Skip i'r prif gynnwys

Mae Health-ISAC yn rhannu canllaw gweithredu dim ymddiriedolaeth ar gyfer CISOs gofal iechyd

Mae heriau gyda mabwysiadu model diogelwch dim ymddiriedaeth mewn gofal iechyd yn crynhoi dau ddau fater allweddol: ehangu dyfeisiau IoT yn gyflym a chymhlethdodau dilysu yn gysylltiedig â “natur grwydro rhai gweithwyr gofal iechyd,” yn ôl a papur gwyn newydd oddi wrth Iechyd-ISAC.

Cyswllt i erthygl:

https://www.scmagazine.com/analysis/zero-trust/health-isac-shares-zero-trust-implementation-guide-for-healthcare-cisos

Rhaid mynd i’r afael â’r rhwystrau hyn cyn symud i ddim ymddiriedaeth, gan “nid yw gweithredu pensaernïaeth dim ymddiriedaeth mor syml â mynd at un gwerthwr a dewis datrysiad oddi ar y silff.”

Fel yr adroddwyd yn flaenorol, mae dim ymddiriedaeth yn ddelfrydol ar gyfer gofal iechyd ond mae'r mwyafrif o sefydliadau darparu wedi cael trafferth gwneud y naid oherwydd cymhlethdodau system a rhwystrau ffyrdd eraill.

Ond wrth i'r Adran Iechyd a Gwasanaethau Dynol barhau i wneud cynnydd o ran rhyngweithredu, sy'n dibynnu'n helaeth ar APIs, mabwysiadu dim ymddiriedaeth fod yn flaenoriaeth er mwyn i ysbytai addasu'n well i rwydweithiau gwasgaredig.

Hunaniaeth yw’r “craidd o ddim ymddiriedaeth,” gan gynnwys dilysu aml-ffactor, llywodraethu awdurdodi, a “darparu rolau a phriodoleddau mynediad yn briodol,” nododd Health-ISAC. “Mae angen i reolau mynediad fod mor gronynnog â phosibl i alluogi’r fraint leiaf ac mae angen dilysu ac awdurdodi pob pwnc, ased a llif gwaith yn benodol.”

Er enghraifft, mae dim ymddiriedaeth yn sicrhau mai dim ond yr elfennau sydd eu hangen i gyflawni eu swyddogaethau swydd gofynnol y mae gan weithwyr fynediad iddynt. Mae'r model yn sicrhau bod y rhwydwaith wedi'i rannu'n seiliedig ar y mynediad lleiaf braint, gan ddarparu mynediad lleiaf posibl yn seiliedig ar bolisïau ymddiriedolaeth sydd wedi'u teilwra i'r defnyddiwr.

Y papur ei nod yw cefnogi prif swyddogion diogelwch gwybodaeth ym maes gofal iechyd i ddeall yn well ddiogelwch dim ymddiriedaeth a'r dull a argymhellir ar gyfer pensaernïaeth y model i adeiladu ymagwedd sy'n canolbwyntio ar hunaniaeth at seiberddiogelwch.

Mae Health-ISAC yn nodi bod y canllaw wedi'i gynllunio i addysgu CISOs ar ddim ymddiriedaeth a'i sylfaen angenrheidiol, ynghyd â daliadau sylfaenol, heriau cyffredin i fudiadau dim ymddiriedaeth a sut i ddechrau'r shifft. Ysgrifennwyd y canllaw ar gyfer endidau o bob maint a lefel aeddfedrwydd gyda'r gobaith y bydd y CISOs hyn yn deall pwysigrwydd ymagwedd sy'n canolbwyntio ar hunaniaeth at seiberddiogelwch.

Bydd arweinwyr diogelwch yn dod o hyd diffiniad ar gyfer dim ymddiriedaeth, goblygiadau'r model diogelwch, a chamau penodol i weithredu dim ymddiriedaeth o fewn yr amgylchedd gofal iechyd. Mae'r papur hefyd yn ychwanegu cydrannau sero ymddiriedaeth i'r Fframwaith Iechyd-ISAC ar gyfer Rheoli Hunaniaeth a ryddhawyd ym 2020.

Mae'r fframwaith wedi'i ddiweddaru gyda chysyniadau dim ymddiriedaeth ac “ymgorffori rheolaethau ychwanegol i gyflawni elfennau craidd pensaernïaeth dim ymddiriedaeth,” gan gynnwys safonau ar gyfer sicrhau cyfathrebu, monitro asedau, perimedrau ar gyfer caniatáu mynediad, awdurdodiad yn seiliedig ar bolisi, ac ychwanegu dyfeisiau at systemau targed ac adnoddau.

Gall CISOs gofal iechyd ddefnyddio'r canllaw i asesu'r heriau penodol y gall eu sefydliad eu hwynebu wrth geisio mabwysiadu'r model. Mae Health-ISAC hefyd yn gofyn am adborth gan randdeiliaid y diwydiant.

“Efallai y bydd y meini prawf yn ymddangos yn frawychus ar y dechrau ond yn y pen draw bydd yn arwain at well diogelwch i’r sefydliadau yn y tymor hir,” daeth Health-ISAC i’r casgliad. “Mae dyddiau gadael rhywun yn y drws ffrynt wedi mynd, rhoi rôl iddynt gyda breintiau mynediad ac yna eu cael i fynd o gwmpas eu ffordd lawen.”

Health-ISAC Yn Darparu Canllawiau Diogelwch Dim Ymddiriedolaeth i CISOs Gofal Iechyd
Ymddiriedolaeth Hunaniaeth a Zero: Canllaw Iechyd-ISAC ar gyfer CISOs