Health-ISAC dijeli vodič za implementaciju bez povjerenja za zdravstvene CISO
Izazovi s usvajanjem sigurnosnog modela nultog povjerenja u zdravstvu svode se na dva ključna problema: brzu ekspanziju IoT uređaja i složenosti autentifikacije povezane s "roaming prirodom nekih zdravstvenih radnika", prema novi bijeli papir iz Health-ISAC-a.
Veza na članak:
Ove se prepreke moraju riješiti prije prijelaza na nulto povjerenje, jer "implementacija arhitekture nultog povjerenja nije tako jednostavna kao odlazak do jednog dobavljača i odabir rješenja s police."
Kao što smo ranije izvijestili, nulto povjerenje je idealno za zdravstvenu skrb, ali većina organizacija pružatelja usluga borila se da napravi skok zbog složenosti sustava i drugih prepreka.
Ali kako Ministarstvo zdravstva i društvenih usluga nastavlja napredovati u interoperabilnosti, koja se uvelike oslanja na API-je, usvajanje bez povjerenja trebao biti prioritet kako bi se bolnice bolje prilagodile raširenim mrežama.
Identitet je "jezgra nultog povjerenja", uključujući autentifikaciju s više faktora, upravljanje autorizacijom i "odgovarajuće pružanje uloga i atributa za pristup", istaknuo je Health-ISAC. "Pravila pristupa moraju biti što preciznija kako bi se omogućila najmanja privilegija, a svi subjekti, sredstva i tijek rada moraju biti izričito autentificirani i autorizirani."
Na primjer, nulto povjerenje osigurava da zaposlenici imaju pristup samo elementima koji su potrebni za obavljanje potrebnih radnih funkcija. Model osigurava da je mreža segmentirana na temelju pristupa s najmanjim privilegijama, pružajući minimalan pristup na temelju politika povjerenja prilagođenih korisniku.
Papir ima za cilj podržati glavne službenike za informacijsku sigurnost u zdravstvu da bolje razumiju sigurnost bez povjerenja i preporučeni pristup arhitekturi modela za izgradnju pristupa kibersigurnosti usmjerenog na identitet.
Health-ISAC napominje da je vodič osmišljen kako bi educirao CISO-e o nultom povjerenju i njegovoj potrebnoj osnovi, zajedno s osnovnim načelima, uobičajenim izazovima za migracije bez povjerenja i kako započeti promjenu. Vodič je napisan za subjekte svih veličina i razina zrelosti s nadom da će ti CISO-ovi razumjeti važnost pristupa kibernetičkoj sigurnosti usmjerenog na identitet.
Čelnici sigurnosti će pronaći definicija za nulto povjerenje, implikacije sigurnosnog modela i konkretne korake za implementaciju nultog povjerenja unutar zdravstvenog okruženja. Dokument također dodaje komponente nultog povjerenja Health-ISAC okvir za upravljanje identitetom objavljen 2020.
Okvir je ažuriran konceptima nultog povjerenja i "uključuje dodatne kontrole za isporuku temeljnih elemenata arhitekture nultog povjerenja", uključujući standarde za osiguranje komunikacija, nadzor imovine, perimetre za odobravanje pristupa, autorizaciju temeljenu na pravilima i dodavanje uređaja ciljnim sustavima i resursa.
Zdravstveni CISO-ovi mogu iskoristiti vodič za procjenu specifičnih izazova s kojima se njihova organizacija može suočiti u pokušaju usvajanja modela. Health-ISAC također traži povratne informacije od zainteresiranih strana u industriji.
"Kriteriji se u početku mogu činiti zastrašujućima, ali će u konačnici dugoročno dovesti do bolje sigurnosti za organizacije", zaključio je Health-ISAC. "Prošli su dani kad smo nekoga pustili na ulazna vrata, dali mu ulogu s privilegijama pristupa i onda ga pustili da ide svojim veselim putem."
- Povezani izvori i vijesti
- Bolnica u Massachusettsu odbija kola hitne pomoći nakon kibernetičkog napada
- Podcast: Phil Englert o kibernetičkoj sigurnosti medicinskih uređaja
- Insajderska prijetnja ponovno raste
- 'Propuštena prilika': Odsutnost američke vlade s konferencije RSAC ostavlja veliku prazninu
- Health-ISAC Hacking Healthcare 3
- Health-ISAC Hacking Healthcare 3
- Mjesečni bilten Health-ISAC-a – travanj 2026.
- Izvješće nakon akcije: Serija vježbi otpornosti Health-ISAC 2025.
- Zašto je uloga Microsoft Intunea u Strykerovom kibernetičkom napadu zastrašujuća
- Guverner Teksasa naredio je državnu reviziju medicinske tehnologije proizvedene u Kini