Preskoči na glavno vsebino

Health-ISAC deli vodnik za implementacijo brez zaupanja za zdravstvene CISO

Izzivi pri sprejemanju varnostnega modela ničelnega zaupanja v zdravstvu se nanašajo na dve ključni vprašanji: hitro širjenje naprav interneta stvari in zapletenost avtentikacije, ki je povezana z "naravo gostovanja nekaterih zdravstvenih delavcev", glede na nov bel papir iz Health-ISAC.

Povezava na članek:

https://www.scmagazine.com/analysis/zero-trust/health-isac-shares-zero-trust-implementation-guide-for-healthcare-cisos

Te ovire je treba obravnavati pred prehodom na ničelno zaupanje, saj "implementacija arhitekture ničelnega zaupanja ni tako preprosta, kot če greste k enemu prodajalcu in izberete rešitev s police."

Kot smo že poročali, je ničelno zaupanje idealno za zdravstveno varstvo, vendar se večina organizacij izvajalcev trudi narediti skok zaradi zapletenosti sistema in drugih ovir.

Ker pa Ministrstvo za zdravje in socialne storitve še naprej napreduje na področju interoperabilnosti, ki je močno odvisna od API-jev, posvojitev brez zaupanja bi morala biti prednostna naloga, da bi se bolnišnice bolje prilagodile razvejanim omrežjem.

Identiteta je "jedro ničelnega zaupanja", vključno z večfaktorsko avtentikacijo, upravljanjem avtorizacije in "ustreznim zagotavljanjem vlog in atributov za dostop," je opozoril Health-ISAC. "Pravila dostopa morajo biti čim bolj razdrobljena, da omogočijo najmanj privilegijev, vsi subjekti, sredstva in delovni tokovi pa morajo biti izrecno overjeni in pooblaščeni."

Ničelno zaupanje na primer zagotavlja, da imajo zaposleni dostop samo do elementov, ki so potrebni za opravljanje zahtevanih delovnih nalog. Model zagotavlja, da je omrežje segmentirano na podlagi dostopa z najmanjšimi privilegiji, kar zagotavlja minimalen dostop na podlagi politik zaupanja, prilagojenih uporabniku.

Papir želi podpreti glavne uradnike za informacijsko varnost v zdravstvu pri boljšem razumevanju varnosti brez zaupanja in priporočenega pristopa k arhitekturi modela za izgradnjo pristopa k kibernetski varnosti, osredotočenega na identiteto.

Health-ISAC ugotavlja, da je vodnik zasnovan tako, da izobražuje CISO o ničelnem zaupanju in njegovi potrebni podlagi, skupaj z osnovnimi načeli, pogostimi izzivi pri migracijah brez zaupanja in kako začeti premik. Priročnik je bil napisan za subjekte vseh velikosti in stopenj zrelosti z upanjem, da bodo ti CISO razumeli pomen pristopa k kibernetski varnosti, osredotočenega na identiteto.

Vodje varnosti bodo našli definicija ničelnega zaupanja, posledice varnostnega modela in posebne korake za uvedbo ničelnega zaupanja v zdravstvenem okolju. Članek doda tudi komponente ničelnega zaupanja Health-ISAC okvir za upravljanje identitete izšel leta 2020.

Ogrodje je bilo posodobljeno s koncepti ničelnega zaupanja in "vključuje dodatne kontrole za zagotavljanje osnovnih elementov arhitekture ničelnega zaupanja", vključno s standardi za varovanje komunikacij, spremljanje sredstev, meje za odobritev dostopa, avtorizacijo na podlagi pravilnika in dodajanje naprav v ciljne sisteme in viri.

CISO v zdravstvu lahko vodnik uporabijo za oceno specifičnih izzivov, s katerimi se lahko sooči njihova organizacija pri poskusu sprejetja modela. Health-ISAC prav tako zahteva povratne informacije od zainteresiranih strani v industriji.

"Merila se morda sprva zdijo zastrašujoča, vendar bodo na koncu pripeljala do boljše varnosti za organizacije na dolgi rok," je zaključil Health-ISAC. "Minili so dnevi, ko smo nekoga spustili na vhodna vrata, mu dali vlogo s privilegiji dostopa, nato pa mu dali veselje."

Health-ISAC zagotavlja varnostne smernice brez zaupanja za CISO v zdravstvu
Identiteta in ničelno zaupanje: vodnik Health-ISAC za CISO