تتلخص التحديات المرتبطة بتبني نموذج أمان الثقة الصفرية في الرعاية الصحية في قضيتين رئيسيتين: التوسع السريع لأجهزة إنترنت الأشياء وتعقيدات المصادقة المرتبطة "بطبيعة التجوال لبعض العاملين في مجال الرعاية الصحية"، وفقًا لدراسة أجرتها مؤسسة "إنتربرايز" في عام 2012. مستند تقني جديد من Health-ISAC.
رابط المقال:
https://www.scmagazine.com/analysis/zero-trust/health-isac-shares-zero-trust-implementation-guide-for-healthcare-cisos
ولابد من معالجة هذه العقبات قبل التحول إلى الثقة الصفرية، لأن "تنفيذ بنية الثقة الصفرية ليس بالأمر البسيط مثل الذهاب إلى بائع واحد واختيار حل جاهز".
كما ذكرت سابقاإن مبدأ الثقة الصفرية هو الحل المثالي للرعاية الصحية، ولكن أغلب منظمات تقديم الخدمات واجهت صعوبة في تحقيق هذه القفزة بسبب تعقيدات النظام وغيرها من العوائق.
ولكن مع استمرار وزارة الصحة والخدمات الإنسانية في إحراز تقدم كبير في التشغيل البيني، والذي يعتمد بشكل كبير على واجهات برمجة التطبيقات، اعتماد مبدأ الثقة الصفرية يجب أن يكون هذا الأمر أولوية حتى تتمكن المستشفيات من التكيف بشكل أفضل مع الشبكات المترامية الأطراف.
وأشارت منظمة Health-ISAC إلى أن الهوية هي "جوهر الثقة الصفرية"، بما في ذلك المصادقة متعددة العوامل، وحوكمة التفويض، و"التزويد المناسب للأدوار والسمات اللازمة للوصول". "يجب أن تكون قواعد الوصول دقيقة قدر الإمكان لتمكين أقل قدر من الامتيازات، ويجب مصادقة وتفويض جميع الكائنات والأصول وسير العمل بشكل صريح".
على سبيل المثال، تضمن الثقة الصفرية أن الموظفين لديهم فقط إمكانية الوصول إلى العناصر اللازمة لأداء وظائفهم المطلوبة. ويضمن النموذج تقسيم الشبكة على أساس أقل قدر من امتيازات الوصول، مما يوفر الحد الأدنى من الوصول بناءً على سياسات الثقة المصممة خصيصًا للمستخدم.
ورقة يهدف إلى دعم مسؤولي أمن المعلومات الرئيسيين في مجال الرعاية الصحية لفهم أمن الثقة الصفرية بشكل أفضل والنهج الموصى به لهندسة النموذج لبناء نهج يركز على الهوية للأمن السيبراني.
وتشير Health-ISAC إلى أن الدليل مصمم لتثقيف مسؤولي أمن المعلومات حول الثقة الصفرية والأساس المطلوب لها، إلى جانب المبادئ الأساسية والتحديات الشائعة للهجرة إلى الثقة الصفرية وكيفية بدء التحول. وقد كُتب الدليل للكيانات من جميع الأحجام ومستويات النضج على أمل أن يفهم هؤلاء المسؤولون أهمية النهج الذي يركز على الهوية في مجال الأمن السيبراني.
وسوف يجد قادة الأمن تعريف الثقة الصفرية، والآثار المترتبة على نموذج الأمان، والخطوات المحددة لتنفيذ الثقة الصفرية داخل بيئة الرعاية الصحية. وتضيف الورقة أيضًا مكونات الثقة الصفرية إلى إطار عمل Health-ISAC لإدارة الهوية صدر في 2020.
تم تحديث الإطار بمفاهيم الثقة الصفرية و"دمج عناصر تحكم إضافية لتقديم العناصر الأساسية لهندسة الثقة الصفرية"، بما في ذلك معايير تأمين الاتصالات، ومراقبة الأصول، والمحيطات لمنح الوصول، والتفويض القائم على السياسات، وإضافة أجهزة إلى أنظمة وموارد الهدف.
يمكن لمسؤولي أمن المعلومات في قطاع الرعاية الصحية الاستفادة من الدليل لتقييم التحديات المحددة التي قد تواجهها مؤسستهم في محاولة تبني النموذج. كما تطلب Health-ISAC أيضًا ملاحظات من أصحاب المصلحة في الصناعة.
واختتمت Health-ISAC قائلة: "قد تبدو المعايير صعبة في البداية، ولكنها في نهاية المطاف ستؤدي إلى تحسين الأمن بالنسبة للمنظمات على المدى الطويل. لقد ولت أيام السماح لشخص ما بالدخول من الباب الأمامي، ومنحه دورًا يتمتع بامتيازات الوصول ثم تركه يمضي في طريقه".
