtmaktadır. PHI işleyen sistemler için güvenlik ekiplerinin her altı ayda bir güvenlik açıklarını taraması, yılda en az bir kez sızma testleri gerçekleştirmesi, kötü amaçlı yazılımdan koruma savunmaları kurması ve sistemlerden yabancı yazılımları kaldırması gerekecektir. Bu gereksinimler, bunların önerilen faaliyetlerden her kuruluşun karşılaması gereken minimum güvenlik temel çizgisine nasıl ilerlediğini göstermektedir.

Kuruluşların, bu teknik kontrollerin uygulandığından emin olmak için en az 12 ayda bir uygunluk denetimi yapması ve önlemlerin en az 12 ayda bir uygulandığını yazılı bir sertifikayla kanıtlaması gerekecektir.

Siber ve gelişen teknolojilerden sorumlu ulusal güvenlik danışman yardımcısı Anne Neuberger, bir toplantı sırasında şunları söyledi: 27 Aralık basın toplantısı Güvenlik kuralındaki değişikliklerin ilk yılda yaklaşık 9 milyar dolara, ikinci ila beşinci yıllar arasında ise 6 milyar dolara mal olacağı belirtildi. Neuberger, “Harekete geçmemenin maliyeti sadece yüksek değil, aynı zamanda kritik altyapıyı ve hasta güvenliğini de tehlikeye atıyor ve başka zararlı sonuçlar da taşıyor” dedi.

Paydaşların yorumlarını sunmak için yaklaşık 400 sayfalık teklifin yayınlanmasından sonra 60 günü var (Mart 2025 başı). Henüz belirli bir tarih belirlenmemiş olsa da HHS, kuralın nihai versiyonunu daha sonra yayınlayacak ve ardından 180 günlük bir uyum tarihi gelecek. Güvenlik kuralında değişiklik yapılmasına yönelik çalışmaların yeni başkanlık yönetimi altında devam edip etmeyeceği de belli değil. Öyle olsa bile, sağlık kuruluşları önerilen gereksinimleri gözden geçirmeli ve potansiyel değişikliklere hazırlanmak için mevcut güvenlik programlarını değerlendirmelidir.

06 Şubat 2024Haber odasıGüvenlik Açığı / Bulut Güvenliği

Azure HDInsight’ın Apache’sinde üç yeni güvenlik açığı keşfedildi Hadoop, Kafka’nınVe Kıvılcım Ayrıcalık yükseltme ve düzenli ifade hizmet reddi elde etmek için yararlanılabilecek hizmetler (YenidenDoS) durum.

Orca güvenlik araştırmacısı Lidor Ben Shitrit, “Yeni güvenlik açıkları, Apache Ambari ve Apache Oozie gibi Azure HDInsight hizmetlerinin kimliği doğrulanmış tüm kullanıcılarını etkiliyor” dedi söz konusu The Hacker News ile paylaşılan teknik bir raporda.

Kusurların listesi aşağıdaki gibidir:

• CVE-2023-36419 (CVSS puanı: 8,8) – Azure HDInsight Apache Oozie İş Akışı Zamanlayıcı XML Harici Varlık (XXE) Ekleme Ayrıcalık Yükselmesi Güvenlik Açığı
• CVE-2023-38156 (CVSS puanı: 7,2) – Azure HDInsight Apache Ambari Java Veritabanı Bağlantısı (JDBC) Ayrıcalık Yükseltilmesi Güvenlik Açığı
• Azure HDInsight Apache Oozie Normal İfade Hizmet Reddi (ReDoS) Güvenlik Açığı (CVE yok)

Bu iki ayrıcalık yükseltme kusuru, hedef HDI kümesine erişimi olan kimliği doğrulanmış bir saldırgan tarafından, özel hazırlanmış bir ağ isteği göndermek ve küme yöneticisi ayrıcalıkları kazanmak için kullanılabilir.

XXE kusuru, kök düzeyinde dosya okumaya ve ayrıcalık yükseltmeye izin veren kullanıcı girişi doğrulama eksikliğinin bir sonucudur; JDBC enjeksiyon kusuru ise kök olarak bir ters kabuk elde etmek için silah haline getirilebilir.

“Apache Oozie’deki ReDoS güvenlik açığı, uygun giriş doğrulama ve kısıtlama uygulama eksikliğinden kaynaklandı ve bir saldırganın çok çeşitli eylem kimlikleri talep etmesine ve yoğun bir döngü işlemine neden olarak hizmet reddine (DoS) yol açmasına izin verdi. ,” Ben Shitrit açıkladı.

ReDoS güvenlik açığının başarılı bir şekilde kullanılması, sistem operasyonlarında kesintiye neden olabilir, performansın düşmesine neden olabilir ve hizmetin hem kullanılabilirliğini hem de güvenilirliğini olumsuz yönde etkileyebilir.

Sorumlu açıklamanın ardından Microsoft, şu düzeltmelerin bir parçası olarak düzeltmeleri kullanıma sundu: güncellemeler 26 Ekim 2023’te yayınlandı.

Bu gelişme, Orca’nın açık kaynak analitik hizmetinde veri erişimi, oturumun ele geçirilmesi ve kötü amaçlı yüklerin dağıtılması için kullanılabilecek sekiz kusurdan oluşan bir koleksiyonu ayrıntılı olarak açıklamasından yaklaşık beş ay sonra gerçekleşti.

Aralık 2023’te Orca da vurgulanmış Apache Hadoop Dağıtılmış Dosya Sisteminde (HDFS) herhangi bir kimlik doğrulaması olmadan herhangi bir veriye erişmek için kaynak oluştururken Apache Hadoop’un web arayüzlerindeki ve varsayılan ayarlarındaki güvenlik kontrollerinin eksikliğinden yararlanan Google Cloud Dataproc kümelerini etkileyen bir “potansiyel kötüye kullanım riski”.

Ubisoft Plus Abonelik Direktörü Philippe Tremblay, popüler abonelik hizmetlerinin yakın zamanda yenilenmesinin ardından, video oyunlarının değişen manzarasını ve bunların sunulduğu ortamları tartışmak üzere bir röportaj için bir araya geldi. dijitale geçiyorlar ve oyunlarına sahip olmaktan vazgeçiyorlar.

Söz konusu röportaj, Tremblay’e yeni Ubisoft Plus Premium aboneliği ve bunun Ubisoft’un geleceği açısından ne anlama geldiği hakkında konuşan GamesIndustry.biz tarafından gerçekleştirildi. Tremblay, insanların abonelikleriyle nasıl etkileşim kurduğuna dair çok şey söyledi:

Tüketici davranışına ve insanların teklifimizle nasıl etkileşim kurduğuna baktık ve gelişmemiz için bir fırsat gördük. Oyuncuların farklı oyunlarımızla nasıl etkileşim kurduğuna baktığımızda arka kataloğumuzun hala çok aktif ve canlı olduğunu görüyoruz. Böylece bu dünyaları tüketicilerimize daha düşük bir ücret karşılığında sunma fırsatını gördük. Bu da oyunculardan gördüğümüz davranışlara bir yanıt.

Birden fazla davranış var. Kesinlikle bir oyun için gelen ve daha sonra onu satın almaya karar veren birçok insan var. [the subscription ends]. Bu gerçeğin bir parçası ve bizim için sorun değil.

Tremblay’e göre yeni modelleri, görünüşe göre daha önce ürünlerine dokunmayan yeni oyuncuları getiriyor. Artık yalnızca Ubisoft’un kütüphanesinin abonelik kısmıyla ilgilenen çok sayıda oyuncu var. Bu, oynamak istedikleri oyunları doğrudan satın almanın yeni bir alternatifi ve birçok insan için işe yarıyor.

Bir oyunu sahip olmadan oynama fikri, Tremblay’in oyun oynamanın normu haline geleceği konusunda ısrar ediyor. Fiziksel medyayı elinde tutanlara sempati duyduğunu ifade ederken, aynı zamanda sahip olma zamanının hızla tükendiğini de söylüyor:

Gördüğümüz şeylerden biri de oyuncuların, biraz DVD gibi, oyunlarına sahip olmaya ve sahip olmaya alışkın olmaları. Gerçekleşmesi gereken tüketici değişimi budur. CD koleksiyonlarına veya DVD koleksiyonlarına sahip olmama konusunda rahatladılar. Bu gerçekleşmesi biraz daha yavaş olan bir dönüşüm [in games]. Oyuncular bu konuda rahatlaştıkça ilerlemenizi kaybetmezsiniz. Oyununuza başka bir zamanda devam ederseniz ilerleme dosyanız hâlâ oradadır. Bu silinmedi. Oyunda oluşturduklarınızı veya oyuna olan bağlılığınızı kaybetmezsiniz. Yani bu, oyununuza sahip olmama konusunda kendinizi rahat hissetmenizle ilgilidir.

Hala iki kutu DVD’m var. Bu konuda oyuncuların bakış açısını kesinlikle anlıyorum. Ancak insanlar bu modeli benimsedikçe bu oyunların var olacağını, hizmetin devam edeceğini ve istediğiniz zaman bunlara erişebileceğinizi görecekler. Bu güven verici.

Tremblay haksız değil. Hem Microsoft’un hem de PlayStation’ın tamamen dijital konsollar satmaya başladığını zaten gördük. Oyun akışı aynı zamanda Amazon, Microsoft, Netflix ve daha fazlası gibi çok sayıda şirketin de çabası olmuştur. Fiziksel medyayı bir bütün olarak eritme yönünde oldukça istikrarlı bir ilerleme içerisindeyiz. Fiziksel kitaplığınızın vinil koleksiyonuna benzemeyen bir statü kazanması çok uzun sürmeyecek.

Ubisoft Plus’ın geleceğinin nereye varacağını görmek için yakından izliyoruz. Gelişmelerden haberdar olmak için MP1’de bizi takip etmeye devam edin.

Kaynak: GamesIndustry.biz

Daha Fazla MP1. Okuma