기술 지원
문서
로그인
문의하기
의료 부문에서 사이버 위생 유지
2023년 3월 24일 TuxCare 홍보팀
허용 가능한 수준의 사이버 위생에 도달하는 것은 모든 의료 서비스 제공업체, 병원, 제약 회사에게 어려운 과제입니다. 많은 보안 침해가 패치되지 않고 관리되지 않는 레거시 시스템과 중복 프로세스에서 발생하며, 이로 인해 향후 공격으로 이어질 수 있는 취약점이 노출됩니다.
다행히도 의료 부문의 조직은 취약점 패치에 대한 최신 접근 방식을 통해 패치를 자동 실행하고 패치 관련 중단을 최소화하며 환자의 민감한 데이터를 보호할 수 있습니다.
하지만 이에 대해 알아보기 전에 의료 분야의 사이버 보안 위험에 대한 최신 현황을 살펴봅시다.
적절한 사이버 위생을 달성하기 위해 의료 기업이 직면한 과제
다른 산업과 마찬가지로 의료 업계도 고객 경험을 개선하는 동시에 비용을 절감하기 위해 비즈니스 및 운영 모델을 지속적으로 혁신하고 있습니다. 이러한 변화는 계속해서 진화하고 있으며, 의료 제공자와 환자 모두를 위해 의료 서비스 운영 방식을 변화시켜 보다 효율적이고 비용 효율적이며 안전하기 위해 노력하고 있습니다.
혁신 전략은 운영과 효율성을 개선하는 데 도움이 되지만, 새로운 사이버 공격 벡터를 도입하기도 합니다. 많은 의료 보안 리더들은 클라우드 기반 애플리케이션의 보안 유지와 원격 의료 플랫폼에 연결된 원격 환자 컴퓨터에서 발생하는 랜섬웨어 공격이라는 문제에 직면해 있습니다. 기존의 레거시 시스템을 대체하기 위해 많은 최신 기술을 도입해야 했습니다. 많은 경우 기존 시스템과 새로운 시스템을 모두 운영하다 보니 운영 복잡성과 보안 위험이 더 커졌습니다.
조직의 리스크를 줄이고 사이버 보안 보호를 개선하기 위해 CIO와 CISO는 복잡성을 줄이고 의료 IT에서 중복 애플리케이션, 서비스, 플랫폼을 제거해야 합니다. 조직은 증가하는 사이버 보안 문제를 해결하기 위한 경영진의 조치를 취함으로써 규정을 준수하면서 민감한 데이터를 보호할 수 있습니다.
의료 기관에 대한 사이버 공격
최근 샌디에이고, 아일랜드, 뉴질랜드의 의료 서비스 제공업체에 대한 랜섬웨어 공격은 랜섬웨어의 피해를 여실히 보여주었습니다. 안타깝게도 아직 많은 세부 사항이 공개되지 않았습니다. 그럼에도 불구하고 오래된 시스템과 보호되지 않은 의료 기기는 의료 시설과 민감한 데이터를 위험에 빠뜨리는 일반적인 보안 취약점입니다.
의료 시설에 보안 패치 및 기타 안전 장치를 적용하지 않으면 잠재적인 보안 침해로 인해 악의적인 개인이 대량의 민감한 데이터를 제어하거나 심지어 임상 장비에 대한 액세스 권한을 장악하여 환자를 위험에 빠뜨릴 수 있습니다.
의료 기기 제조업체는 의료 IT에서 사이버 공격을 예방하는 데 매우 중요합니다. 최근 몇 년 동안 여러 의료 기기 회사가 보안 침해를 겪었습니다. 다른 나라에서는 사이버 보안 사고로 인해 사망자가 발생한 사례도 보고되었습니다.독일에서는 랜섬웨어 사고로 인해 환자가 다른 의료 시설로 이송되었으나 안타깝게도 이송 도중 사망한 사례가 있었습니다. 나중에 환자의 상태가 너무 나빠서 랜섬웨어 감염과 관계없이 동일한 결과가 발생했을 것이라는 사실이 밝혀졌습니다.. 그럼에도 불구하고 랜섬웨어가 잠재적인 원인으로 간주되었다는 사실은 환자에게 적시에 치료를 제공하는 의료 기관의 품질과 능력에서 이러한 사고가 얼마나 중요한지 다시 한 번 생각하게 합니다.
이미징 기술의 약 83%는 업데이트가 필요하고, 인퓨전 펌프의 약 75%는 해결되지 않은 취약점이 있으며, 최대 72%의 의료 센터에서 IT와 의료 장비가 동일한 네트워크에서 실행되고 있습니다. 많은 의료 기관이 보안 전략을 통제해야 합니다.
온프레미스 및 클라우드 기반 의료 애플리케이션을 위한 패치 적용
의료 시설은 레거시 의료 기기에서도 중요 시스템 실시간 패치를 비롯한 여러 사이버 보안 모범 사례를 구현하여 무단 액세스의 위험을 줄일 수 있습니다.
하지만 모든 의료 시설에서 필요한 만큼 신속하게 패치를 적용할 수 있는 것은 아닙니다. 최신 의료 IT에서 패치 적용을 방해하는 몇 가지 장애물은 다음과 같습니다:
- 예산 제약: 코로나19 이후에도 의료 보안 예산은 계속 삭감되고 있으며, 이는 다음 사항에 영향을 미칠 수 있습니다.
- 인력 부족: 많은 의료 서비스 제공업체는 더 많은 IT 직원이 필요합니다. 추가 리소스가 없으면 보안 운영팀이나 IT 팀이 패치 활동을 위해 더 적은 리소스로 더 많은 작업을 수행해야 합니다.
- 제한된 탐지 기능: 의료 IT 팀은 데이터 손실 방지, 이메일 보안, 마이크로 세그먼트를 배포하여 사이버 공격을 탐지하고 예방하기 위해 더 많은 자금과 전문 지식이 필요한 경우가 많습니다.
- 경고 피로: 지속적인 사이버 공격으로 인한 경보 피로는 의료 서비스 제공업체에 계속 영향을 미치고 있습니다. 많은 의료 서비스 제공업체는 이러한 공격의 속도를 처리할 수 있는 자격을 갖춘 숙련된 IT 리소스를 채용하고 유지하는 데 어려움을 겪고 있습니다. 사이버 보안 팀에서는 메시지와 공격의 양을 관리하느라 업무 소진과 정신적 스트레스가 증가하고 있습니다.
- 사이버 보안 인재 격차: 다른 산업과 마찬가지로 의료 분야에서도 보안 업데이트 패치를 배포하는 데 있어 숙련된 사이버 보안 인재를 채용하고 유지하는 데 지속적으로 도움이 필요합니다.
- 클라우드 보안의 과제: 많은 의료 서비스 제공업체가 레거시 플랫폼을 HIPAA/HITrust 클라우드 플랫폼으로 이전했으며, 이로 인해 새로운 사이버 보안 요구사항이 발생할 수 있습니다.
HIPAA 패치 적용 요건 및 C.F.R 45 명령 제어 목표
HIPAA 규정 준수는 어떻게 되나요? 의료 서비스 제공업체는 규정 준수를 유지하기 위해 패치를 계속 업데이트해야 하지 않나요? 사실은 그렇지 않습니다.
HIPAA 규정 준수에서는 패치를 규정 준수 요소로 의무화하지 않습니다. 그러나 패치 시스템은 다음과 같은 여러 연방 규정(C.F. R)을 준수하기 위해 필요합니다. 45 C.F.R. § 164.308 (a) (5) (ii) (B), 악성 소프트웨어로부터의 보호. HIPAA는 규정 준수 의무에서 여러 CFR을 참조합니다. 시스템을 안전하게 보호하고 정보 유출/손상 위험을 줄이려면 적절한 시스템 패치가 필요하므로 패치 적용은 다른 HIPAA 요건과도 관련이 있습니다.
HITrust 규정 준수 요건을 위한 패치 적용
2007년에 설립된 HITrust는 정보 보안 시스템 및 데이터 보호 조치 관리로 전 세계적으로 유명한 기업입니다. 처음에 의료 분야를 위해 개발된 HITrust는 2019년 1월에 CSF 9.2를 출시했습니다. 클라우드 제공업체는 HITrust의 표준을 충족하기 위해 다양한 제어 범주를 준수하고, HITrust 규정 준수 프로세스를 구현하고, 필요한 모든 인증 요건을 충족하여 CSF 프레임워크에 따라 인증을 받는 데 많은 투자를 해왔습니다.
의료 서비스 제공자에게 HITrust 인증이 중요한 이유는 무엇인가요?
이제 많은 의료 서비스 제공업체는 의료 정보에 액세스할 수 있는 모든 벤더가 적절한 보안 및 개인정보 보호 절차를 입증하기 위해 2년 이내에 HITrust CSF 인증을 받아야 합니다.
HITrust CSF에는 다음이 필요합니다. 네 가지 정보 보안 위험 관리와 관련된 제어를 요구합니다:
- 위험 관리 프로그램 개발
- 위험 평가 수행
- 위험 완화
- 위험 평가
패치 시스템은 위험 평가 단계에서 발견된 공격 표면 취약성을 줄임으로써 위험 완화를 위한 솔루션을 제공함으로써 HITrust 인증에서 중요한 역할을 합니다.
라이브 패치로 의료 사이버 보안을 간소화할 수 있는 이유
다행히도 의료 서비스 제공업체가 취약점 패치를 자동 조종 장치에 맡기고 패치 관련 중단 및 다운타임을 완전히 피할 수 있는 경제적인 자동화된 솔루션이 있습니다. 시스템이 실행되는 동안 백그라운드에서 모든 최신 취약성 패치를 제공하는 라이브 패치가라고 합니다. 실시간 패치를 사용하면 의료 기관은 시스템을 오프라인 상태로 전환하거나 유지 보수 기간을 예약할 필요 없이 패치를 계속 적용할 수 있습니다.
다른 산업과 마찬가지로 의료 서비스도 생명을 구하는 서비스를 제공하기 때문에 중요 시스템의 거의 100% 업데이트와 가용성이 필요합니다. TuxCare의 자동화된 라이브 패치 솔루션인 KernelCare Enterprise는 IT 팀이 가동 중단 시간을 예약할 필요 없이 취약성을 신속하게 제거하여 Linux 시스템을 보호합니다.
의료 IT 팀은 KernelCare Enterprise를 사용하여 모든 인기 있는 Linux 배포판에서 스테이징, 테스트 및 프로덕션을 통해 새로운 패치를 자동으로 적용할 수 있습니다. 또한 TuxCare는 공유 라이브러리, 데이터베이스, 가상 머신 환경 및 의료용 IoT 디바이스에 대한 실시간 패치를 제공하므로 재부팅이나 중단 없이 전체 에코시스템에 패치를 유지할 수 있습니다.
스케줄 전문가와의 대화를 통해 TuxCare의 실시간 패치 자동화가 어떻게 작동하는지에 대한 맞춤형 설명을 들을 수 있습니다.
