Een succesverhaal over hoe we een toonaangevende zorginstelling hebben geholpen met de FIPS 140-2-nalevingsbeoordeling

Bedrijfsoverzicht

We werkten samen met een van de beste zorgaanbieders in de VS, die een breed scala aan zorgverzekeringen en -diensten aanbiedt aan mensen, zowel nationaal als internationaal. Ze beheren een wereldwijde database met duizenden cliënten en hun vertrouwelijke gegevens. Hun netwerk bestond uit meerdere locaties en meer dan 20,000 medewerkers, en ze onderhielden een continu communicatiekanaal met diverse ziekenhuizen en klinieken. Hun doel was om te voldoen aan FIPS 140-2 en ze zochten ondersteuning in de vorm van een grondige beoordeling van hun brede infrastructuur, die hen zou helpen alle noodzakelijke stappen te nemen om aan de vereisten te voldoen.

Challenges  

Bij het werken met data, vooral in de gezondheidszorg, is het belangrijk om de PII (persoonlijk identificeerbare informatie) en PHI-gegevens (Protected Health Information) over uw patiënt zijn een noodzaak. De kerndoelstelling van de organisatie was om een ​​uitgebreide gap-analyse van de bestaande omgeving te verkrijgen, inclusief een grondige evaluatie van hun huidige cryptografische standaardenZe wilden ook een conformiteitscertificaat behalen door de aanvraag van het bedrijf grondig te evalueren, zodat duidelijk werd hoe toegewijd het bedrijf is aan de bescherming van gevoelige informatie.

Nadat we de relevante informatie hadden verkregen, voerden we een diepgaande gapanalyse uit door hun cryptografische controles en standaarden te onderzoeken en alle cruciale aspecten van de beveiligingsvereisten te evalueren aan de hand van de FIPS 140-2-standaard. We stelden een grondig rapport op van de gapanalyse die we hadden uitgevoerd. In het rapport wezen we op de beveiligingslacunes die niet voldeden aan de FIPS 140-2-norm. We hebben ook de potentiële risico's in verband met het sleutelbeheerproces geïdentificeerd. Toen we begonnen met de beoordelinghebben we een aantal cruciale gebieden ontdekt die aandacht behoefden:

• Onze klant had een aantal belangrijke databases waarin gevoelige gegevens werden opgeslagen, waar geen encryptie werd toegepast. Dit omvatte meerdere Oracle- en SQL Server-databases, waarin gevoelige informatie werd opgeslagen zonder enige encryptielaag ter bescherming.   
• Ze gebruikten één encryptiesleutel om gegevens in verschillende applicaties en services te versleutelen, waaronder back-updatabases, wat ernstige beveiligingsrisico's met zich meebracht. Als een aanvaller één applicatie zou hacken, zou hij mogelijk de encryptiesleutel kunnen stelen en toegang krijgen tot alle andere systemen die dezelfde sleutel gebruiken.  
• Er was een gebrek aan rolgebaseerde toegangscontrole (RBAC) of identiteitsgebaseerde toegangscontrole (IAM). Deze beleidsregels gaven gebruikers toegang tot gevoelige gegevens op basis van hun rol. De bedrijfsconfiguratie bood meer toegang dan nodig was. Dit betekende dat het gemakkelijker was om toegang te krijgen tot gevoelige sleutels en informatie dan nodig was.  
• Het cryptografische beleid en de geldende standaarden waren niet voldoende, omdat ze niet goed aansloten bij de FIPS 140-2 beveiligingsvereistenDe genoemde encryptie-algoritmen waren verouderd, de cipher suites waren zwak en de grootte van de encryptiesleutels was niet groot genoeg om moderne cryptografische aanvallen te weerstaan. Dit maakte cryptografische modules kwetsbaar voor mogelijke inbreuken.  
• Ze hadden slechte sleutelbeheerpraktijken, een gebrek aan adequate toegangscontrole, meervoudig gebruik van één sleutel voor meerdere services en applicaties en geen goede monitoring van het sleutelgebruik. sleutelbeheer Door deze praktijken is het risico groter dat de sleutel wordt blootgesteld door onbedoeld delen, verkeerde configuratie of gebrek aan toezicht.

De Oplossing

Onze gapanalyse leverde een grondige analyse op door aan te geven aan welke FIPS-beveiligingsniveaus de organisatie voldeed. Het rapport belichtte ook de gebieden die verbetering behoefden om aan de vereiste compliance-eisen te voldoen. De gapanalyse werd uitgevoerd door een gedetailleerde studie van de datastroomdiagrammen van verschillende applicaties, waarbij werd gekeken hoe de data van het ingaande naar het uitgaande punt stroomde. We kregen inzicht in hoe data binnen de applicatie werd verwerkt, zowel in rust als tijdens de overdracht.

Alle ontdekkingen die we deden, werden gepresenteerd met specifieke suggesties voor verbetering. Dit zorgde ervoor dat de organisatie een duidelijk pad had om de huidige beveiligingslekken te dichten. Op basis van al onze suggesties en aanbevelingen hebben we de zorggigant ondersteund om al haar organisatorische praktijken af ​​te stemmen op de FIPS 140-2-beveiligingsvoorschriften. Dit betekende het updaten van algoritmen en het implementeren van best practices voor belangrijke levenscyclus managementen het genereren van unieke sleutels voor alle applicaties. Dit zijn enkele van de vele manieren waarop we de organisatie hebben ondersteund: 

• We hebben de cryptografische beleidsregels en standaarden aangepast die moesten worden afgestemd op de FIPS 140-2-standaard. We hebben de specificaties voor cryptografische modules beschreven en de verouderde algoritmen bijgewerkt. Dit heeft ervoor gezorgd dat toekomstige applicaties deze beleidsregels, die zijn ontworpen om te voldoen aan de best practices in de branche, zouden overnemen.  
• We raden aan om robuuste encryptietechnieken in te schakelen die voldoen aan FIPS 140-2 voor zowel data-at-rest (AES 256 /RSA 2048 voor encryptie) en data-in-transit (TLS 1.2 en hoger). Hierdoor werd gevoelige informatie bij elk contactpunt beschermd.  
• Vervolgens adviseerden we om unieke encryptiesleutels te genereren voor elke applicatie en de bijbehorende resources. Dit proces stelt het systeem in staat om succesvol te isoleren door elk programma en component een unieke sleutel te geven. Dit beperkt potentiële blootstelling en voorkomt dat een aanvaller de hele applicatie in gevaar brengt, zelfs als hij erin slaagt binnen te dringen. Dit draagt ​​bij aan een betere cryptografische beveiliging.   
• Om te voldoen aan de beveiligingsvereisten van rollen, services en authenticatie, stelden we voor om de minst bevoorrechte toegangscontrolemethode te gebruiken voor hun sleutelbeheeractiviteiten via RBAC en IAM, zowel on-premises als in de cloud. Hierdoor krijgen alleen geautoriseerde personen toegang tot specifieke gegevens en belangrijke functies. Dit betekende ook dat er een logische scheiding moest worden aangebracht tussen vereiste en optionele rollen.  
• We adviseerden om sterke authenticatiemechanismen zoals multifactorauthenticatie te implementeren om toegang te krijgen tot cryptografische systemen en sleutelbeheerinterfaces. Dit hielp om beveiligingsmaatregelen toe te voegen die de organisatie beschermden tegen ongeautoriseerde toegang.  
• Wij hebben aanbevolen een veilig beheerproces voor de levenscyclus van sleutels in te stellen, van het veilig genereren (willekeurige nummergeneratoren), distribueren, roteren (het instellen van de geldigheid van de sleutel) en het intrekken van de sleutel tot het opslaan van encryptiesleutels bij veilige cryptografische modules zoals HSM's en sleutelkluizen en het monitoren van het sleutelgebruik. 
• Om het ontwerp van elke applicatie in scope te waarborgen, stelden we voor om een ​​gestructureerd proces te volgen om naleving te garanderen, waarbij cryptografische standaarden en beleidsdocumenten werden bijgewerkt. Dit omvatte het waarborgen dat alle modulecomponenten aan de vereiste standaarden voldeden. Dit werd bereikt door gedetailleerde documentatie bij te houden waarin het ontwerp, de implementatie en de operationele omgeving van de cryptografische module werden beschreven.

De Impact

Wij hebben onze klant succesvol geholpen bij het behalen van FIPS 140-2-naleving. Onze beoordeling en ondersteuning hebben een sterke basis gelegd voor diverse langetermijnvoordelen en strategische doelen voor de zorginstelling. Deze beoordeling heeft de organisatie geholpen haar algehele beveiligingspositie te verbeteren en gevoelige patiëntgegevens effectiever te beschermen. De beveiligingsmaatregelen die door deze compliance zijn getroffen, zullen groei en innovatie mogelijk maken. De organisatie kan zich nu richten op het leveren van hoogwaardige zorg, terwijl ze tegelijkertijd veilig en compliant blijft. 

• De organisatie maakt nu gebruik van gestandaardiseerde encryptie en beveiligingsmaatregelen, wat hen de FIPS-certificering opleverde. Dit verlaagt het risico op kostbare datalekken en de bijbehorende boetes.   
• Bovendien ontstonden er nieuwe mogelijkheden voor strategische partnerschappen met technologieleveranciers en andere zorgverleners, omdat de organisatie nu voldoet aan de FIPS-normen.  
• Dankzij dit initiatief zijn de beste beveiligingspraktijken toegevoegd aan de dagelijkse werkzaamheden van de organisatie. Hierdoor is het risico op toekomstige niet-naleving verminderd, omdat er voortdurend aandacht is voor details en naleving van de regelgeving.

Conclusie

We hebben een grondig begrip opgebouwd van de huidige cryptografische mogelijkheden en beperkingen van onze klant om specifieke aanbevelingen te doen voor het aanpakken van beveiligingslacunes. We hebben het cryptografische beleid, de processen en de standaarden van de klant zorgvuldig beoordeeld en met succes workshops gegeven om inzicht te krijgen in de datastroomdiagrammen, componenten en het proces van dataopslag en overdracht van het ene punt naar het andere. Dit heeft ons geholpen de organisatie succesvol te ondersteunen bij het voldoen aan alle noodzakelijke vereisten. FIPS 140-2 nalevingsvereisten.

Dankzij onze beoordeling en strategie kon de organisatie niet alleen voldoen aan de nalevingsvereisten, maar kon de organisatie ook beter omgaan met opkomende cyberbedreigingen en de juiste beveiligingsmaatregelen treffen. Zo kan de organisatie de komende jaren veilig en compliant blijven.