ไปยังเนื้อหาหลัก

Health-ISAC แบ่งปันแนวทางการดำเนินการ Zero Trust สำหรับ CISO ในด้านการดูแลสุขภาพ

ความท้าทายในการใช้โมเดลความปลอดภัยแบบ Zero Trust ในการดูแลสุขภาพ สรุปประเด็นสำคัญ 2 ประเด็น ได้แก่ การขยายตัวอย่างรวดเร็วของอุปกรณ์ IoT และความซับซ้อนของการตรวจสอบสิทธิ์ที่เชื่อมโยงกับ "ลักษณะการโรมมิ่งของบุคลากรทางการแพทย์บางส่วน" ตามรายงาน กระดาษสีขาวใหม่ จาก Health-ISAC

ลิงก์ไปที่บทความ:

https://www.scmagazine.com/analysis/zero-trust/health-isac-shares-zero-trust-implementation-guide-for-healthcare-cisos

ต้องแก้ไขอุปสรรคเหล่านี้ก่อนจะเปลี่ยนไปใช้ระบบ Zero Trust เนื่องจาก “การนำสถาปัตยกรรม Zero Trust มาใช้ไม่ใช่เรื่องง่ายอย่างการไปหาผู้จำหน่ายรายเดียวแล้วหยิบโซลูชันจากชั้นวางมาใช้งาน”

ตามที่รายงานไว้ก่อนหน้านี้ระบบความไว้วางใจเป็นศูนย์นั้นเหมาะสำหรับการดูแลสุขภาพ แต่อย่างไรก็ตาม องค์กรผู้ให้บริการส่วนใหญ่กลับประสบปัญหาในการดำเนินการเนื่องจากระบบมีความซับซ้อนและมีอุปสรรคอื่นๆ

แต่เนื่องจากกระทรวงสาธารณสุขและบริการมนุษย์ยังคงก้าวหน้าในด้านความสามารถในการทำงานร่วมกัน ซึ่งต้องอาศัย API เป็นอย่างมาก การนำระบบการไว้วางใจเป็นศูนย์มาใช้ ควรเป็นเรื่องสำคัญเพื่อให้โรงพยาบาลสามารถปรับตัวให้เข้ากับเครือข่ายที่กว้างขวางได้ดีขึ้น

Health-ISAC ระบุว่าอัตลักษณ์คือ “แกนหลักของระบบ Zero Trust” ซึ่งรวมถึงการตรวจสอบสิทธิ์หลายปัจจัย การควบคุมการอนุญาต และ “การจัดเตรียมบทบาทและแอตทริบิวต์สำหรับการเข้าถึงอย่างเหมาะสม” “กฎการเข้าถึงต้องละเอียดที่สุดเท่าที่จะเป็นไปได้เพื่อให้สิทธิ์น้อยที่สุด และต้องตรวจสอบและอนุญาตหัวเรื่อง สินทรัพย์ และเวิร์กโฟลว์ทั้งหมดอย่างชัดเจน”

ตัวอย่างเช่น ความไว้วางใจเป็นศูนย์จะรับประกันว่าพนักงานจะมีสิทธิ์เข้าถึงเฉพาะองค์ประกอบที่จำเป็นในการดำเนินการตามหน้าที่งานที่จำเป็นเท่านั้น แบบจำลองนี้รับประกันว่าเครือข่ายจะถูกแบ่งส่วนตามสิทธิ์การเข้าถึงที่น้อยที่สุด โดยให้สิทธิ์การเข้าถึงขั้นต่ำตามนโยบายความไว้วางใจที่ปรับแต่งให้เหมาะกับผู้ใช้

กระดาษ มีเป้าหมายเพื่อสนับสนุนเจ้าหน้าที่รักษาความปลอดภัยข้อมูลระดับสูงในด้านการดูแลสุขภาพเพื่อให้เข้าใจความปลอดภัยแบบ Zero Trust ได้ดีขึ้น รวมถึงแนวทางที่แนะนำสำหรับสถาปัตยกรรมของโมเดล เพื่อสร้างแนวทางที่เน้นที่ตัวตนสำหรับการรักษาความปลอดภัยทางไซเบอร์

Health-ISAC ระบุว่าคู่มือนี้ได้รับการออกแบบมาเพื่อให้ความรู้แก่ CISO เกี่ยวกับระบบ Zero Trust และรากฐานที่จำเป็น รวมถึงหลักการพื้นฐาน ความท้าทายทั่วไปในการย้ายระบบไปสู่ระบบ Zero Trust และวิธีการเริ่มต้นการเปลี่ยนแปลง คู่มือนี้เขียนขึ้นสำหรับองค์กรทุกขนาดและทุกระดับความเป็นผู้ใหญ่ โดยหวังว่า CISO เหล่านี้จะเข้าใจถึงความสำคัญของแนวทางที่เน้นที่ตัวตนในการรักษาความปลอดภัยทางไซเบอร์

ผู้นำด้านความปลอดภัยจะพบว่า คำจำกัดความของความไว้วางใจเป็นศูนย์นัยของโมเดลความปลอดภัย และขั้นตอนเฉพาะในการนำระบบ Zero Trust มาใช้ในสภาพแวดล้อมการดูแลสุขภาพ นอกจากนี้ เอกสารยังเพิ่มองค์ประกอบ Zero Trust ลงใน กรอบการทำงานด้านสุขภาพ-ISAC สำหรับการจัดการข้อมูลประจำตัว เปิดตัวในปี 2020

กรอบงานนี้ได้รับการอัปเดตด้วยแนวคิดการไม่ไว้วางใจศูนย์และ "รวมการควบคุมเพิ่มเติมเพื่อส่งมอบองค์ประกอบหลักของสถาปัตยกรรมการไม่ไว้วางใจศูนย์" รวมถึงมาตรฐานสำหรับการรักษาความปลอดภัยการสื่อสาร การตรวจสอบทรัพย์สิน ขอบเขตสำหรับการให้สิทธิ์การเข้าถึง การอนุญาตตามนโยบาย และการเพิ่มอุปกรณ์ไปยังระบบและทรัพยากรเป้าหมาย

CISO ของภาคธุรกิจสุขภาพสามารถใช้แนวทางดังกล่าวเพื่อประเมินความท้าทายเฉพาะที่องค์กรของตนอาจเผชิญเมื่อพยายามนำแบบจำลองดังกล่าวมาใช้ นอกจากนี้ Health-ISAC ยังขอคำติชมจากผู้มีส่วนได้ส่วนเสียในอุตสาหกรรมอีกด้วย

Health-ISAC สรุปว่า “เกณฑ์มาตรฐานอาจดูน่ากังวลในตอนแรก แต่ท้ายที่สุดแล้วจะช่วยให้องค์กรมีความปลอดภัยที่ดีขึ้นในระยะยาว หมดยุคที่ต้องปล่อยให้ใครเข้ามาทางประตูหน้า มอบบทบาทพร้อมสิทธิ์การเข้าถึง แล้วปล่อยให้พวกเขาดำเนินชีวิตตามทางของตัวเองอีกต่อไป”

Health-ISAC ให้คำแนะนำด้านความปลอดภัย Zero Trust แก่ CISO ของภาคการดูแลสุขภาพ
การระบุตัวตนและ Zero Trust: คู่มือ Health-ISAC สำหรับ CISO