데이터 침해 그 이상: '사이버 보안은 곧 환자 안전'

의료 서비스 제공은 사방에서 파괴적이고 격렬한 변화에 직면해 있으며, 의료 사이버 보안이 더욱 시급한 문제가 되면서 티핑 포인트에 도달했습니다. 2020년 이전에도 점점 더 초연결화되는 의료 서비스에는 알려진 위험 요소가 있었지만, 랜섬웨어 혁명과 코로나19 팬데믹이라는 원투 펀치로 인해 많은 의료 서비스 제공 조직(HDO)이 위기에 처하고 타격을 받고 있습니다.

최근에 그 방법을 확인했습니다:

• 우리의 약점을 노리는 적들의 규모, 다양성, 뻔뻔함이 달라졌습니다.

• 팬데믹으로 인한 환자 부담과 계속되는 지연 및 의료 서비스 저하로 인해 변화된 환자 수

• 의료 기록 수, 벌금, 몸값부터 환자 치료 결과 악화, 심지어 생명 손실까지... 그 결과도 달라졌습니다.

이러한 새로운 도전과제는 의료 사이버 보안에 관한 현행 정책과 규정의 취약점을 드러내고 있습니다. 수년 동안 우리는 의료 보안과 데이터 프라이버시를 동일시해 왔으며, 개인 환자 정보 보호의 기반이 되는 의료정보이동 및 책임법(HIPAA)과 이러한 데이터를 기밀로 유지하기 위한 개인정보 보호 및 보안 규칙을 제정해 왔습니다. 특히 2000년대 초 데이터 유출 사고가 빈번하게 발생하던 당시에는 이러한 전략이 의료 관련 사이버 보안의 토템으로 충분하다고 여겨졌습니다. 

저는 프라이버시를 사랑합니다-살아있을 때 누리고 싶습니다! 신뢰할 수 없는 기술에 대한 우리의 지나친 의존은 이제 환자 안전과 인명 문제가 되었습니다. 2021년 10월 21일, 마침내 두 가지 계시가 우리를 이 생사의 갈림길에서 벗어나게 했습니다:

• 월스트리트 저널 1면에 앨라배마에서 온 피해자가 이름을 올렸고, 소송은 법원을 통해 계속 진행 중입니다.

• 장기적인 랜섬웨어 중단과 관련된 초과 사망에 대한 최초의 정량적 통계 분석은 CISA COVID 태스크포스에서 CDC 데이터를 사용하여 수행했습니다.

이후 저는 의회에서 이러한 심각한 결과에 대해 증언하면서 이를 알리고 시정 조치를 촉구하는 데 도움을 주었습니다. 하원, 상원, 백악관에서 정책 입안자들이 문제의 심각성을 인식하고 차례로 대응하면서 정치적 의지가 변화하고 있습니다. 최근 23 회계연도 세출 법안에 PATCH 법안이 포함된 것에서 알 수 있듯이, 정책 리더들은 의료 사이버 보안을 정책 결정의 최전선으로 끌어올리려고 노력하고 있습니다. 

이러한 발전의 핵심은 최근 마크 워너 상원의원(D-VA)이 발표한 토론 보고서에서 핵심 이슈를 한 문장으로 요약한 것입니다: "사이버 보안은 환자 안전이다".

워너 상원의원의 정책 옵션

워너 상원의원의 백서는 현재 의료 부문이 직면한 사이버 보안 위협에 대한 개요를 제공하고 업계 전반의 사이버 보안을 개선하기 위한 일련의 정책 옵션을 제시합니다. 저를 포함한 이해관계자들의 의견을 수렴하여 작성된 이 백서는 정부 내 의료 사이버 보안 리더십 확립, 인센티브 및 요건을 통한 의료 서비스 제공자의 역량 향상, 공격으로부터의 복구 등 세 가지 주요 영역에 걸쳐 권장 사항을 제시하고 있습니다.

이 주제들 중에서 다음 주제는 판도를 바꿀 수 있는 주제입니다:

• 병원을 위한 최소한의 사이버 위생 요건 - 재정적 당근과 채찍(CISA의 부문별 기본 사이버 성과 목표에 따라 이상적으로 결정됨)을 제시합니다,

• 안전하지 않은 레거시 시스템 해결 - 나쁜 관행과 가장 위험하고 방어할 수 없는 장치를 줄이거나 제거하기 위한 405c '고물상 현금 지급' 개념을 포함합니다,

• 의료 기술을 위한 소프트웨어 자재 명세서(SBOM)- Log4j와 같은 향후 이벤트를 완화하고 공급망 및 운영 내에서 신뢰, 투명성, 취약성 관리를 강화할 수 있도록 지원합니다. 

• 미국 내 약 85%에 달하는 7,000개 HDO의 제한된 사이버 보안 인력에 대한 인센티브 제공/확대 - 이 중 약 85%는 중소형 및 지방 병원의 '대상은 풍부하지만 자원이 부족한' 병원으로, 자격을 갖춘 전담 사이버 보안 전문가가 한 명도 없는 곳입니다. 

앞으로 나아갈 방향

워너 상원의원의 논문은 사이버 보안이 의료 분야의 생사 시나리오에 미치는 영향을 이해하고, 생명을 구할 수 있는 정책 프레임워크를 마련하기 위한 첫걸음에 불과합니다. 꼭 읽어보시기 바랍니다. 

우리는 변화가 불편함을 가져온다는 것을 알고 있습니다. 또한 오늘날의 관행은 완전히 다른 위협 모델, 공격자의 욕구, 실패 시 감내할 수 있는 결과 등 완전히 다른 시대를 위해 만들어졌다는 점도 인식해야 합니다. 우리는 더 이상 그런 세상에 살지 않습니다.

추가적인 규제와 요건을 원하는 의료 업계 종사자는 거의 없습니다. 우리가 원하는 것이 아니라 우리에게 필요한 것이 무엇이고, 환자들이 보다 방어 가능하고 유지 가능하며 적시에 치료를 받기 위해 필요한 것이 무엇인지에 관한 것입니다. 지금 이 순간을 포착하여 이러한 정치적 의지를 바탕으로 우리가 원하는 것, 필요한 것, 그리고 이러한 정책 변화로 인해 두려워하는 것이 무엇인지 이야기합시다.

여러분과 여러분의 사랑하는 사람들, 그리고 여러분이 돌보는 사람들을 위해 더욱 신뢰할 수 있고 투명하며 탄력적인 의료 서비스를 제공하는 방향으로 우리의 운명을 바꿀 수 있는 작은 창구가 여기 있습니다.

역사는 우리를 주시하고 있습니다.