제로 트러스트 보안 전략은 의료 CISO가 조직의 보안 아키텍처를 강화하는 데 도움이 될 수 있지만, 고유한 과제 없이는 불가능합니다.
Healthcare IT Security 기사 링크:
https://healthitsecurity.com/news/health-isac-provides-zero-trust-security-guidance-to-healthcare-cisos
By 질 맥키온
31년 2022월 XNUMX일 – 적절하게 구현되면, 제로 트러스트 보안 전략은 의료 기관이 보안 노력을 강화하는 데 도움이 될 수 있습니다. 그러나 이 부문은 IoT 기기와 ID 및 액세스 관리를 둘러싼 고유한 과제에 직면해 있으며, 이는 의료 분야에서 제로 트러스트를 고려할 때 고려할 가치가 있습니다.
새로운 년 백지Health-ISAC은 의료 CISO가 제로 트러스트 보안 전략을 이해하고 구현할 수 있도록 지침을 제공했습니다.
Health-ISAC은 Zero Trust라는 개념이 2021년 이상 존재해 왔지만 최근 몇 년 동안 더욱 인기를 끌었다고 설명했습니다. XNUMX년, 바이든 대통령 발행 국가 사이버 보안의 상태에 대한 행정 명령을 내리고 제로 트러스트 이니셔티브의 중요성을 강조했습니다. 이제 전국의 연방 기관에서 제로 트러스트 아키텍처를 출시하고 있습니다.
또한 Okta의 최근 보고서에 따르면 설문 조사에 참여한 의료 기관의 58%가 제로 트러스트 이니셔티브 구현 올해는 작년의 37%에 비해 증가했습니다. 제로 트러스트 도입이 이처럼 증가한 잠재적 이유는 주로 현재 사이버 위협 환경의 변동성을 지적합니다. 의료 분야는 사이버 위협에 적절히 대응하기 위해 혁신적인 시스템 보안 방법을 채택하고 받아들여야 했습니다.
제로 트러스트에 대한 가장 큰 오해 중 하나는 그것이 단일 전략이나 기술이라는 것입니다. 대신, 제로 트러스트는 모두 동일한 기본 원칙을 따르는 전략의 조합을 말합니다. 즉, 네트워크 경계 내부 또는 외부의 모든 것은 액세스가 허용되기 전에 검증되어야 합니다.
Health-ISAC은 "제로 트러스트는 보안 경계라는 개념을 없애는데, 허가받지 않은 개인이 '신뢰할 수 있는 네트워크'에 액세스하면 경계 제어가 악의적인 활동을 막지 못하기 때문입니다. 제로 트러스트 아키텍처는 데이터 침해를 방지하고 내부 수평 이동을 제한하도록 설계되었습니다."라고 언급했습니다.
"이 모델에서는 모든 트래픽이 신뢰할 수 없으며 경계를 보호하는 대신 사용자를 보호하는 것이 문제입니다. 궁극적으로 목표는 데이터와 서비스에 대한 무단 액세스를 방지하고 액세스 제어 시행을 가능한 한 세분화하는 것입니다."
제로 트러스트 전략은 ID 및 액세스 관리, 클라우드 보안 게이트웨이, 데이터 및 네트워크 보안 고려 사항, 기기 및 애플리케이션 보안을 중심으로 전개됩니다. 조직은 제로 트러스트에 대한 단일 솔루션을 선택하는 대신 다양한 방법을 사용하여 제로 트러스트의 핵심 원칙을 통합해야 합니다.
제로 트러스트 구현은 어떤 조직에게도 쉽지 않지만, 의료 기관은 고유한 사항을 고려해야 합니다.
"병원과 의료 시설에는 네트워크에 수많은 사물 인터넷 기기가 있어 중요한 환자 정보를 보고합니다. 제세동기, 분무기, 산소 펌프 및 기타 모니터링 장비는 모두 모니터링을 위해 다양한 워크스테이션으로 정보를 다시 보내도록 구성되어 있습니다." Health-ISAC이 언급했습니다.
"이러한 장치가 암호화된 채널을 통해 통신할 수 있도록 하고, 장치에 신원을 부여하고, 최신 인벤토리를 유지하는 것은 어려울 수 있지만 궁극적으로는 의료 네트워크를 보호하는 데 도움이 될 것입니다."
Health-ISAC은 IoT 기기를 둘러싼 과제 외에도 의료의 특성상 직원들이 종종 다른 작업 공간이나 기기를 가지고 방에서 방으로 이동해야 한다고 지적했습니다. 그 결과 다중 인증 및 세분화된 권한을 설정하는 것이 어려울 수 있습니다.
그러나 제로 트러스트의 이점은 구현 과제보다 훨씬 더 큽니다. Health-ISAC은 의료 CISO가 조직 내 보안의 현재 상태를 평가하고 이를 제로 트러스트의 핵심 원칙과 일치시키는 것으로 시작하라고 권고했습니다.
예를 들어, 의료 기관은 현재 어떤 인증 표준이 시행되고 있는지, 그리고 제로 트러스트 원칙을 준수하기 위해 어떻게 수정해야 할지 스스로에게 물어봐야 합니다. 또한, 조직은 네트워크에 어떤 장치가 있는지, 그리고 최소 권한 액세스 모델의 대규모 구현을 지원하기 위해 어떤 역할과 책임이 있는지 평가해야 합니다.
"그러면 조직은 현재 기술 공급업체와 대화를 시작하고 제로 트러스트의 핵심 원칙을 충족하고 일부 구성 요소를 구현하는 방법을 알아낼 수 있습니다." Health-ISAC이 결론지었습니다.
"기준은 처음에는 어려울 수 있지만 궁극적으로 장기적으로 조직의 보안을 강화하는 데 도움이 될 것입니다."
