전문가들은 트럼프 행정부에서 올해 AI 규제의 형태는 불확실할 것이라고 말하지만, 의료 회사들은 증가하는 공격에 맞서기 위해 사이버 방어를 계속 강화할 것이라고 말했습니다.
사이버 범죄자들은 계속해서 의료 분야를 표적으로 삼고 있습니다.
전문가들은 사이버 보안이 2024년 의료 부문의 주요 과제로 입증되었으며, 조직들이 이를 주목하고 있다고 말합니다. 하지만 업계의 사이버 보호를 최고 수준으로 끌어올리는 데는 시간이 걸리고 해커들이 의료 회사를 노리는 것을 멈출 가능성은 낮습니다.
업계는 여러 건의 유명 공격이 포함된 한 해를 보내고 있습니다. 2024년 초, 전체 의료 생태계는 업계 거대 기업인 UnitedHealth가 소유한 기술 회사이자 청구 처리업체인 Change Healthcare에 대한 사이버 공격의 여파를 관리하는 데 어려움을 겪었습니다.
이 공격은 데이터를 노출시켰습니다. 기록적인 100억명의 미국인 — 이는 해당 부문의 상호 연결된 특성을 강조한 "이정표적 사건"이었다고 밝혔습니다. 에롤 바이스, 최고 보안 책임자 건강 정보 공유 및 분석 센터, 즉 Health-ISAC.
"저는 공급업체가 의료 서비스 제공에 단일 실패 지점의 영향을 미칠 수 있다는 사실이 경각심을 불러일으켰다고 생각합니다."라고 Weiss는 말했습니다.
뉴욕 혈액 센터(NYBC)는 랜섬웨어 공격을 받아 운영이 중단되고 일부 운영 일정을 변경해야 했다고 밝혔습니다.
헌혈 센터에 대한 사이버 공격으로 인해 건강정보공유분석센터(Health-ISAC)) 및 미국 병원 협회(AHA)에서 발행 공동 위협 게시판 잠재적인 공급망 중단에 대한 경고.
“최근 뉴욕 혈액 센터(NYBC)에 대한 랜섬웨어 공격은 특히 의료와 같은 중요 서비스 분야의 조직을 포함한 모든 부문의 조직에 경각심을 불러일으키는 계기가 되었습니다.”라고 필드 CTO인 Roei Sherman이 말했습니다. Mitiga. “세계에서 가장 큰 독립적인 혈액 수집 및 유통 기관 중 하나로서, 이 사건은 그들의 운영 능력을 약화시킬 뿐만 아니라 잠재적으로 공중 보건을 위협합니다.”
보안 책임자 Errol Weiss 건강-ISAC 미국에서는 EU 집행위원회의 행동 계획이 의료 기관이 네트워크를 적절하게 방어할 충분한 자금을 확보하는 데 여전히 어려움을 겪고 있는 시기에 나왔다고 밝혔습니다.
"이 문제는 EU, 미국, 그리고 전 세계적으로 나타납니다. 의료 기관에는 리소스가 필요합니다. 네트워크를 보호하는 데 필요한 기술뿐만 아니라 시스템을 운영하는 숙련된 정보 보안 전문가도 필요합니다."라고 그는 말했습니다. "위원회가 ISAC이 정보 공유 및 협업을 통해 조직을 보호하고 보안을 개선하는 데 기여하는 가치를 인정하게 되어 기쁩니다."라고 그는 말했습니다.
디지털 인프라를 보호하는 업무를 담당한 사람들은 정보를 공유함으로써 자신을 보호할 뿐만 아니라 전체 디지털 생태계의 보안을 강화할 수 있다는 것을 알고 있다고 바이스는 말했습니다.
그는 2023년에 Health-ISAC은 유럽 Health ISAC과 협력하여 140개국 이상의 위협에 대한 가시성을 통해 Health-ISAC 회원의 "글로벌 강점"을 활용하고 유럽 Health ISAC의 커뮤니티 강점과 지역적 관점을 활용한다고 말했습니다.
그는 "우리는 단결하고 사이버 위협에 대해 경계해야 합니다."라고 말했습니다. "Health-ISAC과 European Health ISAC이 EU에서 함께 운영됨에 따라, 우리는 의료 기관이 위협과 취약성에 대한 가시성을 개선하고, 궁극적으로 환자 안전을 개선하는 모범 사례와 기타 주요 통찰력을 공유하는 데서 혜택을 얻는 더 안전한 커뮤니티를 만들 수 있습니다."
HSCC의 "건강 산업 사이버 보안 - 레거시 기술 보안 관리" 또는 HIC-MaLTS 지침은 조직에 레거시 의료 기술의 사이버 위험을 관리하는 데 사용할 수 있는 모범 사례를 제공한다고 건강 정보 공유 및 분석 센터의 의료 기기 보안 부사장인 필 잉글러트가 말했습니다.
HIC-MaLTS는 일반적인 의료 사이버 보안 과제를 해결합니다. 예를 들어, "다양한 유형의 의료 기기와 이를 사용하는 다양한 장소는 고유한 위험 프로필을 가지고 있으며, 병원, 진료소 및 기타 비임상 및 가정 의료 환경에서 사용할 수 있는 진단, 치료, 착용, 이식 및 소프트웨어 의료 기기 기능을 포함합니다."라고 그는 말했습니다.
또한 이 기사에서:
의료 기기의 4가지 수명 주기 단계
세분화 및 네트워크 액세스 제어와 결합된 "시스템 뷰" 인벤토리
HSCC의 Medtech 사이버 보안을 위한 모델 계약 언어
여기에서 Healthcare Infosecurity 기사를 읽어보세요. Click Here
Information Security Buzz에서 전체 기사를 읽어보세요. Click Here
1996년부터 건강보험 양도성 및 책임법(Health Insurance Portability and Accountability Act)이 제정되었습니다.HIPAA 규정 준수)은 환자 프라이버시의 초석이었습니다. 이 법은 의료 기관이 환자 데이터를 처리하고 공유하는 방법에 대한 표준을 수립하여 기밀성을 보장하기 위한 프레임워크를 만들었습니다.
하지만 의료 환경은 극적으로 변했고, 그에 따라 위험도 증가했습니다. 새로운 사이버 위협과 복잡한 취약성으로 인해 HIPAA 보호의 중대한 격차가 드러났습니다. 이에 대응하여 입법자들은 사이버 공격의 급증에 대비해 의료 기관을 강화하는 것을 목표로 하는 새로운 법안을 추진하고 있습니다.
작년에 의원들은 두 가지 법안을 도입했습니다. 2024년 의료 사이버 보안법과 2024년 의료 인프라 보안 및 책임법(HISAA)은 민감한 건강 데이터에 대한 보호를 현대화하는 것을 목표로 합니다. 이러한 조치는 중요한 진전을 나타내지만 입법 과정에서 중단되어 있으며 아직 법이 되지 않았습니다.
그리고, 이러한 법안이 제정된다 하더라도, 이러한 법안에 명시된 제한된 범위와 집행 메커니즘은 점점 더 디지털화되는 우리의 의료 시스템을 괴롭히는 사이버 위협의 확산을 해결하기에 부족할 수 있습니다. 보다 포괄적이고 공격적인 접근 방식이 없다면, 이러한 이니셔티브는 시급하고 단호한 행동을 요구하는 싸움에서 상징적인 제스처로 여겨질 위험이 있습니다.
Phil Englert와 진행자 Chris Blask는 소프트웨어 자재 청구서(SBOM) 공유에 대한 CISA 워킹 그룹의 공동 의장을 맡았습니다. 이 워킹 그룹은 ISAC 및 유사한 조직이 구성원 간에 SBOM 배포를 관리하는 데 필요한 제어 아키텍처를 결정하는 데 도움이 되는 프로세스를 개발했습니다.
여기에서 Inevitability Curve 팟캐스트 EP14를 들어보세요. Click Here
2025년부터 새롭게 제안된 규칙에 따라 모든 규모와 형태의 의료 기관은 사이버 보안에 대한 기준이 더욱 엄격해지지만, 모든 기관이 이에 필요한 예산을 가지고 있는 것은 아닙니다.
HIPAA는 처음부터 항상 가장 우수하면서도 의료 산업의 사이버 보안을 규정하는 불충분한 규정이었습니다.
“HIPAA가 1990년대 중반에 수립된 방식으로 인해 초점이 잘못된 곳에 맞춰졌다는 역사가 있습니다.”라고 그는 말합니다. 에롤 바이스, Healthcare Information Sharing and Analysis Center(Health-ISAC)의 최고정보보안책임자(CISO). "당시 의료 및 건강 기록을 전자 매체로 전환하려는 큰 움직임이 있었습니다. 그리고 HIPAA 규정이 도입되면서 환자의 개인 정보를 보호하는 것이 전부였지만 반드시 해당 기록을 보호하는 것은 아니었습니다."
HIPAA가 프라이버시에 집중하면서 2010년대에는 다양한 사이버 보안 위협, 특히 랜섬웨어에 대처하는 능력이 제한되었습니다. 한편, 조직에서는 HIPAA를 견고한 보안 태세를 개발하기 위한 기준으로 사용하는 대신 체크해야 할 상자 세트로 취급하는 경향이 있었습니다. "결국 예산을 보안이 아닌 규정 준수에 투자. 그리고 지난 5~6년 동안, 우리는 랜섬웨어에 공격을 받았을 때 적절하게 보안되지 않고, 적절하게 묶이지 않고, 적절하게 백업되지 않은 환경에서 무슨 일이 일어나는지 보았습니다."라고 Weiss는 말합니다.
Dispersive의 Pingree는 "NIST의 모든 통제를 이미 따르고 있다 하더라도" 새로운 HIPAA 보안 규칙을 구현하는 데 "소규모 의사 사무실의 경우 비용이 100,000만 달러에 불과할 수 있고, 대규모 의료 그룹이라면 수백만 달러가 들 수 있다"고 추정합니다.
바이스에 따르면, 확장된 의료 기관이 이 모든 새로운 규칙과 관련 비용을 탐색할 수 있는 한 가지 가능한 방법은 아웃소싱된 가상 최고 정보 보안 책임자(vCISO)를 사용하는 것입니다. 그는 "단순히 기술을 구매하는 것이 아니라 운영하는 데 필요한 사이버 보안 전문 지식을 모집하고 유지하는 것도 중요합니다."라고 말합니다.
"이러한 조직들은 어디서부터 시작해야 할지 모릅니다." 그는 계속해서 말했습니다. "사이버 보안 시장은 매우 혼란스럽습니다. 참여자가 많습니다. 솔루션도 많습니다. 사이버 보안에 100달러를 쓸 수 있다면 어디에 쓸까요? 그들은 이 모든 것을 알아낼 수 있도록 도움이 필요합니다. 그리고 가상 CISO와 같은 것이 전략을 구현하는 데 도움이 될 수 있고, 그런 다음 가상으로 그 조직에 체크인하고, 질문이 있고 도움이 필요할 때 리소스가 될 수 있다고 생각합니다. 정규직 CISO를 정당화하거나 고용할 수 없는 이러한 소규모 농촌 병원에 적합한 모델인 듯합니다."
전문가들은 의료 산업에 대한 연방 사이버 보안 규정의 전면적인 개편이 많은 조직에 어렵고 비용이 많이 드는 힘든 작업을 의미할 수 있다고 말했습니다.
“이러한 규정을 이행하는 데 드는 비용은 엄청날 것”이라고 그는 말했다. 에롤 바이스, 건강 정보 공유 및 분석 센터의 최고 보안 책임자. "이 모든 비용을 지불할 돈은 어디서 나오나요? 침해로 인한 벌금을 피한 미래 비용 절감에서 나올 수는 없습니다. 재정적으로 어려움을 겪는 의료 서비스 제공자, 특히 소규모 농촌 병원은 이러한 새로운 제안을 지원할 자원이 없습니다."라고 그는 말했습니다.
바이스는 이와 같은 규제 요건에는 자금 지원이 수반되어야 하며, 이를 통해 의료 서비스 제공자는 적절한 기술을 확보하고, 더 중요하게는 네트워크를 적절히 보호하기 위해 경험이 풍부한 사이버 보안 전문가를 채용하고 유지할 수 있어야 한다고 말했습니다.
Google은 Health-ISAC과 협력하여 농촌 지역 의료 시스템을 위한 혁신적인 교육 프로그램, 사이버보안 인텔리전스 프로그램 및 기타 리소스를 제공하고 있습니다.
의료 기관에 대한 사이버 공격은 운영 능력을 방해하고 환자 치료를 위험에 빠뜨립니다. 미국의 농촌 의료 시스템은 60천만 명의 사람들에게 서비스를 제공하며 수많은 커뮤니티의 중심에 있습니다. 사이버 사고로 인해 중요한 의료 정보 시스템을 사용할 수 없게 되면 커뮤니티의 모든 사람의 안전이 위협받습니다.
Google은 취약한 건강 시스템이 사이버 공격에 대한 회복력을 강화하도록 돕는 데 전념하고 있습니다. 우리는 정부와 산업과 협력하여 서비스, 지원 및 기술을 제공하여 시스템이 환자 치료에 집중할 수 있도록 지원합니다.
보안을 개선하기 위한 맞춤형 이니셔티브
농촌 병원을 위해 설계되었습니다
농촌 건강 시스템과 병원은 서비스를 제공하는 커뮤니티의 고유성을 반영하며, 당사의 제안도 마찬가지입니다. 액세스 및 협업, 컨설팅 및 지원 서비스, 보안 교육 리소스를 위한 보안 중심의 Google 기술 세트를 할인 또는 무료로 제공합니다. 이 솔루션은 각 농촌 건강 기관의 요구 사항에 맞게 조정됩니다. 건강 시설은 농촌으로 지정된 카운티 또는 지역에 위치해야 합니다. 보건 자원 및 서비스 관리 (HRSA).
사이버 공격에 대한 방어 및 대응을 위한 효과적인 협업은 의료 보안에 필수적입니다. Google은 대사 파트너 Health Information Sharing and Analysis Center(Health-ISAC)에. Health-ISAC의 사명은 글로벌 의료 산업에서 신뢰할 수 있는 관계를 강화하여 사이버 보안 및 물리적 보안 이벤트를 예방, 탐지 및 대응하여 회원이 건강을 개선하고 생명을 구하는 데 집중할 수 있도록 하는 것입니다. Google은 Health-ISAC과 협력하여 혁신적인 교육 프로그램, 사이버 보안 인텔리전스 프로그램 및 농촌 의료 시스템을 위한 기타 리소스를 제공합니다.
프로그램 제공
이 중 대부분은 많은 농촌 의료 시스템이 직면한 재정적 제약을 인정하여 무료 또는 상당한 할인으로 제공됩니다. 또한, 적격 기관에 구현 서비스와 지원을 제공합니다. 이러한 제공은 현재 미국에서만 제공됩니다.
바이스는 금융 서비스와 비교했을 때 의료 기관이 직면한 고유한 과제를 설명했습니다. 의료 시스템은 종종 최신 클라우드 기반 시스템, 레거시 장치(예: 오래된 운영 체제가 있는 MRI 기계) 및 다양한 의료 기기 생태계를 포함한 복잡한 인프라를 관리합니다. 이러한 복잡성은 사이버 보안에 대한 오랜 투자 부족으로 인해 더욱 심화되며, 역사적으로 리소스는 강력한 보안 조치보다는 개인 정보 보호 및 규정 준수(예: HIPAA 규정)에 할당되었습니다.
그는 의료 분야의 자금 부족과 전담 최고 정보 보안 책임자(CISO) 부족으로 인해 이러한 환경을 효과적으로 보호하는 것이 어렵다고 강조했습니다. 그러나 랜섬웨어 공격과 같은 사건으로 인해 지난 10년 동안 의료 사이버 보안에 대한 인식과 투자가 증가했습니다.
