Gå til hovedindhold

Health-ISAC deler implementeringsvejledning med nul tillid for CISO'er i sundhedssektoren

Udfordringer med at indføre en sikkerhedsmodel med nul tillid i sundhedsvæsenet koger ned to to nøgleproblemer: den hurtige udvidelse af IoT-enheder og autentificeringskompleksiteter knyttet til "roaming-karakteren hos nogle sundhedsarbejdere", ifølge en ny hvidbog fra Health-ISAC.

Link til artiklen:

https://www.scmagazine.com/analysis/zero-trust/health-isac-shares-zero-trust-implementation-guide-for-healthcare-cisos

Disse hindringer skal løses, før du skifter til nul tillid, da "implementering af en nul-tillid-arkitektur ikke er så simpelt som at gå til én leverandør og vælge en løsning fra hylden."

Som tidligere rapporteret, nul tillid er ideel til sundhedspleje, men størstedelen af ​​udbyderorganisationer har kæmpet for at tage springet på grund af systemkompleksiteter og andre vejspærringer.

Men da Department of Health and Human Services fortsætter med at gøre fremskridt i interoperabilitet, som i høj grad er afhængig af API'er, nul-tillid vedtagelse bør være en prioritet, for at hospitalerne bedre kan tilpasse sig spredte netværk.

Identitet er "kernen af ​​nul tillid", herunder multi-faktor autentificering, godkendelsesstyring og "korrekt levering af roller og attributter til adgang," bemærkede Health-ISAC. "Adgangsregler skal være så detaljerede som muligt for at muliggøre mindst privilegium, og alle emner, aktiver og arbejdsgange skal være eksplicit godkendt og godkendt."

For eksempel sikrer nul tillid, at medarbejderne kun har adgang til elementer, der er nødvendige for at udføre deres påkrævede jobfunktioner. Modellen sikrer, at netværket er segmenteret baseret på mindst privilegeret adgang, hvilket giver minimal adgang baseret på tillidspolitikker, der er skræddersyet til brugeren.

Papiret har til formål at støtte informationssikkerhedschefer i sundhedsvæsenet til bedre at forstå nul-tillidssikkerhed og den anbefalede tilgang til modellens arkitektur for at opbygge en identitetscentreret tilgang til cybersikkerhed.

Health-ISAC bemærker, at vejledningen er designet til at uddanne CISO'er om nul tillid og dets nødvendige grundlag, sammen med grundlæggende principper, fælles udfordringer for nul-tillid migrationer og hvordan man starter skiftet. Vejledningen er skrevet til enheder af alle størrelser og modenhedsniveauer med håb om, at disse CISO'er vil forstå vigtigheden af ​​en identitetscentreret tilgang til cybersikkerhed.

Sikkerhedsledere vil finde en definition på nul tillid, implikationer af sikkerhedsmodellen og specifikke trin til implementering af nul tillid i sundhedsmiljøet. Papiret tilføjer også nul tillidskomponenter til Health-ISAC-ramme for håndtering af identitet frigivet i 2020.

Rammen er blevet opdateret med nul-tillidskoncepter og "inkorporerer yderligere kontroller for at levere kerneelementer i en nul-tillidsarkitektur", herunder standarder for sikring af kommunikation, aktivovervågning, perimeter for tildeling af adgang, politikbaseret godkendelse og tilføjelse af enheder til målsystemer og ressourcer.

CISO'er i sundhedssektoren kan bruge guiden til at vurdere de specifikke udfordringer, deres organisation kan stå over for i forsøget på at adoptere modellen. Health-ISAC anmoder også om feedback fra industriens interessenter.

"Kriterierne kan virke skræmmende i starten, men vil i sidste ende føre til bedre sikkerhed for organisationerne på lang sigt," konkluderede Health-ISAC. "De dage er forbi med at lukke nogen ind ad hoveddøren, give dem en rolle med adgangsrettigheder og derefter få dem til at gå deres glade vej."

Health-ISAC giver Zero Trust-sikkerhedsvejledning til sundheds-CISO'er
Identitet og nul tillid: En Health-ISAC-vejledning for CISO'er