Áskoranir sem fylgja því að taka upp núlltraustsöryggislíkan í heilsugæslu sjóða niður tvö tvö lykilatriði: hraðri stækkun IoT tækja og auðkenningarflækjustig tengd „reikieðli sumra heilbrigðisstarfsmanna,“ samkvæmt nýtt hvítt blað frá Health-ISAC.
Tengill á grein:
https://www.scmagazine.com/analysis/zero-trust/health-isac-shares-zero-trust-implementation-guide-for-healthcare-cisos
Taka verður á þessum hindrunum áður en farið er yfir í núlltraust, þar sem „að innleiða núlltraustsarkitektúr er ekki eins einfalt og að fara til einn söluaðila og velja lausn úr hillunni.
Eins og áður hefur verið greint frá, núlltraust er tilvalið fyrir heilbrigðisþjónustu en meirihluti þjónustuveitenda hefur átt í erfiðleikum með að ná stökkinu vegna kerfisflækju og annarra vegatálma.
En þar sem heilbrigðis- og mannþjónusturáðuneytið heldur áfram að gera skref í samvirkni, sem byggir mjög á API, núll-traust samþykkt ætti að vera forgangsverkefni til þess að sjúkrahús geti betur aðlagast víðfeðmum netum.
Sjálfsmynd er „kjarni núlltrausts“, þar á meðal fjölþátta auðkenningu, heimildastjórnun og „rétt útvegun hlutverka og eiginleika fyrir aðgang,“ sagði Health-ISAC. „Aðgangsreglur þurfa að vera eins nákvæmar og hægt er til að virkja sem minnst forréttindi og öll viðfangsefni, eignir og verkflæði þurfa að vera beinlínis auðkennd og leyfð.
Til dæmis tryggir núlltraust að starfsmenn hafi aðeins aðgang að þáttum sem nauðsynlegir eru til að sinna nauðsynlegum störfum sínum. Líkanið tryggir að netið sé skipt upp á grundvelli minnstu forréttindaaðgangs, sem veitir lágmarksaðgang byggt á trauststefnu sem er sérsniðin að notandanum.
Pappírinn miðar að því að styðja yfirmenn upplýsingaöryggis í heilbrigðisþjónustu til að skilja betur núlltraustsöryggi og ráðlagða nálgun við arkitektúr líkansins til að byggja upp sjálfsmyndamiðaða nálgun á netöryggi.
Health-ISAC bendir á að handbókin sé hönnuð til að fræða CISO um núlltraust og nauðsynlegan grunn þess, ásamt grunnkenningum, algengum áskorunum við núlltraustsflutninga og hvernig eigi að hefja vaktina. Leiðbeiningin var skrifuð fyrir aðila af öllum stærðum og þroskastigum með von um að þessir CISOs skilji mikilvægi auðkennismiðaðrar nálgunar við netöryggi.
Öryggisleiðtogar munu finna skilgreining á núlltrausti, afleiðingar öryggislíkansins og sérstök skref til að innleiða núlltraust innan heilbrigðisumhverfisins. Blaðið bætir einnig engum traustþáttum við Health-ISAC Framework for Managing Identity kom út árið 2020.
Ramminn hefur verið uppfærður með núlltraustshugtökum og "fella inn viðbótarstýringar til að skila kjarnaþáttum núlltraustsarkitektúrs," þar á meðal staðla fyrir öryggi fjarskipta, eignaeftirlit, jaðar til að veita aðgang, stefnumiðaða heimild og bæta tækjum við markkerfi og auðlindir.
CISOs í heilbrigðisþjónustu geta nýtt sér leiðbeiningarnar til að meta þær sérstakar áskoranir sem fyrirtæki þeirra geta staðið frammi fyrir þegar reynt er að tileinka sér líkanið. Health-ISAC óskar einnig eftir viðbrögðum frá hagsmunaaðilum iðnaðarins.
„Viðmiðin kunna að virðast skelfileg í fyrstu en munu á endanum leiða til betra öryggis fyrir samtökin til lengri tíma litið,“ sagði Health-ISAC að lokum. „Dagarnir eru liðnir að hleypa einhverjum inn um útidyrnar, gefa þeim hlutverk með aðgangsréttindum og láta hann síðan fara glaðlega leið sína.
