Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. Fallstudie

En framgångssaga om hur vi hjälpte en ledande vårdorganisation med FIPS 140-2-efterlevnadsbedömning

Postat avParnashree Saha 07 minuter
Fallstudie om FIPS 140-2-efterlevnadsbedömning
Innehållsförteckning

Företagsöversikt

Vi arbetade med en av de ledande vårdgivarna i USA som erbjuder ett brett utbud av sjukförsäkringar och tjänster till människor både nationellt och internationellt. De hanterar en global databas med tusentals klienter och deras konfidentiella information. Deras nätverk bestod av flera platser och över 20 000 anställda, och upprätthöll en kontinuerlig kommunikationskanal med olika sjukhus och kliniker. Deras mål var att uppnå FIPS 140-2-efterlevnad, och de sökte stöd i en grundlig bedömning av sin breda infrastruktur som skulle vägleda dem att vidta alla nödvändiga åtgärder för att uppfylla kraven.

Utmaningar  

Vid arbete med data, särskilt inom hälso- och sjukvårdssektorn, skyddar PII (personligt identifierbar information) och PHI-data (skyddad hälsoinformation) om din patient är en nödvändighet. Organisationens huvudmål var att få en omfattande bedömning av brister i den befintliga miljön, inklusive en grundlig granskning av deras nuvarande kryptografiska standarderDe ville också få ett intyg om efterlevnad genom att noggrant utvärdera företagets ansökan som visade deras engagemang för att skydda känslig information.

När vi hade fått relevant information utförde vi en djupgående gapanalys genom att undersöka deras kryptografiska kontroller och standarder och utvärdera alla viktiga aspekter av säkerhetskraven mot FIPS 140-2-standarden. Vi skapade en grundlig rapport om den gapanalys vi utförde. I rapporten påpekade vi de säkerhetsluckor som inte uppfyllde kraven. FIPS 140-2-standarden. Vi identifierade också de potentiella riskerna i samband med nyckelhanteringsprocessen. När vi påbörjade bedömning, upptäckte vi några kritiska områden som behövde uppmärksammas:

  • Vår klient hade några viktiga databaser som lagrade känsliga data där ingen kryptering tillämpades. Detta inkluderade flera Oracle- och SQL Server-databaser, som lagrade känslig information utan något krypteringslager för att skydda dem.   
  • De använde en enda krypteringsnyckel för att kryptera data över flera applikationer och tjänster, inklusive säkerhetskopierade databaser, vilket skapade allvarliga säkerhetsrisker. Om en angripare bröt sig in i en applikation skulle de potentiellt kunna kompromettera krypteringsnyckeln och få tillgång till alla andra system med samma nyckel.  
  • Det saknades rollbaserad åtkomstkontroll (RBAC) eller identitetsbaserad åtkomstkontroll (IAM). Dessa policyer gav användare åtkomst till känsliga data baserat på deras roller. Företagets konfiguration gav mer åtkomst än nödvändigt. Detta innebar att det var lättare att komma åt känsliga nycklar och information än det borde ha varit.  
  • De kryptografiska policyerna och standarderna som fanns var inte tillräckliga eftersom de inte var korrekt anpassade till FIPS 140-2 säkerhetskravDe nämnda krypteringsalgoritmerna var föråldrade, chiffersviterna var svaga och krypteringsnycklarnas storlek var inte tillräckligt stora för att motstå moderna kryptografiska attacker. Detta gjorde kryptografiska moduler sårbara för potentiella intrång.  
  • De hade dåliga rutiner för nyckelhantering som saknade tillräcklig åtkomstkontroll, flera användningar av en enda nyckel i flera tjänster och applikationer, och ingen ordentlig övervakning av nyckelanvändningen. Dessa dåliga nyckelhantering metoder ökade riskerna för att nyckeln exponerades genom oavsiktlig delning, felkonfiguration eller bristande tillsyn.

Lösningen

Vår gapanalys gav en grundlig genomgång genom att peka ut vilka FIPS-säkerhetsnivåkrav som uppfylldes av organisationen. Rapporten lyfte också fram de områden som behövde förbättringar för att uppfylla de nödvändiga efterlevnadskraven. Gapanalysen gjordes genom en detaljerad studie av olika applikationers dataflödesdiagram, där vi studerade hur data flög från ingångspunkten till utgångspunkten. Vi förstod hur data hanterades inom applikationen, oavsett om de var i vila eller under överföring.

Alla upptäckter vi gjorde presenterades med specifika förslag till förbättringar. Detta säkerställde att organisationen hade en tydlig väg att arbeta med för att minska de nuvarande säkerhetsbristerna. Utifrån alla våra förslag och rekommendationer stödde vi vårdjätten i att anpassa alla sina organisatoriska rutiner till FIPS 140-2-säkerhetsföreskrifterna. Detta innebar att uppdatera algoritmer och anta bästa praxis för viktiga... livscykelhanteringoch generera unika nycklar för alla applikationer. Här är några av de många sätt vi stödde organisationen på: 

  • Vi modifierade de kryptografiska policyer och standarder som behövde anpassas till FIPS 140-2-standarden. Vi beskrev specifikationerna för kryptografiska moduler och uppdaterade de föråldrade algoritmerna. Det säkerställde att alla ytterligare applikationer som skulle utvecklas i framtiden antog dessa policyer utformade för att uppfylla branschens bästa praxis.  
  • Vi rekommenderade att man aktiverar robusta krypteringstekniker som uppfyller FIPS 140-2 för både data i vila (AES 256 /RSA 2048 för kryptering) och data under överföring (TLS 1.2 och senare). Detta skyddade känslig information vid varje kontaktpunkt.  
  • Därefter rekommenderade vi att generera unika krypteringsnycklar för varje applikation och de resurser som hör till den. Processen gör det möjligt för systemet att isolera genom att ge varje program och komponent en distinkt nyckel. Detta begränsar potentiell exponering och förhindrar att en angripare äventyrar hela applikationen, även om de lyckas ta sig in, vilket bidrar till att förbättra den kryptografiska säkerheten.   
  • För att täcka säkerhetskraven för roller, tjänster och autentisering föreslog vi att använda den minst privilegierade åtkomstkontrollmetoden för deras nyckelhanteringsoperationer via RBAC och IAM för både lokal och i molnet, vilket gör det möjligt för endast behöriga personer att komma åt specifika data och viktiga funktioner. Detta innebar också att logiskt separera obligatoriska och valfria roller.  
  • Vi rekommenderade att man införde starka autentiseringsmekanismer som flerfaktorautentisering för att få åtkomst till kryptografiska system och nyckelhanteringsgränssnitt. Detta bidrog till att lägga till säkerhetsåtgärder som skyddar organisationen från obehörig åtkomst.  
  • Vi rekommenderade att man etablerar en säker process för nyckellivscykelhantering, från säker generering (slumptalsgeneratorer), distribution, rotation (konfigurering av nyckelgiltighet) och återkallelse av nyckeln till lagring av krypteringsnycklar i säkra kryptografiska moduler som HSM och nyckelvalv och övervakning av nyckelanvändningen. 
  • För designsäkringen av varje applikation inom ramen föreslog vi att man skulle följa en strukturerad process för att säkerställa efterlevnad, vilken uppdaterade kryptografiska standarder och policydokument. Detta inkluderade att säkerställa att alla modulkomponenter uppfyllde nödvändiga standarder. Detta gjordes genom att upprätthålla detaljerad dokumentation som beskriver kryptografimodulens design, implementering och driftsmiljö.

Skräddarsydda krypteringstjänster

Vi utvärderar, strategiserar och implementerar krypteringsstrategier och lösningar.

Läs mer

Inverkan

Vi kunde framgångsrikt hjälpa vår klient att uppnå FIPS 140-2-efterlevnad. Vår bedömning och stöd skapade en stark grund för olika långsiktiga fördelar och strategiska mål för vårdorganisationen. Denna bedömning har hjälpt organisationen att förbättra sin övergripande säkerhetsställning och skydda känslig patientinformation mer effektivt. De säkerhetsåtgärder som etablerats genom denna efterlevnad kommer att möjliggöra tillväxt och innovation. Organisationen kan nu fokusera på att leverera högkvalitativ vård samtidigt som den förblir säker och efterlever regelverket. 

  • Organisationen använder nu standardiserade krypterings- och säkerhetsåtgärder, vilket ger dem FIPS-certifiering. Detta minskar risken för dyra dataintrång och de böter som följer med dem.   
  • Dessutom öppnade det nya möjligheter för strategiska partnerskap med teknikleverantörer och andra vårdgivare i och med att organisationen nu uppfyller FIPS-standarder.  
  • Detta initiativ har infört bästa säkerhetspraxis i organisationens dagliga verksamhet, vilket minskar risken för framtida bristande efterlevnad genom att säkerställa fortsatt noggrannhet och efterlevnad av regelverk.

Slutsats

Vi byggde upp en grundlig förståelse för vår kunds nuvarande kryptografiska kapacitet och begränsningar för att ge specifika rekommendationer för att åtgärda säkerhetsbrister. Vi granskade noggrant kundens kryptografiska policyer, processer och standarder och genomförde framgångsrikt workshops för att förstå applikationens dataflödesdiagram, komponenter och processen för data som lagras i vila och överförs från en punkt till en annan, vilket i sin tur hjälpte oss att framgångsrikt stödja organisationen för att uppfylla alla nödvändiga krav. FIPS 140-2 krav på överensstämmelse.

Vår bedömning och strategi hjälpte inte bara organisationen att uppfylla efterlevnadskraven, utan rustade också organisationen att bättre hantera framväxande cyberhot och etablera lämpliga säkerhetsåtgärder som kommer att hjälpa dem att förbli säkra och efterleva reglerna under kommande år.

Utforska

Fler ämnen