零信任加强医疗IT网络的网络安全

Daniel Faurlin
décembre 01, 2021

医疗IT网络的零信任确保对应用程序和环境的所有访问都是安全的, 无论用户是谁, 设备和位置.

什么是零信任 ? 有些人可能会认为这意味着:从信心开始。, 但总是检查可靠性. 美国国家标准与技术研究所(National Institute of Standards and Technology, NIST)将零信任定义为“永远不要相信”。, toujours vérifier". 这个区别很重要,因为你总是一开始就没有信心。. En ce qui concerne la 医疗IT网络的网络安全, 是需要确保所有应用程序和环境的访问都是安全的, 无论用户是谁, 设备和位置.

网络安全的演变

让我们从确保网络安全的传统方法开始,将其分为两部分——网络内部和网络外部。. À l'intérieur du réseau, 你有一种隐性的信任, 允许任何授权的用户和设备访问特定的网络和资源, via le LAN et/ou le WLAN. 同样的方法也适用于客人, 承包商或客户——通常只用于互联网接入. 使用防火墙或入侵检测系统(IDS)在网络和外部世界之间建立物理边界。. Avec cette approche, 用户和设备通常内部可靠,外部不可靠.

没过多久,黑客们就学会了如何从外部进入这些“安全”的网络。. 他们使用的策略包括员工无意中打开的网络钓鱼邮件。, 这是通过安装各种形式的恶意软件进入系统和网络的主要方式。. 这些程序可以窃取个人身份,以访问各种应用程序和系统。, 员工和患者信息, 和/或封锁医院的整个计算机网络. 它还涉及对连接到网络的医疗设备(有线或无线)的黑客攻击。, 对安全有直接影响的, voire la vie des patients.

2020年HIMSS调查1, 70%的受访者表示,他们的机构在过去12个月内发生过重大安全事件。. Par ailleurs, 61%的受访者表示,他们没有有效的机制来发现与这些安全事件相关的患者安全问题。. 这令人担忧,因为80%的受访者还表示,他们仍然有现有的系统。, 没有能力应对网络攻击的国家.

勒索软件是医疗IT威胁的主要来源

医疗火狐体育手机日益严重的威胁是勒索软件. 网络黑客安装恶意软件,阻止人们进入计算机系统和应用程序,直到他们支付赎金。, 通常是加密货币. 这一活动对医院和其他保健设施的财政和公众形象产生了影响。.

Ponemon研究所的新报告2 43%的受访者至少经历过一次勒索软件攻击。, et 33 % à deux ou plus. 这些勒索软件攻击造成了程序和测试的延误。, 这导致了糟糕的结果(70%的受访者). En outre, 61%的人表示,在袭击事件中,病人被转移或转移到其他机构的人数有所增加。, 36%的人认为这是医疗程序并发症增加的原因。.

针对医院和医疗中心的勒索软件可能带来极端后果:病人死亡. 受访者中, 22%的人说他们提高了各自医院的死亡率.

医疗机构必须使用更有效的方法来保护其网络和患者免受此类攻击。, 正如你在白皮书中所看到的 数字转型时代的医疗网络安全. 零信任网络始于不信任任何用户或设备, 不管它在哪里, 无论是在你的网络内部还是外部. 每个用户和设备都必须经过身份验证,无论是本地的还是远程的.

Alors, comment faire ?

保护医疗IT网络的新方法

您可以从支持宏和微分段的网络架构开始。. 宏段是对网络的物理部分进行逻辑分区。. 我指的是为网络中的每个物理元素或一组元素(如安全摄像头)建立一个虚拟网络。, 逻辑/虚拟组中的电子门锁和访问系统. 然后你把医疗/物联网设备放在另一组. Ensuite, 你把电子病历(EMR)放在第三组, 四分之一的金融服务, et ainsi de suite. 这防止了一个逻辑段的破坏为所有其他逻辑段提供一个入口点。.

现在我们已经对医院的物理部分/部门进行了分割和虚拟安全。, 我们需要确保每个宏观部分从内部也是安全的。. 这就是微观细分的作用所在. 微段是指识别访问每个微段的用户和设备,并定义他们可以访问哪些网络资源和应用程序,以及从哪些位置访问它们。.

医疗保健IT网络中的零信任网络博客图片540x380

Pour ce faire, 个人简介, 或个人群体, 具有相同的访问权限. 这些权利包括一组政策(或规则),这些政策(或规则)定义了医院内用户和设备的访问权限,并与最低特权原则直接相关。. 这是一种基于角色的访问,您只能访问被授权使用的特定资源。. 访问可以包括与位置和时间相关的限制,以便为每个策略添加更多的粒度。.

角色和策略必须由软件定义,以创建一个安全、动态的环境,以实施基于风险的、适应性强的策略。, 对于所有用户, dispositifs et systèmes.

这同样适用于局域网或无线局域网的设备, 无论是医学上的还是非医学上的. 当设备第一次连接到医院网络时, il doit être authentifié, classé et provisionné, 安全接入网络. 整个过程必须自动化,因为手动处理连接到医院网络的大量物联网设备需要大量时间。, 容易出错且不切实际.

中央电网怎么办? ?

不要忘记核心网络或骨干. 通常会有对主干的隐式信任,因为上行链路通常不经过身份验证或加密。. 因此,网络很容易受到中间人、嗅探等攻击。. 解决方案是在主干中使用由软件定义的微段,它必须是动态的和面向服务的。, 而不是静态定义的, 不切实际的东西.

防火墙/IDS集成

最后一步是整合防火墙和事件识别系统(IDS)。. 此步骤包括在网络管理系统/策略和每个防火墙/IDS之间共享用户和设备策略. Ainsi, 任何潜在的违规行为, 无论是来自网络内部还是外部, 可以被防火墙检测到. Ensuite, 与管理系统协调的努力可以将用户和/或设备隔离,以便进一步评估.

一旦系统到位, 您必须持续监控网络、医疗和非医疗用户和设备,以确保行为符合预期。.

从传统网络到零信任网络并不总是容易的, 但这可以分阶段进行. 无法发展为零信任网络的风险很大, comme vous l'avez vu, 可能对患者护理质量产生直接影响, à l'extrême, sur la vie humaine.

En savoir plus sur les 医疗保健解决方案 朗讯Enterprise。

我要感谢Patricio Martello在零信任网络方面的技术专长,以及Heitor Faroni,他在我和他为HIMSS组织的联合网络研讨会上提供了一些实用的想法,这是这个博客的基础。.

Sources :

1. http://www.himss.org/sites/hde/files/media/file/2020/11/16/2020_himss_cybersecurity_survey_final.pdf

2. http://www.techspot.com/news/91479-ransomware-attacks-hospitals-impacted-patients-longer-stays-test.html

Daniel Faurlin

Daniel Faurlin

Director, Product & 解决方案解决Marketing and Head of Network for Healthcare -‎阿尔卡特-朗讯Enterprise。

Daniel负责开发。, positioning, 内部和外部客户的沟通和教育, 关于ALE解决方案在运输和医疗垂直领域的价值主张. 他曾在初创企业工作。, 小型到大型企业, 在各种行政领导角色中. 丹尼尔毕业于加拿大多伦多瑞尔森大学电气工程专业。.

A propos de l'auteur

Derniers blogs

defence-digital-transformation
Sécurité

国防数字转型之路:障碍和驱动…

探索国防数字转型的关键障碍,以及为什么现在就开始对未来的成功和效率至关重要。

NA
Sécurité

有效保护UC的六个关键实践&C solutions

最大限度地减少网络攻击的风险,并确保遵守法规,以在当今动态环境中蓬勃发展。.

GettyImages-116821418
Rainbow

探索人工智能在数据管理中的变革力量

ALE的研究深入研究了人工智能在数据管理中的几个创新应用,并强调了正在进行的创新的重要性。.

AI在网络安全博客图片
数字时代通讯

人工智能打击网络威胁的好处和风险

人工智能可以减少工作量, 提供新型保护和增强适应性, it also entails new risks.

Tags - Santé

Chat
}