의료 기기 사이버 보안: HHS 405(d) 모범 사례 업데이트

미국 보건 복지부(HHS)에서는 405(d) 프로그램 및 태스크 그룹 을 설립하여 의료 업계의 보안 접근 방식을 조정하고 있습니다. 이 그룹은 의료 업계와 연방 정부 간의 공동 노력으로, "인식을 높이고, 검증된 사이버 보안 관행을 제공하며, 현재 가장 관련성이 높은 사이버 보안 위협을 완화하기 위해 조직을 일관성 있게 움직이게 하는 것"을 목표로 합니다. HHS 405(d) 프로그램 및 태스크 그룹은 경제 및 임상 보건을 위한 보건 정보 기술(HITECH) 개정안도 담당하고 있습니다. 이 새로운 HITECH 법은 의료기관이 규정을 준수하고 재정적 위험을 줄이며 환자 안전을 강화할 수 있도록 의료 산업 사이버 보안 관행(HICP)에 명시된 가이드라인을 공인 보안 관행(RSP)으로 인정합니다.

의료 정보 관리를 개선하기 위해 파괴적 기술을 도입한 30년 경력의 의료 업계 대표( Claroty )인 저는 405(d) 태스크 그룹의 홍보대사가 되는 영광을 얻었습니다. 홍보대사로서 저는 새로운 HITECH 개정안을 만드는 데 적극적으로 기여했습니다. 최근 웨비나에서 주최한 건강 정보 공유 분석 센터(H-ISAC)에서 주최한 웨비나에서 귀사가 HHS 405(d) 의료 기기 보안 가이드라인을 성공적으로 구현하여 환자 안전을 개선하고 재정적 위험을 줄이며 HITECH 개정안을 준수할 수 있는 방법에 대한 귀중한 인사이트를 공유했습니다. 

최근 몇 년 동안 연결된 의료 기기에 대한 공격은 가장 영향력 있는 사이버 보안 위협 상위 5위 안에 포함되었으며, 의료 기기 보안은 가장 영향력 있는 완화 조치 상위 10위 안에 들었습니다. 이러한 순위는 민감한 정보를 보호할 뿐만 아니라 환자의 안전을 보장하기 위해 의료 기기 사이버 보안을 개선해야 할 필요성이 점점 더 커지고 있음을 증명합니다. 다음은 어디서부터 시작해야 할지에 대한 몇 가지 팁입니다:

1. 가시성: 의료 서비스 제공 조직(HDO)은 환경에 있는 모든 디바이스를 완벽하게 파악하는 데 어려움을 겪습니다. 세부적인 가시성이 없으면 디바이스를 효과적으로 보호하고 관리하는 것은 거의 불가능합니다. Medigate Claroty 는 프로토콜 패킷을 구문 분석하고 프로토콜 패킷이 통합되는 방식과 통신 방식을 파악할 수 있는 기능을 갖추고 있어 탁월한 심층 가시성을 제공하여 HDO의 자산 인벤토리 문제를 해결합니다. 

2. 자산 관리: HDO는 '신뢰할 수 있는 단일 소스'가 없기 때문에 자산 관리에 어려움을 겪는 경우가 많습니다. HDO는 연결된 디바이스를 관리하기 위해 컴퓨터화된 유지보수 관리 시스템(CMMS)을 사용합니다. 그러나 이러한 시스템은 전통적으로 관리하도록 설계된 환경과 단절되어 있습니다. 메디게이트의 임상 기기 효율성(CDE)은 CMMS가 관리하고자 하는 자산에 대한 실시간 연결을 제공하여 HDO가 단일 진실 기록으로 사용할 수 있도록 보장합니다. 

3. 엔드포인트 보호: HDO는 관리 및 비관리 연결 디바이스에 대한 세분화된 데이터가 부족합니다. CrowdStrike의 팔콘 플랫폼과 같은 엔드포인트 탐지 및 대응 솔루션과 통합하면 메디게이트 보안 플랫폼의 정확성과 신뢰도가 높아집니다. 또한 메디게이트는 CrowdStrike와 정보를 공유하여 어떤 의료 기기가 EDR 에이전트를 사용할 수 있지만 현재 없는지 파악합니다. 이 파트너십을 통해 HDO는 전체 연결된 엔드포인트 환경에 대한 포괄적인 위험 관리, 상태 평가, 이상 징후 탐지 및 정책 시행을 수행하는 데 필요한 가시성과 도구를 확보할 수 있습니다.

4. 신원 및 액세스 관리: 병원에서는 환자 진료에 지장을 주지 않기 위해 적절한 신원 확인 없이 의료 기기로 '추정되는' 디바이스를 네트워크에 허용하는 경우가 많습니다. 네트워크 관리자가 디바이스에 대한 가시성이 부족하고 환자의 부정적인 결과를 우려하여 기준을 완화해야 한다는 압박감을 느끼기 때문에 이 MAC 인증 우회가 활용됩니다. HDO는 Medigate를 통해 포괄적이고 상세한 디바이스 인벤토리(제조업체, 디바이스 유형, MAC 주소, 일련 번호 및 정책 생성 포함)를 유지하고 실시간 모니터링을 수행하여 비정상적인 행동을 정확하게 감지하고 위협을 식별할 수 있습니다. 

5. 네트워크 관리: HDO의 네트워크를 보호하기 위해 구축된 보안 인프라에는 정책 및 수정의 임상적 영향을 고려할 수 있는 가시성과 전문 지식이 부족한 경우가 많습니다. 그 결과, HDO는 주의를 기울이지 않고 기본적인 수준의 제어만 구현하거나 아예 포기할 수밖에 없어 정교한 공격에 노출되고 취약해질 수밖에 없습니다. Medigate의 네트워크 정책 관리(NPM) 은 임상 워크플로우에 대한 인식과 정책 또는 수정 활동이 임상 기기에 미치는 영향에 대한 이해를 바탕으로 공격적인 조치를 취합니다. NPM을 통해 HDO는 자동화된 네트워크 중심 정책 오케스트레이션 및 시행을 통해 디바이스를 보호하여 위험을 줄이고 전반적인 보안 태세를 강화할 수 있습니다.

6. 취약점 관리: 의료 환경, 특히 의료 및 임상 기기 카테고리에서는 이러한 디바이스가 환자에게 직접 연결되기 때문에 액티브 스캔이 위험한 것으로 간주됩니다. 디바이스를 스캔하면 오작동이 발생하거나 작동이 불가능해져 환자와 데이터 모두 위험에 처할 수 있습니다. 메디게이트는 에코시스템에서 스캔한 모든 디바이스에 대한 데이터를 가져와서 HDO의 가시성을 높이고 중요한 포함 및 제외 목록을 공유하여 VLAN 내에서 스캔할 수 있지만 현재 스캔하지 않는 비의료 디바이스를 식별합니다. 이렇게 하면 스캔 범위가 확대되고 전반적인 위험이 감소합니다.  

7. 조달 및 보안 평가: 많은 HDO가 새로운 의료 기기 조달의 일환으로 위험 평가를 실시하고 있습니다. 알려지지 않은 취약점이 있는 기기를 구매하지 않음으로써 HDO는 환경에 위험이 추가되는 것을 막을 수 있습니다. Medigate는 새로운 디바이스 간의 위험과 완화 조치를 자세히 설명하는 위험 비교 기능을 통해 이러한 디바이스 온보딩을 지원합니다.   

확장된 사물 인터넷(XIoT)의 빠른 도입으로 인해 임상 환경에서 연결되는 디바이스의 수와 유형이 증가함에 따라 의료 시스템에서 모니터링, 관리, 보호해야 하는 위협 벡터의 수와 유형도 증가하고 있습니다. 현재 지역사회가 필요로 하는 의료 서비스를 안전하게 제공하기 위해 의료 시스템은 잠재적인 위험을 해결하고 환자를 위한 의료 서비스를 개선하기 위해 보안 노력을 조정하고 확장해야 합니다. 이러한 상황에서 Medigate( Claroty )는 조직이 HHS 405(d) 의료 기기 보안 가이드라인을 성공적으로 구현하고 환자 안전을 개선하고 재정적 위험을 줄이며 규정 준수를 보장할 수 있도록 지원합니다.