Что такое нулевое доверие? Некоторые могут подумать, что это означает: начинать с доверия, но всегда проверять надежность. Нулевое доверие определяется Национальным институтом стандартов и технологий (США) как «Никогда не доверяй, всегда проверяй». Эта разница очень важна, поскольку вы всегда начинаете без доверия. Говоря о кибербезопасности ИТ-сетей в сфере здравоохранения, он определяет их потребность в защите любого доступа к приложениям и средам с любого пользователя, устройства и местоположения.
Начнем с традиционного способа защиты сети, сегментируя ее на две части - внутри и вне корпоративной сети. Внутри сети у вас есть неявное доверие, поэтому любой авторизованный пользователь и устройство могут иметь доступ к сети и определенным ресурсам через LAN и / или WLAN. Тот же подход используется для гостей, таких как подрядчики или клиенты - обычно только для доступа в Интернет. Физическая граница между корпоративной сетью и внешним миром устанавливается с помощью межсетевого экрана или системы обнаружения вторжений (IDS). При таком подходе пользователям и устройствам обычно доверяют внутри сети, а снаружи - нет.
Кибермошенникам не потребовалось много времени, чтобы выяснить, как получить доступ к этим «безопасным» сетям извне. Они используют такую тактику, как фишинговые электронные письма, которые открывает ничего не подозревающий сотрудник, что является основным средством закрепления в системах и сетях путем установки различных форм вредоносного ПО. Эти программы могут украсть личные учетные данные для доступа к различным приложениям и системам, информации о сотрудниках и пациентах и / или заблокировать всю сеть больницы. Это также означает взлом медицинских устройств, подключенных к сети (проводных или беспроводных), которые напрямую влияют на безопасность пациентов и даже жизнь.
В опросе HIMSS 20201 70% респондентов указали, что их медицинские корпоративные сети испытали серьезные нарушения безопасности в течение предшествующих двенадцати месяцев. 61% этих респондентов указали, что у них нет эффективных механизмов для выявления проблем безопасности пациентов, связанных с этими инцидентами безопасности. Это вызывает тревогу, учитывая, что 80% респондентов также указали, что у них все еще есть устаревшие системы, которые недостаточно хорошо оснащены для защиты от кибератак.
Растущая угроза кибербезопасности в здравоохранении - это программы-вымогатели. Злоумышленники устанавливают вредоносное программное обеспечение, предназначенное для блокировки доступа к компьютерным системам и приложениям до тех пор, пока не будет выплачена денежная сумма, обычно в криптовалюте. Эта деятельность оказывает финансовое и общественное влияние на больницы и поставщиков медицинских услуг.
Новый отчет Ponemon Institute2 показывает, что 43% их респондентов испытали по крайней мере одну атаку с использованием программ-вымогателей, а 33% испытали две или более атаки. Эти атаки программ-вымогателей вызвали задержки в процедурах и тестах, что привело к плохим результатам (70% респондентов). Кроме того, 61% заявили, что в результате атак увеличилось количество пациентов, переведенных в другие учреждения, в то время как 36% заявили, что они несут ответственность за увеличение осложнений от медицинских процедур.
Самым серьезным последствием, которое вымогатель может иметь для больниц и медицинских центров, является смерть пациентов. 22% из опрошенных заявили, что это повысило уровень смертности в их больницах.
Поставщикам медицинских услуг необходимо использовать более эффективные средства для защиты своих сетей и своих пациентов от атак такого типа. Сеть с нулевым доверием начинается с доверия одному пользователю или устройству из любого места - внутри или за пределами вашей сети. Каждый пользователь и устройство должны быть аутентифицированы и проверены, независимо от того, являются ли они локальными или удаленными.
Итак, как мы это сделаем?
Вы начинаете с сетевой архитектуры, которая поддерживает как макро, так и микросегментацию. Макросегментация предполагает логическое разделение физических элементов сети. Под этим я подразумеваю создание виртуальной сети для каждого физического сетевого элемента или группы элементов, таких как камеры видеонаблюдения, электронные дверные замки и системы доступа, в одну логическую / виртуальную группу. Затем вы помещаете медицинские устройства / Интернет вещей в другую группу. Затем вы помещаете EMR в третью группу, финансовый отдел в четвертую и так далее. Это предотвращает нарушение одного логического сегмента и обеспечивает точку входа в любой другой логический сегмент.
Теперь, когда у нас есть виртуально сегментированные и защищенные физические элементы / отделения больницы, нам нужно убедиться, что каждый макросегмент также защищен изнутри. Здесь в игру вступает микросегментация. Микросегментация включает в себя идентификацию пользователей и устройств, которые обращаются к каждому микросегменту, и определение того, к каким сетевым ресурсам и приложениям они могут получить доступ и из каких мест.
Это делается путем создания профилей для отдельных лиц или групп лиц с одинаковыми правами доступа. Эти права включают набор политик (или правил), которые определяют права доступа пользователей и устройств в больнице и напрямую связаны с принципом наименьших привилегий. Это доступ на основе ролей, при котором вы получаете доступ только к определенным ресурсам, которые вам разрешено использовать. Доступ может включать ограничения на основе местоположения и времени, чтобы повысить степень детализации каждой политики.
Роли и политики должны быть определены программно, чтобы обеспечить безопасную и динамичную среду, которая может применять политики, основанные на оценке рисков, и адаптивной политики для всех пользователей, устройств и систем.
То же самое необходимо сделать для устройств, подключенных к LAN / WLAN, медицинских или иных. Когда устройство впервые подключается к сети больницы, оно должно быть аутентифицировано, классифицировано и подготовлено для безопасного доступа к сети. Весь этот процесс необходимо автоматизировать, поскольку ручная обработка большого количества подключений Интернета вещей к больничной сети занимает очень много времени, подвержено ошибкам и непрактично.
Не забываем про магистральные сети. Обычно в магистрали существует неявное доверие, поскольку исходящие каналы обычно не аутентифицируются и не зашифровываются. Это делает сеть уязвимой для атак типа «злоумышленник в середине», перехвата и других атак. Решение состоит в том, чтобы использовать микросегментацию в магистрали, которая определяется программным обеспечением, и она должна быть динамической и сервисно-ориентированной, а не статической, что было бы непрактично.
Последний шаг - интеграция межсетевого экрана / IDS. Этот шаг включает в себя совместное использование политик пользователей / устройств между системой управления сетью / политиками и каждым межсетевым экраном / IDS. Это сделано для того, чтобы межсетевой экран мог обнаружить любое потенциальное нарушение изнутри или за пределами сети. Затем скоординированные усилия с системой управления могут изолировать пользователя и / или устройство для дальнейшей оценки.
После того, как это настроено, вам необходимо постоянно контролировать сеть, а также пользователей и медицинские / немедицинские устройства, чтобы гарантировать, что поведение соответствует ожиданиям.
Переход от традиционной / унаследованной сети к сети с нулевым доверием не всегда прост, но это можно сделать поэтапно. Риск того, что вы не дойдете до сети с нулевым доверием, велик и, как вы видели, может напрямую повлиять на качество ухода за пациентами и, в крайнем случае, на человеческую жизнь.
Есть возможность реализовать подобные решения и в Украине. Обратиться за консультацией можно в компанию InfoTel – системный IT-интегратор телекоммуникационных и информационных решений с 2004 г.