문서자료

병원의 데이터 유출 취약점을 보여주는 연구 결과

AJMC (American Journal of Managed Care)가 발표한 최근 연구에 따르면 미국 병원의 1/3이 의료 서비스 데이터가 유출 되었습니다. 연구원은 OCR (Office of Civil Rights)에 보고된 위반 사항을 분석했습니다. 연방법에 따르면 만약 의료 개인 정보 보호 위반이 500 또는 그 이상의 환자들에게 영향을 주면 의료 서비스 기관은 OCR에 알려야하는 의무가 있습니다. 위반의 세부 사항은 OCR 데이터 유출 포털에서 공개적으로 확인할 수 있습니다.

 

이 연구는 병원에서 가장 빈번하게 일어나는 위반 유형, 유출 대상이된 데이터 유형 그리고 취약한 의료 서비스 기관이 해당 병원에 미치는 영향을 조사했습니다. 2009년 10월과 2016년 7월 사이에 발생한 데이터 유출 사건을 조사한 결과 215곳의 병원에서 650만 명이 넘는 개인에게 영향을 주었다는 것을 발견했습니다.

 

데이터 유출의 가장 일반적인 유형은 112회로 물리적인 도난으로 약 120만 건의 기록이 유출되고 그 중200,000 건이 종이 및 필름이고 나머지는 노트북과 같은 휴대용 장치의 도용 결과입니다.  네트워크 서버 레벨에서 가장 적은 수의 유출이 발생했지만 동시에 가장 큰 영향을 미친 사건은 약 460만 명의 개인에게 영향을 주었습니다.  전자 메일 및 데스크탑 컴퓨터를 통해 또 다른 100만 개의 기록에 영향을 주었습니다.

 

병원이 수백만 건의 환자 기록을 수집하고 있다는 점을 감안할 때 물리적 및 디지털 세계 모두에서 범죄의 표적이 될 수 있다는 것은 놀라운 일이 아닙니다. 더 강력한 인증 정책을 적용 및 생체 인식 도입은 허가받지 않은 직원이 병원의 데이터 엑세스에 긍정적인 영향을 미칠 수 있지만 도난, 허가된 직원의 부주의 또는 데이터 도용을 방지하는 것은 무용지물일 수 있습니다.

 

 이러한 문제를 더 잘 해결하기 위해서 개인 건강 정보 (PHI)를 더 잘 보호하고 모니터링 할 수 있는 DLP 솔루션을 사용해서 인증 방법보다 더 많은 것을 찾아야합니다. Endpoint Protector는 사전에 정의된 HIPAA 프로파일을 준수해서 관리자가 민간한 데이터 이동시 전송을 제한, 모니터링, 로그 생성 및 리포트 정책을 설정할 수 있습니다.  매체 제어 기능을 통해서 휴대용 저장 장치 및 포트 사용을 차단하거나 신뢰하는 장치만 사용할 수 있도록 제한할 수 있습니다. 보안USB EasyLock은 USB에 전송되는 모든 데이터를 자동으로 암호화합니다. 그래서 직무 태만과 같은 과실이 있어도 정보를 보호할 수 있습니다.

 

또한 eDiscovery 모듈은 네트워크 전반의 검사를 수행하고 로컬에 저장된 PHI를 식별할 수 있습니다. 이 결과를 기반으로 관리자는 인가되지 않은 사용자의 컴퓨터를 찾아서 원격으로 PHI 데이터를 삭제 또는 암호화를 할 수 있습니다. DLP 솔루션은 병원 또는 준수 규정에 따라 특정 규칙을 따르는 직원을 고용하지 않고 PHI를 직접 보호합니다.

 

구형 시스템과 효력이 없는 사이버 보안 정책을 갖춘 대용량 데이터 보관소로써 병원은 사이버 범죄자에게는 매우 이상적인 표적입니다. 의료 기관이 HIPAA/HITECH 최소 수준 요구 사항을 검토하고 우선 순위 목록 상단에 데이터 보안을 추가해야할 때입니다.


[출처] 병원의 데이터 유출 취약점을 보여주는 연구 결과 (작성자) 코소시스
    관리자 DATE   2018-03-07 15:19:55
    파일 #1    /    병원의_데이터_유출_취약점을_보여주는_연구_결과.pdf   ( 260.1KB : down 0)