Jak stosować zasadę „zerowego zaufania” w ochronie danych?


Wysoki poziom bezpieczeństwa wymaga stosowania rygorystycznych reguł
Wysoki poziom bezpieczeństwa wymaga stosowania rygorystycznych reguł

Jeśli infrastruktura cyfrowa wspierająca opiekę nad pacjentem nie gwarantuje ochrony danych, to narażone jest także zdrowie i życie pacjenta – tak radykalne i szczere spojrzenie na bezpieczeństwo danych to konieczność, bo liczba ataków hakerów szybko rośnie. Najwyższy poziom ochrony to cel tzw. polityki zerowego zaufania. Na czym polega?

Ochrona zdrowia jest w czołówce najczęściej atakowanych przez hakerów branż. Z najnowszych danych wynika, że w I kwartale 2023 liczba incydentów bezpieczeństwa wzrosła w stosunku do 2022 roku o 22%. Hakerzy obrali sobie za cel placówki zdrowia nie dlatego, że przetwarzają one wrażliwe dane medyczne, ale ze względu na wyjątkowo niski poziom cyberbezpieczeństwa. Wiele szpitali nadal posiada stare systemy zawierające luki w zabezpieczeniach, a kwestie ochrony danych – ze względów finansowych i organizacyjnych – nadal są bagatelizowane.

Liczba ataków hakerów (tygodniowo) z podziałem na branże (źródło: World Economic Forum)
Liczba ataków hakerów (tygodniowo) z podziałem na branże (źródło: World Economic Forum)

9 filarów twierdzy danych

Zasady zerowego zaufania dotyczące ochrony danych zostały wypracowane w ramach Forrester And National Institute of Standards and Technology (NIST). Filozofię można streścić w jednym zdaniu: „nigdy nie ufaj, zawsze weryfikuj, dynamicznie rozwijaj politykę bezpieczeństwa”. Zakłada ona dodatkowo, że organizacja już stała się ofiarą ataku hakerów lub, że wkrótce on nastąpi, a więc dostęp do zasobów nie jest bezpieczny.

Pierwsze pięć fundamentów podejścia „zero trust” skupia się na:

  • Użytkownikach: wiedza o sposobach działania hakerów i zasadach ochrony danych;
  • Urządzeniach: zabezpieczenia techniczne, jak oprogramowanie antywirusowe, zapory sieciowe, ochrona urządzeń medycznych i inne elementy infrastruktury (kamery, drukarki wpięte w sieć itd.)
  • Sieciach: oddzielenie sieci wewnętrznej od ogólnodostępnej sieci internetowej, stworzenie tzw. mikro-sieci;
  • Obciążeniach: specyficzne elementy narażone na ataki jak np. rozwiązania chmurowe;
  • Danych: klasyfikacja danych, ich szyfrowanie oraz bezpieczne przechowywanie kopii zapasowych.

Na tym poziomie organizacja przyjmuje zasadę restrykcyjnego uwierzytelniania dostępu użytkowników do zasobów organizacji. Przykładowo, wymagając regularnej zmiany haseł, wprowadzając domyślne wylogowanie po odejściu od stacji roboczej (ochrona na poziomie sesji korzystania z systemu, a nie użytkownika). Żadna osoba pracująca z infrastrukturą IT, od informatyków po lekarzy, nie ma przywilejów i objęta jest takim samym rygorem w ramach polityki bezpieczeństwa.

Główne filary podejścia "zero trust"
Główne filary podejścia “zero trust”

Większość filarów na tym poziomie ma charakter techniczny i leży w kompetencji informatyków i ekspertów bezpieczeństwa danych. Elementem organizacyjnym odgrywającym największą rolę, jest filar zerowego zaufania do ludzi. Kradzież lub złamanie danych uwierzytelniających oraz zainfekowanie sieci złośliwym oprogramowaniem są głównymi przyczynami naruszeń danych. Dlatego wymaga się m.in. uwierzytelniania wieloskładnikowego oraz intensywnych testów wiedzy i czujności użytkowników.

Pozostałe cztery filary to strategiczne elementy ochrony kluczowe w przypadku naruszenia bezpieczeństwa:

  • Widoczność. Podejmowanie świadomych decyzji dotyczących dostępu do danych przez pracowników oraz podmioty zewnętrzne (brak domyślności zaufania). Wszystkie działania realizowane przez pracowników na urządzeniach i sieciach firmowych muszą być widoczne dla informatyków i specjalistów bezpieczeństwa danych;
  • Analityka. Monitorowanie zasobów sieciowych oraz danych, analiza przepływów informacji w całym ekosystemie placówki medycznej;
  • Automatyzacja i zarządzanie. Możliwość szybkiej identyfikacji nieautoryzowanego dostępu do danych i potencjalnie złośliwych działań. Wbudowane mechanizmy automatycznego reagowania na sytuacje, audyty bezpieczeństwa i aktywne wyszukiwanie potencjalnych zagrożeń.
  • Administrowanie. Każdy użytkownik, urządzenie, aplikacja i transakcja wymiany danych muszą być stale weryfikowane a środowisko danych – testowane i nadzorowane. Strategia bezpieczeństwa danych staje się nieustannym procesem, a nie działaniem podejmowanym od czasu do czasu i ograniczającym się do aktualizacji oprogramowania antywirusowego, prowadzenia szkoleń z ochrony danych co kilka miesięcy, czy – co gorsza – przeprowadzenia kontrolowanych ataków lub audytów raz w roku.

Wdrożenie filozofii „zero trust” nie jest łatwe i może trwać kilka lat, wymagając opracowania bardzo szczegółowych i dynamicznych procedur oraz wdrożenia kosztownym rozwiązań technicznych – wiąże się z większymi kosztami cyberbezpieczeństwa, bo konieczne staje się zatrudnienie specjalistów ochrony danych czy korzystanie z zewnętrznych audytów systemów bezpieczeństwa. Dlatego podejście „zero zaufania” zalecane jest dużym podmiotom, które z reguły narażone są na celowane ataki hakerów mające na celu kompromitację danych, ich kradzież i uzyskanie dużego okupu.

Ale warto ją również stosować nawet w cząstkowej formie, np. w odniesieniu do zasobów ludzkich, bo pozwala ustrzec się przed najczęściej popełnianymi błędami bezpieczeństwa danych. Oto kilka przykładów:

  • Skupianie się na podejściu nastawionym na niwelowanie skutków ataku, a nie zapobieganiu. Bezpieczna kopia zapasowa to podstawa w procedurze ochrony danych, ale cyberataki można śledzić i zapobiegać nim, zanim się wydarzą poprzez np. monitoring anomalii w ruchu sieciowym oraz analizę zagrożeń w czasie rzeczywistym;
  • Płaskie sieci. W miarę rozwoju infrastruktury IT i podłączania kolejnych punktów sieciowych (urządzeń) rośnie sieć informatyczna, z czasem tworząc jeden ogromny ekosystem danych. Eksperci zalecają segmentację i podział sieci na łatwiejsze w zarządzaniu mikro-sieci, w których zapory ogniowe stosowane są już na poziomie urządzenia;
  • Braki w ochronie urządzeń końcowych. Duży szpital może mieć ich kilkaset a nawet kilka tysięcy – to systemy do monitorowania parametrów życiowych pacjenta, urządzenia telemedyczne, systemy przywoławcze itd. Pierwszym krokiem jest identyfikacja wszystkich punktów końcowych i opracowanie dla nich polityki dostępu i ochrony.
  • Wdrażanie zdezaktualizowanych mechanizmów kontroli bezpieczeństwa. Nie wystarczy kontynuować wdrożoną kilka lat temu politykę ochrony danych – trzeba ją na bieżąco udoskonalać wraz z postępem technologicznym. Organizacje ochrony zdrowia powinny też pamiętać, że bezpieczeństwo danych zaczyna się jeszcze zanim kupią system IT. Wtedy mają możliwość zdefiniowania wbudowanych mechanizmów np. autoryzacji albo uprawnień użytkowników

Podejście zerowego zaufania wprowadza duży reżim ochrony. Poczucie zagrożenia nie ma jednak w tym wypadku straszyć, ale zwiększać czujność. Częstotliwość cyberataków rośnie, hakerzy sięgają do coraz bardziej wyrafinowanych sposobów. Statyczna polityka bezpieczeństwa wystarczyła kilka lat temu, ale dziś musi być stale aktualizowana, bo od niej zależy zdrowie i życie pacjentów.

Czytaj także: Pobierz bezpłatny raport “Bezpieczeństwo danych i RODO w placówkach ochrony zdrowia