Hoppa till huvudinnehåll

Health-ISAC delar implementeringsguide för noll förtroende för CISO:er inom hälsovård

Utmaningar med att anta en säkerhetsmodell med noll förtroende inom vården kokar ner två två nyckelfrågor: den snabba expansionen av IoT-enheter och autentiseringskomplexiteten kopplad till "roaming-karaktären hos vissa vårdpersonal", enligt en nytt vitbok från Health-ISAC.

Länk till artikeln:

https://www.scmagazine.com/analysis/zero-trust/health-isac-shares-zero-trust-implementation-guide-for-healthcare-cisos

Dessa hinder måste åtgärdas innan man går över till noll förtroende, eftersom "att implementera en noll förtroende-arkitektur är inte så enkelt som att gå till en leverantör och välja en lösning från hyllan."

Som tidigare rapporterats, noll förtroende är idealiskt för sjukvård men majoriteten av leverantörsorganisationer har kämpat för att ta steget på grund av systemkomplexitet och andra vägspärrar.

Men eftersom Department of Health and Human Services fortsätter att göra framsteg i interoperabilitet, som är starkt beroende av API:er, noll-förtroende adoption bör vara en prioritet för att sjukhusen bättre ska kunna anpassa sig till vidsträckta nätverk.

Identitet är "kärnan i noll förtroende", inklusive multifaktorautentisering, auktoriseringsstyrning och "korrekt tillhandahållande av roller och attribut för åtkomst", noterade Health-ISAC. "Åtkomstregler måste vara så detaljerade som möjligt för att möjliggöra minsta rättigheter och alla ämnen, tillgångar och arbetsflöden måste vara explicit autentiserade och auktoriserade."

Till exempel säkerställer noll förtroende att anställda bara har tillgång till de element som behövs för att utföra sina nödvändiga jobbfunktioner. Modellen säkerställer att nätverket är segmenterat baserat på minst privilegierad åtkomst, vilket ger minimal åtkomst baserat på förtroendepolicyer skräddarsydda för användaren.

Pappret syftar till att stödja chefer för informationssäkerhet inom vården för att bättre förstå nollförtroendesäkerhet och det rekommenderade tillvägagångssättet för modellens arkitektur för att bygga en identitetscentrerad strategi för cybersäkerhet.

Health-ISAC noterar att guiden är utformad för att utbilda CISO:er om nollförtroende och dess nödvändiga grund, tillsammans med grundläggande principer, gemensamma utmaningar för nollförtroendemigrationer och hur man startar skiftet. Guiden skrevs för enheter av alla storlekar och mognadsnivåer med hopp om att dessa CISO:er ska förstå vikten av en identitetscentrerad strategi för cybersäkerhet.

Säkerhetsledare kommer att hitta en definition för noll förtroende, implikationer av säkerhetsmodellen och specifika steg för att implementera noll förtroende inom vårdmiljön. Tidningen lägger också till noll förtroendekomponenter till Health-ISAC Framework för hantering av identitet släppt 2020.

Ramverket har uppdaterats med nollförtroendekoncept och "integrerar ytterligare kontroller för att leverera kärnelementen i en nollförtroendearkitektur", inklusive standarder för att säkra kommunikation, tillgångsövervakning, omkretsar för att bevilja åtkomst, policybaserad auktorisering och lägga till enheter till målsystem och resurser.

Sjukvårds-CISO:er kan använda guiden för att bedöma de specifika utmaningar som deras organisation kan möta när de försöker anta modellen. Health-ISAC efterfrågar också feedback från industrins intressenter.

"Kriteriet kan verka skrämmande till en början men kommer i slutändan att leda till bättre säkerhet för organisationerna på lång sikt", avslutade Health-ISAC. "Dagarna är förbi att släppa in någon genom ytterdörren, ge dem en roll med åtkomstprivilegier och sedan låta dem gå sin glada väg."

Health-ISAC tillhandahåller Zero Trust-säkerhetsvägledning till hälsovårds-CISO:er
Identity and Zero Trust: A Health-ISAC Guide for CISOs