ایتای گرینبرگ، CSO می گوید، اعتماد صفر برای محافظت از داده های بیمار و زیرساخت های حیاتی ضروری است. نرم افزار Check Point.
از آنجایی که سازمانهای مراقبتهای بهداشتی به تکامل دیجیتالی خود ادامه میدهند، یک چیز مشخص شده است – اگر سیستمهای دیجیتالی که از آن پشتیبانی میکنند در معرض خطر باشند، رفاه بیماران نمیتواند در اولویت قرار گیرد. بر اساس گزارش مجله انجمن پزشکی آمریکا (JAMA)، فراوانی حملات سایبری به بیمارستان ها و سیستم های بهداشتی از سال 2016 تا 2021 بیش از دو برابر شده است.
تحقیقات Check Point Software Technologies این روند را تأیید میکند و نشان میدهد که بخش مراقبتهای بهداشتی به طور متوسط 1684 حمله در هفته در سهماهه اول 2023 تجربه میکند که نسبت به سال گذشته 22 درصد افزایش داشته است. این امر باعث می شود مراقبت های بهداشتی سومین صنعت هدفمند در سال 2023 باشد، پیش از امور مالی، بیمه و ارتباطات.
این آمار نگران کننده است، اما قابل توضیح است. بخش مراقبت های بهداشتی یک معدن طلای واقعی داده ها است و بیشتر آن از طریق سیستم های قدیمی فناوری اطلاعات مدیریت می شود که می توان به راحتی از آنها بهره برداری کرد. یک نظرسنجی [in the United States] توسط انجمن اطلاعات و سیستم های مدیریت بهداشت و درمان (HIMSS) دریافتند که 73 درصد از سازمانهای ارائهدهنده مراقبتهای بهداشتی از سیستمهای قدیمی فناوری اطلاعات استفاده میکنند که پشتیبانی از آنها پرهزینه است و اغلب مملو از شکافهای امنیتی است. این بخش را به یک هدف آسان – و بالقوه پرسود – برای اپراتورهای باج افزار تبدیل می کند. اما این آسیبپذیری تنها به نرمافزار و سیستمها مربوط نمیشود، بلکه به نحوه مدیریت دادهها و دستگاهها در سازمانهای فردی نیز مربوط میشود.
اصل
وقتی صحبت از تاب آوری سایبری در بخش هایی مانند مراقبت های بهداشتی می شود، یک تقسیم مسئولیت وجود دارد. ما از یک طرف اجرای امنیتی داریم و از طرف دیگر کنترل و سیاست های شبکه را داریم. این به بهترین وجه در «هفت ستون اعتماد صفر» که توسط چارچوبهای Forrester و موسسه ملی استاندارد و فناوری (NIST) تعریف شده است، منعکس میشود.
اعتماد صفر یک مدل امنیتی است که بر اساس اصل “هرگز اعتماد نکنید، همیشه تأیید کنید” عمل می کند. این بدان معنی است که دسترسی به منابع و داده ها هرگز نباید ایمن فرض شود، حتی اگر در محدوده شبکه باشد.
پنج رکن اول کاربران، دستگاه ها، شبکه ها، حجم کاری و داده ها هستند. این ستونها عنصر اجرایی چارچوب را تشکیل میدهند و اصل «کمترین امتیاز» را با نیاز به بررسیهای مداوم هویت و تأیید، اجرا میکنند. دو رکن دیگر، دید و تجزیه و تحلیل، و اتوماسیون و هماهنگسازی هستند – این ستونها عنصر کنترل و سیاستهای چارچوب را تشکیل میدهند، و وضعیت امنیتی سازمان را از طریق نظارت بلادرنگ و پاسخهای خودکار در صورت نقض امنیتی، افزایش میدهند. این ستونها، وقتی گرد هم میآیند، شرکتها را قادر میسازند تا محیطی با اعتماد صفر ایجاد کنند، و این دقیقاً همان چیزی است که سازمانهای مراقبتهای بهداشتی باید برای جلوگیری از افزایش تعداد حملات اجرا کنند.
اشتباهات رایج در نظارت بر شبکه
اشتباهات رایجی وجود دارد که بسیاری از سازمان های مراقبت های بهداشتی هنگام نظارت بر شبکه خود برای تهدیدات مرتکب می شوند، اما رویکرد اعتماد صفر می تواند به اصلاح آنها کمک کند.
عدم اتخاذ رویکرد پیشگیری-اول
همانطور که بهتر است برای جلوگیری از آلوده شدن بیمار، واکسن تلقیح شود، بهتر است قبل از اینکه حملات سایبری خود را در یک شبکه نشان دهند، شناسایی و از آن جلوگیری شود. راهحلهای تشخیص تهدید در زمان واقعی میتوانند به کشف الگوهای ترافیک غیرعادی کمک کنند، و اطلاعات تهدید در زمان واقعی میتواند به طور فعال بدافزار را قبل از نفوذ به شبکه مسدود کند.
شبکه های مسطح یا عدم تقسیم بندی
همانطور که سازمان های مراقبت های بهداشتی به دیجیتالی کردن خدمات خود ادامه می دهند، ردپای شبکه آنها در حال افزایش است. دستگاههای آسیبپذیر (نقاط پایانی) اکنون بهجای یک سایت واحد به خانهها و دفاتر دیگر گسترش مییابند، بنابراین مهم است که شبکه را «بخشبندی» یا با استفاده از فایروالها و حفاظت در سطح دستگاه، به خوشههای قابل مدیریتتری تفکیک کنیم. همانطور که یک بیمارستان ممکن است درهای آتش نشانی را در اطراف ساختمان خود قرار دهد تا از گسترش آتش جلوگیری کند، یک شبکه نیز باید دارای موانعی برای جلوگیری از گسترش جانبی هر بدافزار باشد.
عدم محافظت از دستگاه های نقطه پایانی
یک بیمارستان 500 تختخوابی متوسط ممکن است 10000 دستگاه متصل به اینترنت اشیا (IoT) برای نظارت، ذخیره و انتقال اطلاعات بیمار و سایر داده های حساس داشته باشد. اجرای یک خط مشی اعتماد صفر با “کشف” این دستگاه ها در شبکه آغاز می شود و سپس به طور خودکار حداقل امتیاز، سیاست اعتماد صفر را اعمال می کند، به طوری که تنها سیستم های مربوطه یا کسانی که برای انجام وظیفه خود نیاز به دسترسی دارند، می توانند به آن دسترسی داشته باشند. قادر به دسترسی به دستگاه ها
استقرار کنترل های امنیتی قدیمی
برای اینکه کنترلهای امنیتی مؤثر باشند، باید با سرعت نوآوری همگام شوند. استقرار عطف به ماسبق کنترل های امنیتی در برنامه های موجود به این معنی است که امنیت همیشه یک قدم عقب تر از نوآوری است. برای بستن شکاف و اطمینان از امنیت مستمر، کد امنیتی باید هر چه زودتر در فرآیند توسعه برنامه ادغام شود.
شبکه های
اجرای اصول Zero Trust برای سازمان های مراقبت های بهداشتی ضروری است تا امنیت داده های بیمار و زیرساخت های حیاتی را تضمین کنند. نظارت بر شبکه زیرمجموعهای از قابلیت مشاهده و تجزیه و تحلیل بدون اعتماد است و در شناسایی و طبقهبندی اطلاعات و درک جریان دادهها ضروری است.
حجم کاری به هر برنامه یا سرویسی اشاره دارد که در مراکز داده خصوصی یا ابرهای عمومی کار می کند، و اینجاست که اصل حداقل امتیاز یا «هرگز اعتماد نکنید، همیشه تأیید کنید» باید اجرا شود. سازمانهای مراقبتهای بهداشتی میتوانند با اجرای راستیآزمایی مستمر هویتها و اجرای عملیات امنیتی پیشگیرانه در زمان واقعی، حجم کاری برنامههای کاربردی خود را با اعتماد صفر تقویت کنند. اعتماد صفر را می توان در هر برنامه کاربردی در محل یا در فضای ابری، بسته به نیازهای امنیتی سازمان پیاده سازی کرد. برای مثال، یک بیمارستان مرکزی ممکن است نیازهای متفاوتی نسبت به یک خانه سالمندان یا ارائهدهنده مراقبت در منزل داشته باشد، جایی که کارکنان با دستگاهها یا دستگاهها در مکانهای مختلفی پرسه میزنند.
داده ها همچنین باید طبقه بندی شوند تا به روش صحیح محافظت شوند. به عنوان مثال، ایمن سازی داده های بدون ساختار مانند متن، عکس، ویدئو، و صدا، و جراحی از راه دور با سیستم های روباتیک مانند “داوینچی” همگی به درجات مختلف حفاظت و کنترل نیاز دارند.
ستونهای اعتماد صفر را میتوان به روشهای مختلفی برای ایمن کردن مسیرهای داده و خودکارسازی پاسخهای تهدید مستقر و پیادهسازی کرد، اما هدف اساسی یکسان است – هرگز اعتماد نکنید، همیشه تأیید کنید. این یک «فرهنگ سایبری» است که سازمانهای مراقبتهای بهداشتی برای مقابله با طوفان آینده باید آن را اتخاذ کنند.
منبع: https://professionalsecurity.co.uk/news/health/zero-trust-as-vaccine/