Hopp til hovedinnhold

Direktoratet for e-helse blir en del av Helsedirektoratet

Fra 01.01.2024 er vi en del av Helsedirektoratet. Frem til juni vil vi jobbe med å overføre innholdet på denne siden til helsedirektoratet.no. Les mer om sammenslåingen her.

Fagartikkel fra Normen: Zero Trust-modellen – et paradigmeskifte innen digital sikkerhet?

Artikkelen vil gi deg et overblikk over hva Zero Trust er og hvilke erfaringer som til nå er gjort for å lykkes med innføring av Zero Trust-modellen

Innledning

Behovet for å etablere og opprettholde et tilstrekkelig nivå av informasjonssikkerhet er viktig i alle virksomheter. Særlig gjelder dette for sensitive pasientopplysninger og virksomhetskritiske digitale systemer i helse- og omsorgssektoren. Pasientsikkerheten rammes dersom en angriper manipulerer eller hindrer tilgang til pasientopplysninger og helsesystemer. Pasientinformasjon kan ha stor verdi for en angriper, og lekkasjer kan få betydelige konsekvenser for de det angår.

For å oppnå nødvendig robusthet må virksomhetene ha en balansert tilnærming til konfidensialitet, integritet og tilgjengelighet til informasjon og tjenester. Zero Trust-modellen («null tillitt») kan bidra til et paradigmeskifte og endret tankesett for enda bedre sikkerhet i sektoren. Med denne modellen kan virksomhetene jobbe strukturert og målrettet for å oppnå et høyt nivå av sikkerhet. Sikkerhetsutfordringer i IKT-systemer i sektoren kan ramme bredt og få store samfunnskonsekvenser. Virksomheter i sektoren arbeider derfor kontinuerlig med forbedring av sikkerheten, og mange gode tiltak er etablert.

Store deler av helsesektoren i Norge kan sies å ha vært «forholdsvis heldige» og har vært skånet for mange og alvorlige informasjonssikkerhetshendelser opp igjennom årene. Dette er et resultat av at det har blitt gjort et solid stykke arbeid allerede. Hadde ikke sektoren vært forholdsvis godt rustet, så ville langt flere virksomheter vært på den voksende listen over virksomheter som har blitt utsatt for tjenestenektangrep, løsepengevirus, eller andre alvorlige hendelser med mulig risiko for tap av liv.

Regjeringen har gjennom den nylige Stortingsmeldingen «Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet — Så åpent som mulig, så sikkert som nødvendig» satt fokus på Zero Trust-modellen. Den beskriver at norske anbefalinger om sikker nettverksarkitektur skal oppdateres i takt med internasjonale standarder på området. I USA har President Biden poengtert viktigheten av Zero Trust-tankegangen for å beskytte kritisk nasjonal infrastruktur. Nær 60 prosent av amerikanske helseforetak har påbegynt prosessen med å innføre Zero Trust, en betydelig økning de siste årene.

Zero Trust-modellen

Zero Trust-modellen ble utviklet av John Kindervag mens han arbeidet ved Forrester Research i 2009. Grunnprinsippet i Zero Trust-modellen er «aldri stol på, alltid bekreft». Zero Trust-modellen baserer seg på at man aldri skal ta for gitt at en brukerkonto, en enhet eller andre ressurser i et nettverk automatisk har tillit. Brukerkontoer og enheter blir løpende kontrollert for å se at tilganger til ressurser, og deres bruksmønstre er å tråd med forventet atferd. Mange vil oppfatte at modellen i hovedsak baserer seg på bruk av velkjente prinsipper som å følge «beste praksis» for løsninger, og å gi «minste privilegium»-tilganger til brukere. Autentisering er en viktig del av modellen. Resultatet er et mer robust digitalt landskap.

Zero Trust-modellen styrker virksomheters evne til å til å ivareta sikkerhet på flere måter. Når ingen enheter eller brukerkontoer automatisk får tillit, blir det vanskeligere for angripere å utnytte sårbarheter og få tilgang til sensitiv informasjon og systemressurser. Det er likevel viktig å ikke la seg fange av navnet; Zero Trust-prinsippet gjelder for enheter, systemer og brukerkontoer innenfor en virksomhet. Det er ikke meningen at modellen skal brukes på mellommenneskelig nivå. Dersom virksomheten innfører Zero Trust-modellen vil det ikke ha innvirkning på hvordan du forholder deg til kollegaene dine.

Begrepet «null tillit» kan fremstå uklart for de som arbeider i helsevirksomheter og er avhengig av høy tillit. Innføring av Zero Trust-modellen må ikke tolkes som mistillit til de ansatte.

Modellen er verken en rendyrket programvare- eller maskinvareløsning, men utgjør summen av en rekke tiltak som overvåkning, deteksjon og andre kontrolltiltak som skal ivareta sikkerheten til virksomhetens infrastruktur. Gradvis implementering kan være fornuftig av flere grunner.

For det første er det ingen leverandører som selv står bak Zero Trust-modellen. Det er derfor ikke et produkt man kjøper som hyllevare. Innføring av modellen vil derfor kreve mer av virksomheten og dens leverandører. Innføring av Zero Trust-modellen vil variere ut fra virksomhetenes digitale landskap. Enkeltkomponenter som er essensielle i innføringen av modellen kan anskaffes og konfigureres. Det er også mulig å utvikle disse selv. Vi spår at funksjonalitet for å understøtte Zero Trust-modellen i økende grad vil bakes inn i løsninger fra IT-leverandører i tiden fremover.

For det andre kan gevinstene ved å implementere modellen i de fleste tilfeller overgå kostnadene ved vellykkede digitale angrep mot virksomheten. Zero Trust-modellen er ingen «hurtigfiks». Dette er en modell som anbefaler et maksnivå av systemovervåkning, et minstenivå når det gjelder brukertilganger og varigheten på tilgangene – samt kontinuerlig vedlikehold og videre utvikling. Det vil selvsagt kreve ressurser. For de fleste virksomhetene vil dette allikevel være en lønnsom investering i et langtidsperspektiv.

Zero Trust i praksis

Zero Trust-modellen innebærer at ingen brukerkontoer, IT-utstyr og IT-systemer automatisk kan stole på andre, uavhengig av deres tilknytning til en virksomhet.

Zero Trust-modellen utfordrer den perimeter-baserte tankegangen der en brannmur utgjør det harde ytre skallet til en virksomhet. Den som kommer seg innenfor brannmuren har tilnærmet uhindret tilgang videre til data og systemressurser. Det beveger man seg nå bort i fra ved å holde varigheten på autentiserte sesjoner til et minimum, i tillegg til å håndheve «minste privilegium»-prinsippet gjennomgående.

Modellen tilegner alle brukerkontoer, enheter og systemer hver sin unike identitet. I stedet for å stole på at identitetene er legitime, så gjør Zero Trust-modellen det mulig å verifisere og autentisere alle forespørsler og aktiviteter som skjer innenfor den digitale infrastrukturen fortløpende. Dette kontrolleres ved at virksomheten overvåker trafikk og utstyrsbruk for å avdekke unormal atferd fra en bruker, enhet eller et system. Maskinlæring, kunstig intelligens og manuelle regler benyttes i analysen ut ifra et prinsipp om at enhver identitet skal ha de lavest mulige tilgangene til andre ressurser som er nødvendige for at de skal kunne utføre sine oppgaver. Maskinlæring vil kunne fange opp adferdsmønster som virksomheten ikke har måttet tenke ut på forhånd og ta høyde for, som når på døgnet, fra hvilken lokasjon og fra hvilket utstyr eller programvare tilgang til en ressurs er forespurt.

For å sørge for at alle forespørsler om tilgang oppfyller nødvendige krav før en identitet blir akseptert, benyttes en regelmotor (Policy Engine). Regelmotoren tar utgangspunkt i regelsettene som virksomheten har definert for alle ressurser innenfor sin infrastruktur, og kan også mates med informasjon fra løsninger for sikkerhetsovervåkning (SIEM), eller bulletins med info om de nyeste sårbarhetene.

I helsesektoren ser vi at HelseCERT gjør en fremragende innsats når det kommer til å dele opplysninger som kan påvirke tjenestetilbudet. Ved mating av regelmotoren med siste oppdateringer om sårbarheter fra HelseCERT kan det bidra til et mer robust digitalt landskap.

I tillegg til regelmotoren har man ytterligere to komponenter som bidrar til at regler følges. Den første kalles regelsettadministrator (Policy Administrator). Regelsettadministratoren har ansvaret for å håndheve avgjørelsene som tas av regelmotoren. Så snart regelmotoren har tatt en avgjørelse, så trår regelsettadministratoren inn for å godta eller avvise en forespørsel. Den andre er håndhevelsesmodulen (Policy Enforcement Point), som er ansvarlig for å tilrettelegge for, overvåke og terminere tilkoblinger mellom identiteter.

Disse tre komponentene har forskjellige roller knyttet til regelsettene som defineres av virksomheten. Disse regelsettene må sikres grundig. Hvis integriteten til regelsettene blir brutt, kan utfallet være at Zero Trust-modellen ikke fungerer optimalt. I verste fall vil en angriper kunne overta kontrollen over regelsettene, og dermed oppnå tilgang til data og systemer.

Henvendelser fra identitetene vil vurderes ut ifra kontekst, som hvor i verden brukerkontoen eller enheten befinner seg, til hvilken tid forespørslene kommer og om enhetene fått installert de nyeste sikkerhetsoppdateringene. Denne informasjonen gjør at policymotoren til en Zero Trust -implementasjon kan ta informerte beslutninger som enten tillater eller avviser forespørsler fortløpende. Dersom det kommer forespørsler som avviker med normale bruksmønstre, så vil det utløse krav om at identiteten må gjennomføre en ny autentisering. Der det lar seg gjøre vil flerfaktorautentisering være den sikreste måten å fornye tilliten til brukerkontoen eller ressursen. Merk at modellen kan ha behov for å samle inn store mengder personopplysninger som f.eks. lokasjonsdata, kognitive mønstre for opplæring av kunstig intelligens og adferdsbiometri.

I enkelte tilfeller vil Zero Trust-modellen medføre at en bruker eller komponent må autentisere seg på nytt, f.eks. når policymotoren avgjør at en forespørsel avviker nok til at man bør undersøke nærmere.

Det er altså ikke slik at man må logge inn på nytt til hver løsning eller system man bruker i arbeidshverdagen. Dersom du for eksempel er på tjenestereise på et annet kontinent og logger på til et tidspunkt som er uvanlig for ditt bruksmønster, så må du derimot forvente at Zero Trust-modellen vil utløse ekstra autentiseringer om du forsøker å nå kritiske systemer eller sensitive data.

Brukerkontoer med forskjellige roller innenfor en virksomhet vil ha ulike nivåer av tilganger. Disse tilgangene styres av regelsettene man definerer. Det er viktig å sikre at organisasjonens regelsett og rutiner er tilpasset det aktuelle trusselnivået og virksomhetens behov. Dette kan innebære å oppdatere autorisasjonskriterier, tilgangskontrollprosedyrer og andre sikkerhetsrelaterte rutiner. Risiko- og sårbarhetsanalyser er avgjørende for å klassifisere hvilke systemer som er mest kritiske, og som dermed krever høyest nivå av sikkerhet.

Siden Zero Trust i seg selv ikke er en spesifikk systemløsning eller en funksjon man slår av eller på i systemkonfigurasjonen, så kreves det kompetanse om modellen ved IT-anskaffelser. Det er viktig å sørge for at det man anskaffelser kan benyttes hensiktsmessig med modellen i virksomhetens digitale landskap.

Selv om modellen kan være en effektiv måte å styrke informasjonssikkerheten på, så er det viktig å huske at dette ikke er en mirakelkur. Det er heller ikke noe man setter opp én gang, implementeringen har ikke like god effekt over tid. Det vil være behov for tilpasninger og løpende vedlikehold av for eksempel regelsett. En vellykket implementering forutsetter en grundig sikkerhetsstrategi, med kontinuerlig revisjon, for å sikre at nettverk og tjenester er så sikre som mulig. Det er i den sammenheng viktig å ha oppdatert oversikt over brukerkontoer, digitale enheter, IT-tjenester og bruksmønstre for disse.

Hvordan Zero Trust-modellen hever sikkerheten

I helsesektoren kan Zero Trust-modellen bidra til å styrke konfidensialiteten, integriteten og tilgjengeligheten til virksomhetens informasjon.

Senker risiko for datalekkasje og uautorisert tilgang

Zero Trust-modellen kan bidra til å redusere risikoen for lekkasjer eller uautorisert tilgang.

Ved å kontrollere at kun de autoriserte identitetene har tilgang til virksomhetens mest sensitive data, deretter at disse identitetene har lavest mulig nivå av tilgang til dataene, begrenses risikoen for at sensitiv informasjon kommer på avveie til et minimum. Samtidig må man sørge for at identitetene har tilstrekkelig tilgang til å utføre sine oppgaver. Dette er avveining virksomheten må gjøre for alle identiteter.

Flere sikkerhetsbarrierer

Kompromittering av ett system, eller én enhet, vil ikke gi en angriper full tilgang til alle ressurser i virksomheter som har implementert Zero Trust-modellen. Grunnen til dette er at dersom en angriper oppnår uautorisert tilgang til én ressurs, så vil den kontinuerlige kontrollen av tilganger og bruksmønstre by på ytterligere barrierer dersom en angriper forsøker å bevege seg videre inn i nettverket. Systemene vil derfor kunne beholde sin integritet.

En ytterligere konsekvens ved å ha flere sikkerhetsbarrierer er at man på sikt blir et mindre attraktivt angrepsmål. Det vil være mer ressurskrevende for en trusselaktør å kompromittere virksomhetens systemer når Zero Trust-modellen er innført.

Skadepotensiale ved løsepengeangrep mot helse- og omsorgssektoren

Det er flere eksempler på hvordan helsevirksomheter settes ut av spill av målrettede skadevarekampanjer. Et nærliggende eksempel er hvordan Irlands helsevesen ble hardt rammet i 2017. Dette angrepet har blitt grundig analysert i ettertid. Irlands Health Service Executive (HSE) ble utsatt for et digitalt utpressingsangrep som lammet helsetjenestene i store deler av landet i mange dager. Det totale tjenestetilbudet ble ikke gjenopprettet før flere år senere. Angrepet var kostbart og utgjorde en betydelig fare for pasientsikkerheten. Eksempelvis måtte leger og sykepleiere plutselig benytte journaler som ble ført med penn og papir, og kritiske pasientgrupper som kreftpasienter mistet tilgang til livsforlengende behandling.

I et slikt scenario kunne Zero Trust-modellen ha bidratt til å redusere omfanget ved å forhindre eller redusere angripernes tilgang til store deler av virksomhetens data og IKT-ressurser. Grundige kontroller av forespørsler fra brukerkontoer, digitale enheter og andre ressurser, samt «aldri stol på, alltid bekreft»-mantraet ville trolig ha bidratt til et betydelig høyere sikkerhetsnivå innenfor HSE sine systemer.

Prosessen med å gjenopprette systemene startet først en uke etter angrepet, og ytterligere tre uker senere var under halvparten av informasjonen dekryptert. Radiologisystemer, CT og andre skannemetoder samt hjemmebesøk ble satt på vent i lengre tid. I etterkant av angrepet analyserte konsulentfirmaet PwC hendelsesforløpet, og avdekket at trusselaktøren i månedsvis hadde hatt en fot innenfor nettverket, kunne bevege seg fritt, og bruke god tid på å kartlegge de mest kritiske ressursene. Da angrepet ble iverksatt, nesten åtte uker etter opprinnelig kompromittering, så var angriperen godt forberedt og hadde grundig oversikt over målet sitt.

Hvis HSE hadde tatt i bruk en Zero Trust-modell i forkant, så er det rimelig å anta at angrepet ville hatt mindre skadeomfang, eller kunne vært stanset før angriperen fikk anledning til å kjøre skadevaren.

Zero Trust-modellen ville gitt en sikkerhet i dybden som ikke var tilstrekkelig til stede på angrepstidspunktet. PwC-rapporten beskrev at det var mangelfull overvåking av infrastrukturen til HSE, at rutiner for sikkerhetsoppdatering av systemer ikke var gode nok og at man gjorde seg for avhengig av et enkelt antivirusprodukt som ikke ble overvåket eller vedlikeholdt med oppdateringer regelmessig.

Suksesskriterier for innføring av Zero Trust-modellen

Innføring av Zero Trust-modellen i eksisterende infrastruktur er krevende, og ofte vanskelig å gjennomføre fullt ut. Det kan føre til at noen systemer eller ressurser må holdes utenfor Zero Trust-modellen, og sluttproduktet blir dermed mindre effektivt enn i de tilfeller der virksomheten designer sitt digitale landskap fra bunnen av med Zero Trust-modellen i tankene.

Det viktigste man gjør før man begynner å innføre Zero Trust-modellen er å skape seg et grundig situasjonsbilde av nåsituasjonen; hvem er brukerne, hvilke enheter opererer i systemmiljøet, hvilke IT-tjenester og ressurser er tilgjengelige, hvem skal de være tilgjengelige for og når skal de være tilgjengelige. Klarer man å kartlegge dette og er trygg på at oversikten man sitter med er presis, så er man godt på vei med forarbeidet. Jo grundigere forarbeid man gjør i forkant av en Zero Trust-innføring, jo bedre vil sluttproduktet bli.

Zero Trust er en gjentagende prosess fordi det ikke er mulig å opprette et «perfekt» nivå av sikkerhet som kan beskytte organisasjonen mot alle mulige trusler og sikkerhetsbrudd på permanent basis. I stedet må virksomhetene fortsette å evaluere og forbedre implementeringen av sikkerhetsløsningene sine for å holde tritt med nye trusler og sårbarheter som kan oppstå.

For å opprettholde en effektiv Zero Trust-modell er det nødvendig å:

  • Vedlikeholde en nøye detaljert oversikt over brukerkontoer og ressurser som skal ha tilganger innenfor virksomhetens infrastruktur.
  • Vite hvilke identiteter som gjør forespørsler mot andre enheter, brukerkontoer eller ressurser i det digitale landskapet, og ha en idé om når og hvor de forskjellige henvendelsene typisk stammer fra, for å lettere kunne luke ut avvik eller mistenkelig aktivitet.
  • Overvåke og evaluere trusler og sårbarheter som kan påvirke virksomhetens sikkerhet, slik at man kan tilpasse sikkerhetsløsningene. Noen løsninger kan kanskje ikke oppdateres med en gang, men ved f.eks. ytterligere segmentering av nettverket kan enheter med kjente sårbarheter fortsatt benyttes i påvente av sikkerhetsoppdateringer.
  • Vurdere og oppdatere regelsett og rutiner.
  • Gjennomføre regelmessig sikkerhetstesting for å sikre at systemene fungerer som de skal og for å avdekke eventuelle sårbarheter.
  • Ha fokus på at opplæring og sikkerhetskultur er grunnleggende tiltak, slik at ansatte i virksomheten forstår hvordan de kan bidra til å beskytte virksomheten mot trusler og sårbarheter, for eksempel ved å følge sikkerhetsrutiner. Alt kan ikke overlates til Zero Trust-modellen. Det er virksomhetens ansvar at ansatte gis nødvendig sikkerhetsopplæring for at de skal kunne operere i tråd med det som er virksomhetens ønskede atferd.
  • Sørge for at virksomheten har et bevisst forhold til sikkerhetsnivået hos leverandører og samarbeidspartnere for å hindre påvirkning gjennom mulige sårbarheter og trusler fra verdikjeden. Det totale digitale landskapet en virksomhet opererer i kan inkludere både leverandører, underleverandører, kunder, brukere og tilknyttede virksomheter. Jo tettere man integrerer seg med samarbeidspartnere, jo mer utsetter man seg for sårbarheter som kan eksistere i deres infrastruktur. Rutiner ved uønskede hendelser må etableres og øves på.

Oppsummering

Det kan være omfattende å innføre en Zero Trust-modell, spesielt i større virksomheter med mange enheter, brukerkontoer og tjenester over flere lokasjoner. En vellykket implementering krever grundig forarbeid, kontinuerlig vedlikehold og aktiv deltakelse, samt tilstrekkelig prioritet i flere ledd i virksomheten.

Zero Trust-modellen poengterer viktigheten av velkjente tiltak som «minste privilegium» for brukere og å følge «beste praksis» for enhetene innenfor infrastrukturen. Mange vil derfor finne at de allerede følger flere av de grunnleggende anbefalingene som Zero Trust-modellen fremhever som viktige. Veien til å innføre modellen i større omfang kan derfor allerede være påbegynt.

Gevinstene ved å implementere Zero Trust-modellen vil være mange, og i de fleste tilfeller trolig overgå kostnadene ved vellykkede digitale angrep mot virksomheten. Gjennom eksemplet fra Irland har vi sett at Zero Trust-modellen kunne vært skadebegrensende eller hindret angrepet.

Innføring av Zero Trust er ikke en engangsjobb, det kreves kontinuerlig fokus. Sikkerhet er ferskvare, og den løsningen man tok i bruk i går kan gå ut på dato før man aner ordet av det. Derfor trenger man sikkerhet i flere lag, slik Zero Trust-modellen legger opp til.

De fleste virksomheter som behandler sensitiv informasjon og har viktige digitale tjenester bør nøye vurdere å ta i bruk Zero Trust-modellen for å sikre sitt digitale landskap. Regjeringens nylige Stortingsmelding om nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet har også satt fokus på Zero Trust-modellen for å etablere sikker nettverksarkitektur.

Zero Trust-modellen er ikke en løsning i seg selv, men et paradigmeskifte som kan være avgjørende for hvordan man kan styrke og opprettholde sikkerheten i en virksomhet som forvalter sensitiv informasjon og kritiske systemer. Det kan derfor være nødvendig å endre tankesett og tilnærmingen til informasjonssikkerhet for å lykkes.

Kilder til mer informasjon

Du finner Stortingsmeldingen og mer informasjon om Zero Trust-modellen her:

Normen og Zero Trust

Dette er en fagartikkel skrevet av sekretariatet for Normen. Det er ikke veiledningstekst godkjent av Normens styringsgruppe.

Vi jobber for tiden med å undersøke hvordan Zero Trust skal omfattes av Normens krav og hva som trengs av veiledning på området. Har du innspill til hvordan Normen kan jobbe med Zero Trust eller har du andre ønsker? Ta kontakt med oss på sikkerhetsnormen@ehelse.no.