Přejít k hlavnímu obsahu

Health-ISAC sdílí průvodce implementací nulové důvěry pro zdravotnické CISO

Výzvy spojené s přijetím bezpečnostního modelu s nulovou důvěrou ve zdravotnictví snižují dva klíčové problémy: rychlý rozvoj zařízení internetu věcí a složitost autentizace vázaná na „roamingovou povahu některých zdravotnických pracovníků“, uvádí se nový bílý papír od Health-ISAC.

Odkaz na článek:

https://www.scmagazine.com/analysis/zero-trust/health-isac-shares-zero-trust-implementation-guide-for-healthcare-cisos

Tyto překážky je třeba vyřešit před přechodem na nulovou důvěru, protože „implementace architektury nulové důvěry není tak jednoduchá, jako jít k jednomu dodavateli a vybrat si řešení z regálu“.

Jak již bylo dříve uvedeno, nulová důvěra je pro zdravotní péči ideální, ale většina organizací poskytovatelů se potýkala se skokem kvůli složitosti systému a dalším překážkám.

Ale vzhledem k tomu, že ministerstvo zdravotnictví a sociálních služeb pokračuje v pokroku v interoperabilitě, která silně závisí na API, adopce s nulovou důvěrou Mělo by být prioritou, aby se nemocnice lépe přizpůsobily rozrůstajícím se sítím.

Identita je „jádro nulové důvěry“, včetně vícefaktorové autentizace, řízení autorizace a „správného poskytování rolí a atributů pro přístup,“ poznamenal Health-ISAC. "Pravidla přístupu musí být co nejpodrobnější, aby umožňovala co nejmenší oprávnění, a všechny subjekty, aktiva a pracovní postupy musí být explicitně ověřeny a autorizovány."

Například nulová důvěra zajišťuje, že zaměstnanci mají přístup pouze k prvkům potřebným k provádění požadovaných pracovních funkcí. Model zajišťuje segmentaci sítě na základě přístupu s nejmenšími oprávněními a poskytuje minimální přístup na základě zásad důvěry přizpůsobených uživateli.

Papír si klade za cíl podpořit vedoucí pracovníky pro informační bezpečnost ve zdravotnictví, aby lépe porozuměli bezpečnosti s nulovou důvěrou a doporučenému přístupu k architektuře modelu k vybudování přístupu ke kybernetické bezpečnosti zaměřeného na identitu.

Health-ISAC poznamenává, že příručka je navržena tak, aby vzdělávala CISO o nulové důvěře a jejím potřebném základu, spolu se základními principy, běžnými problémy migrace s nulovou důvěrou a jak začít s posunem. Průvodce byl napsán pro subjekty všech velikostí a úrovní vyspělosti s nadějí, že tito CISO pochopí důležitost přístupu ke kybernetické bezpečnosti zaměřeného na identitu.

Bezpečnostní lídři najdou definice pro nulovou důvěru, důsledky bezpečnostního modelu a konkrétní kroky k zavedení nulové důvěry v prostředí zdravotní péče. Dokument také přidává komponenty nulové důvěry Health-ISAC Framework pro správu identity povolený v roce 2020.

Rámec byl aktualizován o koncepty nulové důvěryhodnosti a „zahrnuje další ovládací prvky pro poskytování základních prvků architektury nulové důvěryhodnosti“, včetně standardů pro zabezpečení komunikace, monitorování majetku, perimetrů pro udělování přístupu, autorizace na základě zásad a přidávání zařízení do cílových systémů. a zdroje.

CISO ve zdravotnictví mohou tuto příručku využít k posouzení konkrétních problémů, kterým může jejich organizace čelit při pokusu o přijetí modelu. Health-ISAC také požaduje zpětnou vazbu od zainteresovaných stran v oboru.

„Kritéria se mohou na první pohled zdát skličující, ale nakonec povedou k lepší bezpečnosti organizací z dlouhodobého hlediska,“ uzavřel Health-ISAC. "Pryč jsou dny, kdy jsme někoho pustili do předních dveří, dali mu roli s přístupovými právy a pak ho nechali jít svou veselou cestou."

Health-ISAC poskytuje CISO ve zdravotnictví bezpečnostní pokyny s nulovou důvěrou
Identita a nulová důvěra: Průvodce Health-ISAC pro CISO