Перейти до основного матеріалу

Health-ISAC ділиться посібником із впровадження нульової довіри для CISO у сфері охорони здоров’я

Проблеми, пов’язані з впровадженням моделі безпеки нульової довіри в охороні здоров’я, зводяться до двох ключових проблем: швидке розширення пристроїв Інтернету речей і складність автентифікації, пов’язана з «роумінгом деяких медичних працівників», згідно з новий білий папір від Health-ISAC.

Посилання на статтю:

https://www.scmagazine.com/analysis/zero-trust/health-isac-shares-zero-trust-implementation-guide-for-healthcare-cisos

Ці перешкоди необхідно вирішити, перш ніж переходити до нульової довіри, оскільки «впровадити архітектуру нульової довіри не так просто, як звернутися до одного постачальника та вибрати рішення з полиці».

Як повідомлялося ранішенульова довіра є ідеальним варіантом для охорони здоров’я, але більшість організацій, що надають послуги, намагалися зробити стрибок через складність системи та інші перешкоди.

Але оскільки Міністерство охорони здоров’я та соціальних служб продовжує досягати успіхів у сумісності, яка значною мірою залежить від API, усиновлення без довіри має бути пріоритетом для того, щоб лікарні могли краще адаптуватися до розгалужених мереж.

Ідентифікація є «основою нульової довіри», включаючи багатофакторну автентифікацію, керування авторизацією та «належне надання ролей і атрибутів для доступу», зазначив Health-ISAC. «Правила доступу мають бути якомога детальнішими, щоб забезпечити найменші привілеї, а всі суб’єкти, активи та робочі процеси мають бути явно автентифікованими та авторизованими».

Наприклад, нульова довіра гарантує, що працівники матимуть доступ лише до елементів, необхідних для виконання своїх обов’язків. Модель забезпечує сегментацію мережі на основі доступу з найменшими привілеями, забезпечуючи мінімальний доступ на основі політик довіри, адаптованих до користувача.

Папір має на меті допомогти керівникам інформаційної безпеки в охороні здоров’я краще зрозуміти безпеку з нульовою довірою та рекомендований підхід до архітектури моделі для побудови орієнтованого на ідентифікацію підходу до кібербезпеки.

Health-ISAC зазначає, що посібник розроблено для того, щоб навчити CISO щодо нульової довіри та її необхідної основи, а також основних принципів, загальних викликів міграції без довіри та того, як розпочати перехід. Посібник був написаний для організацій будь-якого розміру та рівня зрілості з надією, що ці CISO зрозуміють важливість підходу до кібербезпеки, орієнтованого на ідентифікацію.

Охоронці знайдуть визначення нульової довіри, наслідки моделі безпеки та конкретні кроки щодо впровадження нульової довіри в середовищі охорони здоров’я. Документ також додає компоненти нульової довіри до Health-ISAC Framework для управління ідентифікацією випущений у 2020 році.

Фреймворк було оновлено концепціями нульової довіри та «включає додаткові елементи керування для надання основних елементів архітектури нульової довіри», включаючи стандарти для захисту комунікацій, моніторингу активів, периметрів для надання доступу, авторизації на основі політики та додавання пристроїв до цільових систем. і ресурси.

Керівники служб охорони здоров’я можуть використати посібник для оцінки конкретних проблем, з якими може зіткнутися їхня організація, намагаючись прийняти модель. Health-ISAC також вимагає відгуків від зацікавлених сторін галузі.

«Спочатку ці критерії можуть здатися складними, але в кінцевому підсумку вони призведуть до кращої безпеки для організацій у довгостроковій перспективі», — підсумував Health-ISAC. «Минули ті часи, коли впускали когось у вхідні двері, давали їм роль із привілеями доступу, а потім дозволяли їм іти своїм веселим шляхом».

Health-ISAC надає інструкції з безпеки нульової довіри для CISO охорони здоров’я
Ідентичність і нульова довіра: Посібник Health-ISAC для CISO