Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Blogs
    2. Fallstudie

Eine Erfolgsgeschichte darüber, wie wir einer führenden Gesundheitsorganisation bei der FIPS 140-2-Konformitätsbewertung geholfen haben

Geschrieben vonParnashree Saha 07 Minuten
Fallstudie zur FIPS 140-2-Konformitätsbewertung
Inhaltsverzeichnis

Unternehmen

Wir arbeiteten mit einem der führenden US-amerikanischen Gesundheitsdienstleister zusammen, der ein breites Portfolio an Krankenversicherungen und -dienstleistungen für nationale und internationale Kunden anbietet. Der Anbieter verwaltet eine globale Datenbank mit Tausenden von Kunden und deren vertraulichen Daten. Sein Netzwerk umfasst mehrere Standorte und über 20,000 Mitarbeiter, die einen kontinuierlichen Kommunikationskanal mit verschiedenen Krankenhäusern und Kliniken unterhalten. Ziel war die Einhaltung der FIPS 140-2-Vorschriften. Der Anbieter benötigte Unterstützung bei einer umfassenden Bewertung seiner gesamten Infrastruktur, um alle notwendigen Schritte zur Einhaltung der Vorschriften zu unternehmen.

Challenges   

Beim Umgang mit Daten, insbesondere im Gesundheitswesen, ist der Schutz der PII (persönlich identifizierbare Informationen) und PHI (Protected Health Information) Daten über Ihren Patienten sind eine Notwendigkeit. Das Hauptziel der Organisation war es, eine umfassende Lückenanalyse der bestehenden Umgebung zu erhalten, einschließlich einer gründlichen Überprüfung ihrer aktuellen kryptographische StandardsSie wollten außerdem ein Konformitätszertifikat erhalten, indem sie die Bewerbung des Unternehmens sorgfältig prüften und so dessen Engagement für den Schutz vertraulicher Informationen unter Beweis stellten.

Nachdem wir die relevanten Informationen gesammelt hatten, führten wir eine detaillierte Lückenanalyse durch. Dazu untersuchten wir die kryptografischen Kontrollen und Standards und bewerteten alle wichtigen Aspekte der Sicherheitsanforderungen anhand des FIPS 140-2-Standards. Wir erstellten einen ausführlichen Bericht über die durchgeführte Lückenanalyse. Darin wiesen wir auf die Sicherheitslücken hin, die nicht den Anforderungen entsprachen. FIPS 140-2-Standard. Wir haben auch die potenziellen Risiken identifiziert, die mit dem Schlüsselverwaltungsprozess verbunden sind. Als wir mit der Bewertunghaben wir einige kritische Bereiche aufgedeckt, die Aufmerksamkeit erforderten:

  • Unser Kunde hatte einige wichtige Datenbanken, die sensible Daten speicherten, wo keine Verschlüsselung wurde angewendet. Dazu gehörten mehrere Oracle- und SQL Server-Datenbanken, in denen vertrauliche Informationen ohne jegliche Verschlüsselungsebene zum Schutz gespeichert waren.   
  • Sie verwendeten einen einzigen Verschlüsselungsschlüssel, um Daten über mehrere Anwendungen und Dienste hinweg zu verschlüsseln, einschließlich Backup-Datenbanken, was ernsthafte Sicherheitsrisiken darstellte. Wenn ein Angreifer in eine Anwendung eindringt, könnte er möglicherweise den Verschlüsselungsschlüssel kompromittieren und mit demselben Schlüssel auf alle anderen Systeme zugreifen.  
  • Es fehlte an rollenbasierter Zugriffskontrolle (RBAC) oder identitätsbasierter Zugriffskontrolle (IAM). Diese Richtlinien ermöglichten Benutzern den Zugriff auf vertrauliche Daten basierend auf ihren Rollen. Das Unternehmens-Setup gewährte mehr Zugriffsrechte als nötig. Dies bedeutete, dass der Zugriff auf vertrauliche Schlüssel und Informationen einfacher war als vorgesehen.  
  • Die geltenden kryptografischen Richtlinien und Standards reichten nicht aus, da sie nicht richtig mit den FIPS 140-2-SicherheitsanforderungenDie genannten Verschlüsselungsalgorithmen waren veraltet, die verwendeten Chiffren schwach und die Größe der Verschlüsselungsschlüssel reichte nicht aus, um modernen kryptografischen Angriffen standzuhalten. Dies machte kryptografische Module anfällig für potenzielle Sicherheitsverletzungen.  
  • Sie verfügten über mangelhafte Schlüsselverwaltungspraktiken, denen eine angemessene Zugriffskontrolle fehlte, die Mehrfachverwendung eines einzigen Schlüssels für mehrere Dienste und Anwendungen und die unzureichende Überwachung der Schlüsselnutzung. Diese mangelhaften Schlüsselverwaltung Diese Praktiken erhöhten das Risiko, dass der Schlüssel durch versehentliche Weitergabe, Fehlkonfiguration oder mangelnde Aufsicht offengelegt wird.

Die Lösung

Unsere Lückenanalyse lieferte eine detaillierte Aufschlüsselung und zeigte auf, welche FIPS-Sicherheitsanforderungen das Unternehmen erfüllte. Der Bericht hob auch die Bereiche hervor, in denen Verbesserungen erforderlich waren, um die erforderlichen Compliance-Anforderungen zu erfüllen. Die Lückenanalyse erfolgte durch eine detaillierte Untersuchung der Datenflussdiagramme verschiedener Anwendungen. Dabei wurde der Datenfluss vom Eingangs- zum Ausgangspunkt untersucht. Wir haben verstanden, wie die Daten innerhalb der Anwendung verarbeitet werden, ob im Ruhezustand oder während der Übertragung.

Alle unsere Erkenntnisse wurden mit konkreten Verbesserungsvorschlägen präsentiert. So hatte das Unternehmen einen klaren Weg, die bestehenden Sicherheitslücken zu schließen. Basierend auf unseren Vorschlägen und Empfehlungen unterstützten wir den Gesundheitsriesen dabei, alle organisatorischen Abläufe an die Sicherheitsvorschriften FIPS 140-2 anzupassen. Dies bedeutete die Aktualisierung von Algorithmen, die Einführung von Best Practices für wichtige Lifecycle-Managementund die Generierung eindeutiger Schlüssel für alle Anwendungen. Dies sind einige der vielen Möglichkeiten, wie wir die Organisation unterstützt haben: 

  • Wir haben die kryptografischen Richtlinien und Standards angepasst, die an den FIPS 140-2-Standard angepasst werden mussten. Wir haben die Spezifikationen für kryptografische Module beschrieben und die veralteten Algorithmen aktualisiert. Dadurch wurde sichergestellt, dass alle zukünftigen Anwendungen diese Richtlinien übernehmen, die den Best Practices der Branche entsprechen.  
  • Wir empfehlen die Aktivierung robuster Verschlüsselungstechniken, die FIPS 140-2 entsprechen, sowohl für ruhende Daten (AES 256 /RSA 2048 für Verschlüsselung) und Daten während der Übertragung (TLS 1.2 und höher). Dadurch werden die sensiblen Informationen an jedem Berührungspunkt geschützt.  
  • Als Nächstes empfehlen wir, für jede Anwendung und die zugehörigen Ressourcen eindeutige Verschlüsselungsschlüssel zu generieren. Dieser Prozess ermöglicht dem System eine erfolgreiche Isolierung, indem jedem Programm und jeder Komponente ein eindeutiger Schlüssel zugewiesen wird. Dies begrenzt die potenzielle Gefährdung und verhindert, dass ein Angreifer die gesamte Anwendung gefährdet, selbst wenn er sich Zugang verschafft. Dies trägt zur Verbesserung der kryptografischen Sicherheit bei.   
  • Um die Sicherheitsanforderungen für Rollen, Dienste und Authentifizierung abzudecken, schlugen wir vor, für die Schlüsselverwaltungsvorgänge über RBAC und IAM sowohl vor Ort als auch in der Cloud den Ansatz der geringstmöglichen Zugriffsberechtigung zu verwenden. So konnten nur autorisierte Personen auf bestimmte Daten und wichtige Funktionen zugreifen. Dies bedeutete auch eine logische Trennung zwischen erforderlichen und optionalen Rollen.  
  • Wir empfahlen die Einführung starker Authentifizierungsmechanismen wie der Multi-Faktor-Authentifizierung für den Zugriff auf kryptografische Systeme und Schlüsselverwaltungsschnittstellen. Dies trug dazu bei, Sicherheitsmaßnahmen zum Schutz des Unternehmens vor unbefugtem Zugriff zu ergreifen.  
  • Wir empfehlen die Einrichtung eines sicheren Schlüssellebenszyklus-Managementprozesses, von der sicheren Generierung (Zufallszahlengeneratoren), Verteilung, Rotation (Einrichten der Schlüsselgültigkeit) und Sperrung des Schlüssels bis hin zur Speicherung von Verschlüsselungsschlüsseln in sicheren kryptografischen Modulen wie HSMs und Schlüsseltresore und Überwachung der Schlüsselverwendung. 
  • Zur Designsicherung jeder Anwendung im Rahmen des Projekts schlugen wir vor, einen strukturierten Prozess zur Gewährleistung der Konformität zu befolgen, der kryptografische Standards und Richtliniendokumente aktualisiert. Dies beinhaltete die Sicherstellung, dass alle Modulkomponenten die erforderlichen Standards erfüllen. Dies wurde durch die Pflege einer detaillierten Dokumentation erreicht, die das Design, die Implementierung und die Betriebsumgebung des kryptografischen Moduls beschreibt.

Maßgeschneiderte Verschlüsselungsdienste

Wir bewerten, entwickeln Strategien und implementieren Verschlüsselungsstrategien und -lösungen.

Mehr erfahren

Die Auswirkungen

Wir konnten unserem Kunden erfolgreich dabei helfen, die FIPS 140-2-Konformität zu erreichen. Unsere Einschätzung und Support bildeten eine solide Grundlage für verschiedene langfristige Vorteile und strategische Ziele der Gesundheitsorganisation. Diese Bewertung hat der Organisation geholfen, ihre allgemeine Sicherheitslage zu verbessern und sensible Patientendaten effektiver zu schützen. Die durch diese Compliance geschaffenen Sicherheitsmaßnahmen ermöglichen Wachstum und Innovation. Die Organisation kann sich nun auf die Bereitstellung hochwertiger Pflege konzentrieren und gleichzeitig Sicherheit und Compliance gewährleisten. 

  • Die Organisation verwendet nun standardisierte Verschlüsselungs- und Sicherheitsmaßnahmen und erhielt dafür die FIPS-Zertifizierung. Dies verringert das Risiko kostspieliger Datenlecks und der damit verbundenen Bußgelder.   
  • Darüber hinaus eröffnete es neue Möglichkeiten für strategische Partnerschaften mit Technologielieferanten und anderen Gesundheitsdienstleistern, da die Organisation nun den FIPS-Standards entspricht.  
  • Durch diese Initiative wurden die besten Sicherheitspraktiken in den täglichen Betrieb der Organisation integriert. Dadurch wird das Risiko künftiger Verstöße verringert, indem weiterhin auf Details geachtet und die gesetzlichen Vorschriften eingehalten werden.

Fazit

Wir haben uns ein umfassendes Bild von den aktuellen kryptografischen Möglichkeiten und Einschränkungen unseres Kunden gemacht, um konkrete Empfehlungen zur Schließung von Sicherheitslücken zu geben. Wir haben die kryptografischen Richtlinien, Prozesse und Standards des Kunden sorgfältig geprüft und erfolgreich Workshops durchgeführt, um die Datenflussdiagramme, Komponenten und den Prozess der Datenspeicherung und -übertragung zu verstehen. Dies hat uns wiederum geholfen, das Unternehmen erfolgreich bei der Erfüllung aller notwendigen FIPS 140-2 Compliance-Anforderungen.

Unsere Bewertung und Strategie halfen dem Unternehmen nicht nur dabei, die Compliance-Anforderungen zu erfüllen, sondern versetzten es auch in die Lage, die aufkommenden Cyber-Bedrohungen besser zu bewältigen und geeignete Sicherheitsmaßnahmen zu ergreifen, die ihm helfen werden, in den kommenden Jahren sicher und konform zu bleiben.

Entdecken

Weitere Themen