Pääsisältö

Health-ISAC jakaa nollaluottamuksen käyttöönottooppaan terveydenhuollon CISO:ille

Terveydenhuollon nollaluottamusturvamallin omaksumiseen liittyvät haasteet tiivistävät kaksi avainongelmaa: IoT-laitteiden nopea laajeneminen ja autentikoinnin monimutkaisuus, joka liittyy "joidenkin terveydenhuollon työntekijöiden roaming-luonteeseen". uusi valkoinen paperi Health-ISAC:lta.

Linkki artikkeliin:

https://www.scmagazine.com/analysis/zero-trust/health-isac-shares-zero-trust-implementation-guide-for-healthcare-cisos

Nämä esteet on ratkaistava ennen kuin siirrytään nollaluottamukseen, sillä "nollaluottamusarkkitehtuurin toteuttaminen ei ole niin yksinkertaista kuin mennä yhdelle toimittajalle ja valita ratkaisu hyllyltä".

Kuten aiemmin ilmoitettiin, nolla luottamus on ihanteellinen terveydenhuoltoon, mutta suurin osa palveluntarjoajista on kamppaillut järjestelmän monimutkaisuuden ja muiden tiesulkujen takia.

Mutta kun terveys- ja henkilöstöpalveluministeriö jatkaa edistysaskeleita yhteentoimivuudessa, joka perustuu vahvasti sovellusliittymiin, nollaluottamuksen hyväksyminen pitäisi olla ensisijainen tavoite, jotta sairaalat voivat mukautua paremmin hajaantuviin verkkoihin.

Identiteetti on "nollaluottamuksen ydin", mukaan lukien monitekijäinen todennus, valtuutuksen hallinta ja "roolien ja attribuuttien asianmukainen määrittäminen pääsyä varten", Health-ISAC huomautti. "Käyttöoikeussääntöjen on oltava mahdollisimman tarkkoja, jotta ne mahdollistavat vähiten oikeudet, ja kaikki aiheet, resurssit ja työnkulut on nimenomaisesti todennettu ja valtuutettu."

Esimerkiksi nolla luottamus varmistaa, että työntekijöillä on pääsy vain niihin elementteihin, joita tarvitaan heidän vaadittujen työtehtäviensä suorittamiseen. Malli varmistaa, että verkko on segmentoitu vähiten käyttöoikeuksien perusteella, mikä tarjoaa minimaalisen pääsyn käyttäjälle räätälöityjen luottamuskäytäntöjen perusteella.

Paperi Tavoitteena on tukea terveydenhuollon tietoturvajohtajia ymmärtämään paremmin nollaluottamusta koskevaa turvallisuutta ja suositeltua lähestymistapaa mallin arkkitehtuuriin identiteettikeskeisen lähestymistavan rakentamiseksi kyberturvallisuuteen.

Health-ISAC huomauttaa, että opas on suunniteltu kouluttamaan CISO:ita nollaluottamuksesta ja sen tarvittavasta perustasta sekä perusperiaatteista, nollaluottamuksesta siirtymisen yhteisistä haasteista ja muutoksen aloittamisesta. Opas on kirjoitettu kaikenkokoisille ja -tasoisille tahoille toivoen, että nämä CISO:t ymmärtäisivät identiteettikeskeisen lähestymistavan merkityksen kyberturvallisuudessa.

Turvallisuusjohtajat löytävät määritelmä nollaluottamukselle, turvallisuusmallin vaikutukset ja erityiset toimet nollaluottamuksen toteuttamiseksi terveydenhuoltoympäristössä. Paperi lisää myös nollaluottamuskomponentteja Health-ISAC Framework for Managing identiteetin julkaistiin vuonna 2020.

Kehys on päivitetty nollaluottamuskonsepteilla ja "sisällyt ylimääräisiä ohjausobjekteja nollaluottamusarkkitehtuurin ydinelementtien tuottamiseksi", mukaan lukien standardit viestinnän turvaamiseen, omaisuuden valvontaan, käyttöoikeuksien myöntämiseen, käytäntöihin perustuvaan valtuutukseen ja laitteiden lisäämiseen kohdejärjestelmiin. ja resursseja.

Terveydenhuollon CISO:t voivat hyödyntää opasta arvioidakseen erityisiä haasteita, joita niiden organisaatio voi kohdata yrittäessään ottaa mallia käyttöön. Health-ISAC pyytää myös palautetta alan sidosryhmiltä.

"Kriteerit saattavat aluksi tuntua pelottavilta, mutta lopulta johtavat organisaatioiden parempaan turvallisuuteen pitkällä aikavälillä", Health-ISAC totesi. "Takana ovat ne ajat, jolloin joku päästettiin etuovesta sisään, annettiin rooli pääsyoikeuksin ja sitten heidät laitettiin jatkamaan iloistaan."

Health-ISAC tarjoaa nollaluottamusta koskevia turvallisuusohjeita terveydenhuollon CISO:ille
Identiteetti ja nolla luottamus: Terveys-ISAC-opas CISO:lle