Bỏ qua nội dung chính

Health-ISAC chia sẻ hướng dẫn triển khai zero trust cho các CISO chăm sóc sức khỏe

Những thách thức khi áp dụng mô hình bảo mật không tin cậy trong chăm sóc sức khỏe tập trung vào hai vấn đề chính: sự mở rộng nhanh chóng của các thiết bị IoT và sự phức tạp trong xác thực liên quan đến "bản chất chuyển vùng của một số nhân viên chăm sóc sức khỏe", theo một giấy trắng mới từ Health-ISAC.

Liên kết đến bài viết:

https://www.scmagazine.com/analysis/zero-trust/health-isac-shares-zero-trust-implementation-guide-for-healthcare-cisos

Những rào cản này phải được giải quyết trước khi chuyển sang mô hình zero trust, vì “việc triển khai kiến ​​trúc zero trust không đơn giản chỉ là đến một nhà cung cấp và chọn một giải pháp có sẵn”.

Như đã báo cáo trước đó, mô hình không tin cậy là lý tưởng cho chăm sóc sức khỏe nhưng phần lớn các tổ chức cung cấp dịch vụ đã phải vật lộn để thực hiện bước chuyển đổi này do tính phức tạp của hệ thống và các rào cản khác.

Nhưng khi Bộ Y tế và Dịch vụ Nhân sinh tiếp tục đạt được những bước tiến trong khả năng tương tác, vốn phụ thuộc rất nhiều vào API, áp dụng zero-trust nên là ưu tiên hàng đầu để các bệnh viện có thể thích ứng tốt hơn với mạng lưới rộng lớn.

Nhận dạng là “cốt lõi của zero trust”, bao gồm xác thực đa yếu tố, quản trị ủy quyền và “cung cấp đúng các vai trò và thuộc tính để truy cập”, Health-ISAC lưu ý. “Các quy tắc truy cập cần phải chi tiết nhất có thể để cho phép ít đặc quyền nhất và tất cả các chủ thể, tài sản và quy trình công việc cần được xác thực và ủy quyền rõ ràng”.

Ví dụ, zero trust đảm bảo rằng nhân viên chỉ có quyền truy cập vào các thành phần cần thiết để thực hiện các chức năng công việc bắt buộc của họ. Mô hình đảm bảo mạng được phân đoạn dựa trên quyền truy cập ít đặc quyền nhất, cung cấp quyền truy cập tối thiểu dựa trên các chính sách tin cậy được thiết kế riêng cho người dùng.

Giấy nhằm hỗ trợ các giám đốc an ninh thông tin trong lĩnh vực chăm sóc sức khỏe hiểu rõ hơn về bảo mật không tin cậy và phương pháp tiếp cận được đề xuất đối với kiến ​​trúc mô hình để xây dựng phương pháp tiếp cận lấy danh tính làm trung tâm đối với an ninh mạng.

Health-ISAC lưu ý rằng hướng dẫn này được thiết kế để giáo dục các CISO về zero trust và nền tảng cần thiết của nó, cùng với các nguyên lý cơ bản, những thách thức chung đối với quá trình di chuyển zero trust và cách bắt đầu chuyển đổi. Hướng dẫn được viết cho các tổ chức ở mọi quy mô và mức độ trưởng thành với hy vọng các CISO này sẽ hiểu được tầm quan trọng của cách tiếp cận lấy danh tính làm trung tâm đối với an ninh mạng.

Các nhà lãnh đạo an ninh sẽ tìm thấy một định nghĩa cho sự tin tưởng bằng không, ý nghĩa của mô hình bảo mật và các bước cụ thể để triển khai zero trust trong môi trường chăm sóc sức khỏe. Bài báo cũng bổ sung các thành phần zero trust vào Khung quản lý danh tính của Health-ISAC phát hành năm 2020.

Khung này đã được cập nhật với các khái niệm về không tin cậy và "kết hợp các biện pháp kiểm soát bổ sung để cung cấp các yếu tố cốt lõi của kiến ​​trúc không tin cậy", bao gồm các tiêu chuẩn để bảo mật thông tin liên lạc, giám sát tài sản, ranh giới cấp quyền truy cập, ủy quyền dựa trên chính sách và thêm thiết bị vào hệ thống và tài nguyên mục tiêu.

Các CISO trong lĩnh vực chăm sóc sức khỏe có thể tận dụng hướng dẫn này để đánh giá những thách thức cụ thể mà tổ chức của họ có thể gặp phải khi cố gắng áp dụng mô hình. Health-ISAC cũng đang yêu cầu phản hồi từ các bên liên quan trong ngành.

Health-ISAC kết luận rằng: "Các tiêu chí này thoạt đầu có vẻ đáng sợ nhưng cuối cùng sẽ mang lại sự bảo mật tốt hơn cho các tổ chức trong dài hạn". "Đã qua rồi cái thời để ai đó vào cửa trước, trao cho họ một vai trò có quyền truy cập và sau đó để họ tự do làm việc".

 

Health-ISAC cung cấp hướng dẫn bảo mật Zero Trust cho các CISO chăm sóc sức khỏe
Nhận dạng và Zero Trust: Hướng dẫn của Health-ISAC dành cho CISO