미국 보건복지부(HHS)는 의료 및 공중보건(HPH)의 중요 인프라 부문을 위한 부문 위험 관리 기관(SRMA)의 역할을 합니다. 따라서 사이버 위협 정보를 공유하고, 데이터 보안 및 개인정보 보호법을 준수하기 위한 리소스를 제공하며, 의료 기기에 대한 사이버 보안 지침 및 위협 경고를 발행하고, 의료 관련 사이버 보안 모범 사례를 게시할 책임이 있습니다.
최근 몇 년 동안 의료 서비스 제공 조직(HDO)은 디지털 혁신이 연결된 의료 기기 및 임상 워크플로우의 발전을 통해 업계 전반의 성장을 주도함에 따라 전례 없는 사이버 보안 문제에 직면해 있습니다. 저희의 글로벌 의료 사이버 보안 연구 2023에 따르면 설문조사 응답자의 78% 이상이 작년에 최소 한 건의 사이버 보안 사고를 경험한 것으로 나타났습니다. 30%는 의료 기기 및/또는 건물 관리 시스템(BMS) 기기를 포함한 사이버 물리 시스템(CPS)에 영향을 미친 사고를 최소 한 번 이상 경험했다고 답했습니다. 이러한 놀라운 결과는 의료 사이버 보안 위험이 연결된 환자 치료의 이점을 앞지르기 시작했으며, 정교한 공격자에 대한 사이버 보안 방어를 강화해야 한다는 업계 전반의 필요성을 보여주었습니다.
Enter: HPH 사이버 보안 성과 목표(CPG).
HPH CPG는 자발적인 부문별 목표로서, HDO가 주요 보안 모범 사례의 우선순위를 정할 수 있도록 권한을 부여합니다. 이 획기적인 이니셔티브는 조직이 사이버 위협에 대비 및 대응하고, 진화하는 위협 환경에 적응하며, 보다 탄력적인 부문을 구축할 수 있도록 설계된 "필수" 및 "향상된" 목표로 구성되어 있습니다. 이러한 목표는 부분적으로 다음 문서에 나와 있는 일반적인 업계 사이버 보안 프레임워크, 지침, 가이드라인, 모범 사례 및 전략의 영향을 받습니다:
필수적이든 강화된 것이든 각 목표는 특정 HICP 관행, NIST 통제 및 CISA CPG에 매핑되어 기존의 수많은 지침에 더 많은 주의를 기울이고 HDO가 사이버 활동을 더 효율적으로 간소화할 수 있도록 지원합니다.
새로운 CPG는 사이버 보안 사고의 영향을 완화하기 위해 공격 체인의 여러 단계에 걸쳐 보호 계층을 제공하도록 설계되었습니다. 예를 들어 '필수' 범주는 의료 기관이 일반적인 취약성을 해결하고, 위험을 최소화하며, 사고 대응을 개선하는 데 도움이 되는 목표로 구성됩니다. 반면에 '향상된' 목표는 네트워크 세분화 및 타사 인시던트 보고와 같이 더 발전되었지만 똑같이 중요한 전술에 집중하여 의료 기관이 사이버 보안 성숙도를 더욱 높일 수 있도록 지원합니다. 이미 필수 목표를 달성한 조직의 경우, 향상된 목표는 병원이 다음 단계를 탐색할 수 있도록 지원하여 사이버 보안 성숙도를 강화합니다.
HHS는 의료 부문의 사이버 보안을 발전시키기 위한 기반을 형성하는 네 가지 동시 단계를 설명했습니다. 이 전략에는 다음이 수반됩니다:
의료 사이버 보안 부문을 위한 새로운 목표 설정: 앞서 논의한 바와 같이, HHS는 업계를 위한 새로운 자발적 목표를 수립했습니다. HPH CPG는 기본적인 사이버 보안 활동에 필요한 목표를 설명하는 동시에 고급 사이버 보안 성능의 고도화를 장려하기 위한 확장 목표를 장려합니다.
새로운 지원 및 인센티브: HHS는 의회와 협력하여 사이버 보안에 대한 국내 병원 투자에 대한 재정 지원을 관리하기 위한 새로운 권한과 자금을 확보하고 향후 병원에 대한 재정적 결과를 통해 새로운 사이버 보안 요건을 시행할 예정입니다.
집행 및 책임성 강화: 향후 몇 년 내에 모든 병원이 각 분야별 CPG를 충족하도록 하는 것이 HHS의 목표입니다. 또한 메디케어 및 메디케이드, HIPAA 보안 규칙과 같은 기존 프로그램에 통합할 수 있는 새로운 시행 가능한 사이버 보안 표준을 제안할 계획이며, 의회와 협력하여 벌금을 높이고 조사관 수를 확대하며 규정 준수를 강화하기 위해 사전 감사로 복귀할 것입니다.
프로그램 성숙을 위한 HHS의 확장: HHS는 전략적 대비 및 대응국(ASPR) 내 의료 부문을 위한 '원스톱 숍' 사이버 보안 지원 기능을 성숙시켜 업계가 연방 정부가 제공하는 지원과 서비스에 보다 효과적으로 접근할 수 있도록 할 계획입니다.
HPH CPG는 의료 기관이 사이버 보안 방어를 선제적으로 강화할 수 있도록 지원하는 패러다임의 전환을 의미합니다. 그러나 이러한 목표를 달성하는 것이 어디서부터 시작해야 할지 모르는 의료 기관에게는 어려울 수 있습니다. 다행히도 메디게이트( Claroty)의 전용 솔루션인 메디게이트 플랫폼은 모든 수준의 사이버 보안 프로그램 성숙도를 지원하기 위해 다양한 보안 모범 사례를 수용할 수 있는 매우 유연하고 사용자 정의 가능한 접근 방식을 제공합니다. 초기 자산 관리 및 알려진 취약성 완화부터 네트워크 세분화, 관련 위협 및 전술에 대한 탐지 및 대응과 같은 보다 정교한 접근 방식에 이르기까지, 의료 기관이 위험을 줄이는 데 가장 큰 영향을 미치는 CPG의 우선순위를 정할 수 있도록 Claroty 을 지원합니다.
Claroty 이 HPH CPG를 지원하는 방법에 대해 자세히 알아보려면 다음을 확인하세요. 백서를 확인하거나 데모 요청.
