Hopp til hovedinnhold

Health-ISAC deler implementeringsveiledning for null tillit for CISOer for helsetjenester

Utfordringer med å ta i bruk en null tillitssikkerhetsmodell i helsevesenet koker ned to to hovedproblemer: den raske utvidelsen av IoT-enheter og autentiseringskompleksiteten knyttet til «roaming-naturen til enkelte helsearbeidere», ifølge en nytt hvitt papir fra Health-ISAC.

Link til artikkel:

https://www.scmagazine.com/analysis/zero-trust/health-isac-shares-zero-trust-implementation-guide-for-healthcare-cisos

Disse hindringene må løses før du skifter til null tillit, siden "implementering av en null tillitsarkitektur ikke er så enkelt som å gå til én leverandør og velge en løsning fra hyllevare."

Som tidligere rapportert, null tillit er ideelt for helsetjenester, men flertallet av leverandørorganisasjoner har slitt med å ta steget på grunn av systemkompleksitet og andre veisperringer.

Men ettersom Department of Health and Human Services fortsetter å gjøre fremskritt i interoperabilitet, som er sterkt avhengig av APIer, null-tillit adopsjon bør prioriteres for at sykehusene bedre skal kunne tilpasse seg spredte nettverk.

Identitet er «kjernen i null tillit», inkludert multifaktorautentisering, autorisasjonsstyring og «riktig tildeling av roller og attributter for tilgang», bemerket Health-ISAC. "Tilgangsregler må være så detaljerte som mulig for å gi minst mulig privilegier, og alle emner, eiendeler og arbeidsflyter må være eksplisitt autentisert og autorisert."

For eksempel sikrer null tillit at ansatte kun har tilgang til elementer som er nødvendige for å utføre de nødvendige jobbfunksjonene. Modellen sikrer at nettverket er segmentert basert på minst privilegert tilgang, og gir minimal tilgang basert på tillitspolicyer skreddersydd for brukeren.

Avisen har som mål å støtte sjefer for informasjonssikkerhet i helsevesenet for å bedre forstå null-tillit-sikkerhet og den anbefalte tilnærmingen til modellens arkitektur for å bygge en identitetssentrisk tilnærming til cybersikkerhet.

Health-ISAC bemerker at veiledningen er utformet for å utdanne CISOer om null tillit og dets nødvendige grunnlag, sammen med grunnleggende prinsipper, vanlige utfordringer for null-tillit-migrasjoner og hvordan man starter skiftet. Veiledningen ble skrevet for enheter av alle størrelser og modenhetsnivåer med håp om at disse CISO-ene vil forstå viktigheten av en identitetssentrisk tilnærming til cybersikkerhet.

Sikkerhetsledere vil finne en definisjon for null tillit, implikasjoner av sikkerhetsmodellen og spesifikke trinn for å implementere null tillit i helsemiljøet. Papiret legger også til null tillitskomponenter til Helse-ISAC-rammeverk for håndtering av identitet utgitt i 2020.

Rammeverket er oppdatert med null-tillit-konsepter og "inkorporerer tilleggskontroller for å levere kjerneelementer i en null-tillit-arkitektur," inkludert standarder for sikring av kommunikasjon, aktivaovervåking, perimeter for å gi tilgang, policy-basert autorisasjon og å legge til enheter til målsystemer og ressurser.

CISOer for helsetjenester kan bruke veiledningen til å vurdere de spesifikke utfordringene deres organisasjon kan møte i forsøk på å ta i bruk modellen. Health-ISAC ber også om tilbakemelding fra industriens interessenter.

– Kriteriene kan virke skremmende i begynnelsen, men vil til slutt føre til bedre sikkerhet for organisasjonene på lang sikt, konkluderte Health-ISAC. "Dagen er borte med å slippe noen inn inngangsdøren, gi dem en rolle med tilgangsprivilegier og deretter få dem til å gå sin glade vei."

Health-ISAC gir Zero Trust-sikkerhetsveiledning til CISOer for helsetjenester
Identitet og null tillit: En helse-ISAC-veiledning for CISOer