HealthFirst wendet den Ansatz an, identity Security zu priorisieren, um Zero Trust durchzusetzen

Unternehmensprofil

Healthfirst ist der größte gemeinnützige Krankenversicherer im Bundesstaat New York. Das Unternehmen bietet qualitativ hochwertige, erschwingliche Tarife für jede Lebensphase an, darunter Medicaid, Medicare Advantage, Langzeitpflege, qualifizierte Gesundheitsleistungen sowie Einzel- und Kleingruppenversicherungen. Der einzigartige Vorteil von Healthfirst besteht darin, dass die Mitglieder an erster Stelle stehen, indem es eng mit seinem breiten Netzwerk von Anbietern zusammenarbeitet, um gemeinsame Ziele zu erreichen. Healthfirst ist auch ein Pionier des wertorientierten Versorgungsmodells, bei dem Krankenhäuser und Ärzte auf der Grundlage von Patientenergebnissen bezahlt werden.

Jährlicher Umsatz: 14 Mrd. USD Mitarbeiter: 5.000

Herausforderungen.

Brian Miller, CISO bei Healthfirst, macht sich keine Illusionen über die Bedrohungslandschaft im Bereich der Cybersicherheit und darüber, wo die Verteidigung ansetzen sollte. „Es gibt unendlich viele Variablen, wenn es um Cyberangriffe geht. Stellen Sie sich eine Armee vor, die eine Wüste überquert. Um sie aufzuhalten, bräuchten wir einen Sicherheitszaun quer durch die Wüste“, so Miller. „Aber mit nur 300 Leuten auf einem Bergpass können wir die ganze Armee aufhalten. Identität ist der Bergpass Ihrer Umgebung, und Identität ist der Bereich, in den Healthfirst viel investiert.“

Miller wurde zu Healthfirst, dem größten gemeinnützigen Krankenversicherer im Bundesstaat New York, geholt, weil das Unternehmen seine Cybersicherheitsaktivitäten weiterentwickeln wollte. Healthfirst wurde vor fast 30 Jahren gegründet und hat mit seinem Netzwerk aus Krankenhaussystemen, kommunalen Anbietern und Partnern zusammengearbeitet, um die Gesundheitsergebnisse kontinuierlich zu verbessern und die Gesundheitsgerechtigkeit durch einen besseren Zugang zur Versorgung insbesondere für unterversorgte Gemeinschaften zu verbessern.

Dieser Erfolg bedeutet, dass Healthfirst ein schnelles Wachstum verzeichnete und nun rund 1,8 Millionen Mitglieder im Bundesstaat New York betreut. Doch das Wachstum und die immer komplexeren Bedürfnisse und Anforderungen moderner Krankenversicherungen erfordern ein ebenso solides Programm für Cybersicherheit.

Digitale Befähigung der Mitglieder

Healthfirst verfügt über eine der umfangreichsten Datenbanken mit mitgliederbezogenen Informationen, die Anmeldung und Abrechnung, Kundenbetreuung, Zahlungen, Bearbeitung von Ansprüchen und Gesundheitsdaten umfassen. Der Schutz der hochsensiblen Gesundheitsdaten und Identitäten von 1,8 Millionen Mitgliedern und 5.000 Mitarbeitern ist von größter Bedeutung. Für seine Computerumgebung entschied sich das Unternehmen für eine Cloud-First-Strategie. Etwa 70 % der Systeme und Anwendungen sind jetzt cloudbasiert und das Unternehmen verfügt über 10.000 Endgeräte – 70 % davon remote –, die eine ausgeklügelte und stabile Sicherheit erfordern. „Healthfirst hat sich zum Ziel gesetzt, die Branche zu transformieren, indem wir unsere Mitglieder digital unterstützen“, sagt Miller. „Entscheidend dafür ist, dass wir Sicherheit und hohe Zuverlässigkeit bieten. Wir haben stark in unsere digitalen Apps, unsere virtuellen Gemeinschaftsbüros und viele mobile Lösungen investiert. Ganz gleich, ob sich ein Mitglied über eine App oder ein Telefon anmeldet oder ein lokales Büro betritt, alle Wege führen über die Identität.“

Lösungen

Aufgrund der marktführenden Position von CyberArk hatte Healthfirst bereits eine Reihe von CyberArk Produkten bereitgestellt, darunter Privileged Access Manager und Vendor Privileged Access Manager. Der Versicherer vertraute darauf, dass CyberArk ein erstklassiges Privileged Access Management bietet, und beschloss, weitere Technologien des Identity Security-Anbieters zu übernehmen, um seine digitale Transformation zu sichern. Healthfirst hat beispielsweise auch mehrere ältere Secrets Management Apps nach Conjur migriert, da sie sich nahtlos in Entwickler-Workflows integrieren lässt und eine große Menge an Secrets verarbeiten kann.

Geschäftliche Bedeutung der Sicherheit

Neben der CyberArk Lösung führte Healthfirst ein Aufklärungs- und Einführungsprogramm durch, um den Mitarbeitern die Risiken und Auswirkungen moderner Cyberangriffe wie Ransomware auf die Organisation und ihre Mitglieder zu verdeutlichen. „Nach der Implementierung von CyberArk mussten wir im Unternehmen über Privileged Access Management informieren“, erinnert sich Miller. „In Wirklichkeit ging es aber darum, den Menschen den Wert der Sicherheit zu vermitteln. Aber dann kommt der Wendepunkt, an dem man aufhört, Widerstand zu spüren, weil die Menschen erkennen, wie wichtig Sicherheit für sie als Unternehmen ist.“

Healthfirst hat erkannt, dass Identität eines der wichtigsten Elemente beim Aufbau einer effektiven Cybersicherheitsinfrastruktur ist, und wendet sich nun an das CyberArk Portfolio von Lösungen für das Workforce Identity Management. Das Unternehmen hat vor kurzem CyberArk Identity eingeführt, um seinen Mitarbeitern mit Single Sign-On und Multi-Faktor-Authentifizierung (MFA) einen einfachen und dennoch extrem sicheren Zugang zu Unternehmensressourcen zu ermöglichen. „Das Ziel ist es, es so schwer wie möglich zu machen, von innen in Systeme, Software und Entwicklungsketten einzubrechen, wie es von außen im Internet der Fall ist. Eine starke Identitätskontrolle ist Teil dieser Zero Trust-Idee, die Kriminellen keine Chancen bieten, ganz gleich, wo sie sich befinden“, fügt Miller hinzu.

„Was Healthfirst bei der Weiterentwicklung des Workforce Identity Management sehr am Herzen liegt, ist die Möglichkeit des Verbunds“, so Miller. „Bei anderen Systemen geben wir viel Geld für Lizenzen aus, zum Beispiel um Callcentern den Zugriff auf unsere Systeme zu ermöglichen. Mit CyberArk werden wir in der Lage sein, uns mit ihren Identitäten zu verbünden, Kosten und Lizenzgebühren zu senken und CyberArk Soft-Token für MFA zu verwenden. Damit erhalten wir eine sehr solide und kostengünstige Lösung.“

Da die Lösungen von CyberArk in mehreren Bereichen des Privileged Access Management und des Identitätsschutzes integriert sind, kann Healthfirst die Sicherheit jetzt effizienter und kostengünstiger kontrollieren als früher, als es mehrere Tools für ähnliche Funktionen gab.

Ergebnisse

Zero Trust bietet volle Kontrolle über Identitäten

„Wenn wir die Identität unter Kontrolle haben, können wir die meisten modernen Angriffe stoppen. Und wenn man die Identität unter Kontrolle hat, hat man auch jeden Perimeter, jede Anwendung und jeden Container unter Kontrolle – also jeden Teil der Umgebung. Das nenne ich echtes Zero Trust und deshalb setzen wir CyberArk ein. Das hilft mir, nachts ruhig zu schlafen“ – Brian Miller, CISO, HealthFirst

Die Zusammenarbeit mit CyberArk war einer der wichtigsten Faktoren bei der Entwicklung eines effektiven Programms für Privileged Access Management und Identity Security. „Ich arbeite gerne mit Anbietern zusammen, die eine Kultur und Vision haben und sich für das, was sie tun, begeistern“, so Miller abschließend. „Bei CyberArk sehe ich ein Unternehmen mit einer soliden Kultur, das daran arbeitet, Werte für beide Organisationen zu schaffen. Einige der CyberArk Mitarbeiter sind bereits seit vielen Jahren im Unternehmen, aber sie sind nicht stehengeblieben, weil das Unternehmen weiter wächst und sich weiterentwickelt. Als CISO setze ich auf diesen Partner.“

Wichtigste vorteile

• Umfassendes Privileged Access Management
• Stärkt die Fähigkeit, menschliche, maschinelle und fremde Identitäten zu schützen
• Schützt personenbezogene Gesundheitsdaten für 1,8 Mio. Mitglieder
• Reduziert Sicherheitskosten durch Lösungen wie föderierter Identitätskontrolle
• Keine teure Lizenzierung von Sicherheitssoftware erforderlich
• Ersetzt mehrere Tools durch eine einheitliche Identity Security Plattform