Altyapı Modernizasyonu Sağlık Güvenliğini Nasıl Etkiler?

Bu parçalanma kör noktalara yol açabilir ve korunan sağlık bilgilerinin (PHI) birincil hedef olduğu sağlık hizmetlerinde, bu boşluğun korunmasız bırakılması tehlikelidir.

Sistemler buluta doğru genişledikçe saldırı yüzeyi de genişler ve tutarlı, merkezi güvenlik politikalarının uygulanmasını zorunlu hale getirir.

NetApp'te veri hizmetleri kıdemli başkan yardımcısı ve genel müdürü olan Gagan Gulati, "PHI gibi hassas hasta verileri, fidye yazılımı, kimlik avı saldırıları ve içeriden gelen ihlaller gibi tehditler için birincil hedeftir" diyor. "Bu riskler yalnızca verileri tehlikeye atmakla kalmaz, aynı zamanda ciddi mali sonuçlara ve hasta güveninin zedelenmesine yol açabilir."

Kuruluşlar hibrit ve çoklu bulut altyapılarını dağıttıkça başka bir karmaşıklık katmanıyla karşılaşıyorlar: tutarsız güvenlik araçları, birden fazla yönetim konsolu ve çeşitli erişim modelleri.

Connors, genel bulut sağlayıcılarının yerel güvenlik araçları sunduğunu ancak bunların genellikle kurum çapında denetim için gereken sağlık hizmetlerine özgü görünürlük veya entegrasyondan yoksun olduğunu belirtiyor. Çoklu bulut yapılandırmalarında bu farklılıklar çoğalıyor.

Connors, "Sağlık hizmetlerindeki güvenlik zorlukları genel bulut, hibrit bulut ve çoklu bulut ortamları arasında önemli ölçüde farklılık gösterir" diye açıklıyor. "Bulut sağlayıcılarının yerel güvenlik araçları genellikle gerekli görünürlüğü veya kontrolü sunmaz."

Bu sorunu çözmek için BT ekipleri, altyapı türlerini kapsayan ve tutarlı bir politika katmanı sağlayan birleşik güvenlik platformlarına yöneliyor.

KEŞFET: Sağlık sistemleri bulutta güvenliği nasıl yönetiyor?

Sağlık Altyapısı Ortamlarında Denetim

Connors, özellikle sağlık kuruluşlarının birden fazla ortamda hassas iş yüklerini yönettiği durumlarda merkezi denetimin önemini vurguluyor.

"Güvenlik politikalarını birleştiren ve merkezi yönetim sağlayan platformlardan yararlanmak - 'tek bir cam panel' - kritik öneme sahip" diyor.

Gulati için görünürlük ve yönetişim, şifreleme kadar önemli.

"Hibrit ve çoklu bulut ortamları, birden fazla kontrol seviyesi ve veri yayılmasını yönetme zorluğuyla birlikte başka bir karmaşıklık katmanı daha ekliyor" diyor.

Modernizasyonla ilgili temel endişelerden biri yalnızca iç yanlış yapılandırma değil, aynı zamanda üçüncü taraf riskine maruz kalmanın artmasıdır .

Açık kaynaklı kütüphaneler ve harici satıcılar saldırı yüzeyinin bir parçası haline gelir. Yeterli kontroller olmadan, tedarik zincirindeki zayıf bir halka kritik sistemleri açığa çıkarabilir.

Connors, "İş yüklerini modernize etmek genellikle kendi güvenlik açıklarıyla birlikte gelebilecek üçüncü taraf veya açık kaynaklı kütüphaneleri kullanmayı gerektirir" diyor. "Kuruluşlar, uygulamalarını ve çevreleyen ortamı güvence altına almalıdır."

Gulati, herhangi bir altyapı modernizasyon çalışmasına kapsamlı bir güvenlik değerlendirmesiyle başlanmasını öneriyor ve HIPAA gibi standartlarla uyumun ve verilerin aktarım ve bekleme sırasında şifrelenmesinin temel uygulamalar olduğunu açıklıyor.

"HIPAA uyumlu bir bulut sağlayıcısı seçmek ve verileri en son endüstri standardı protokollerini kullanarak şifrelemek kritik önem taşıyor" diyor.

Güvenlik çerçeveleri bir plan sunsa da, uygulama hala büyük ölçüde farklılık göstermektedir; Ulusal Standartlar ve Teknoloji Enstitüsü'nün Siber Güvenlik Çerçevesi ve Sağlık Bilgi Güven İttifakı'nın çerçevesi, sağlık hizmetlerine özgü uyumluluğun temelini oluşturmaktadır.

Connors ayrıca maruziyeti azaltmak için sıfır güvenin olmazsa olmaz bir model olduğunu belirtiyor.

"Sıfır güven, ağın zaten tehlikeye atılmış olduğu varsayımına dayanır," diyor. "Bu, her kullanıcının, cihazın ve sistemin yalnızca ihtiyaç duyduğu şeye erişebilmesini ve bunu güvenli bir şekilde yapmasını sağlar."

Bu kimlik merkezli model, dağıtılmış ortamlarda giderek etkisiz hale gelen geleneksel çevre tabanlı savunmaların yerini alır. IP adreslerine veya statik güvenlik duvarı kurallarına güvenmek yerine, sıfır güven erişim isteklerinin ve davranışlarının meşruiyetini sürekli olarak değerlendirir.

Connors, "Geleneksel yöntemler büyük ölçüde IP'lere, bağlantı noktalarına ve güvenlik duvarı kurallarına dayanıyordu," diyor. "Modern güvenlik, kimlik ve en az ayrıcalıklı erişim gibi kavramlara odaklanıyor."

Bu arada, sürekli izleme, gerçek zamanlı uyarılar ve otomasyon, modern bir güvenlik duruşunun vazgeçilmezi haline geldi.

Gulati, " Sürekli izleme, hassas verileri korumak için gerçek zamanlı görünürlük ve hızlı tehdit tespiti sağlar" diyor. "Kuruluşlar, tehditleri hızla tespit etmek ve bunlara yanıt vermek için bir kullanıcının risk profilindeki değişiklikleri sürekli olarak izlemelidir."

KEŞFEDİN: Başarılı bir bulut geçişi, BT altyapısının değerlendirilmesiyle başlar.

Kimlik Merkezli Bir Yaklaşım

Sonuç olarak, bulut tabanlı ve hibrit altyapıya geçiş güvenlik stratejisinden ayrı tutulamaz. Sağlık hizmeti sağlayıcıları modernizasyon ve güvenliği paralel yollar olarak ele alamaz; baştan itibaren birlikte tasarlanmaları gerekir.

Gulati, " Başarılı modernizasyon, hibrit ve çoklu bulut ortamlarında kapsamlı veri güvenliği sunan güvenilir, kanıtlanmış satıcıları seçmekle ilgilidir" diyor. "Güvenlik açıklarıyla mücadele, farklı, eklenmiş çözümler değil, standartlaştırılmış uygulamalar gerektirir."

Bağlantısız araçlar ve reaktif izleme ile sonlandırma, yalnızca eski sistemlerin ortadan kaldırması gereken aynı parçalanmış riski yeniden yaratır.

Sıfır güven ilkelerine, gerçek zamanlı izleme ve birleşik yönetime dayalı ileriye dönük bir güvenlik modeli, sağlık altyapısı modernizasyonunun standardı haline gelmelidir.

Connors, "Modernizasyon yalnızca yeni yazılımları benimsemekle ilgili değildir; güvenliğe yeni bir yaklaşım benimsemekle ilgilidir" diyor. "Kimlik merkezli bir yaklaşım, eski altyapıya özgü sorunları ele alırken yeni güvenlik açıklarının ortaya çıkmasını önlemeye yardımcı olur."