1996년에 설립된 HIPAA(Health Insurance Portability and Accountability Act)는 민감한 건강 정보의 프라이버시와 보안을 보호하는 것을 목표로 합니다.
목차
HIPPA 규정 준수 보안 규칙
HIPAA 보안 규칙은 HIPAA 개인정보 보호 규칙이 적용되는 정보의 하위 집합을 보호합니다. 기본적으로 전자 보호 건강 정보(e-PHI)를 보호하기 위해 조직이 해야 할 일에 중점을 둡니다.
보안 규칙은 효과적인 경우 어떤 보안 조치를 사용할지 결정하지 않습니다. 그러나 안전 장치라고도 하는 세 가지 구현 표준이 필요합니다.
관리: 조직에 필요한 보안 조치를 결정하기 위해 위험 분석이 필요합니다. 이는 지속적인 프로세스여야 합니다.
물리적: 이는 e-PHI가 저장될 수 있는 사무실의 보안을 의미합니다. 보안 조치에는 시설 액세스 및 제어 조치와 워크스테이션 및 장치 보안이 포함되어야 합니다.
기술: 방화벽, 암호화 및 데이터 백업과 같은 조치는 e-PHI를 안전하게 유지하기 위해 사용되며 안전 장치는 액세스 제어, 감사 제어, 무결성 제어 및 전송 보안으로 구성되어야 합니다.
최근 의료 데이터 침해
2022SonicWall 사이버 위협 보고서에 따르면, 2021년 의료 부문은 멀웨어가 121%로 계속 급증했습니다. IoT 멀웨어 공격의 최대 증가는 의료 부문에 속했지만 전년 대비 71% 증가했습니다.
멀웨어가 수반할 수 있는 중요성을 강조하기 위해서는 HIPAA 규칙 및 보호 조치를 준수함으로써 피할 수 있었던 지난 몇 년 동안의 일부 침해를 살펴보는 것이 중요합니다.
Rehoboth McKinley Christian Health Care Services(RMCHCS)
2021년 5월, 205,000명 이상의 RMCHCS 환자가 병원을 전자 건강 기록(HER) 가동 중단으로 몰아넣은 데이터 갈취 시도에 대해 통지를 받았습니다. RMCHCS는 2020년 내내 의료 산업을 적극적으로 표적으로 삼은 랜섬웨어 해킹 그룹인 Conti가 시작한 공격의 피해자가 되었습니다.
이후 Conti 공격자는 사회보장번호, 여권 및 환자의 보호대상 건강정보(PHI)를 포함한 데이터를 1월 21일부터 2월 5일까지 약 2주 동안 시스템에서 유출한 것으로 확인되었습니다. RMCHCS는 법 집행 기관에 즉시 통지했다고 보고했지만 4월 말까지는 통지를 보내지 않았습니다.
이것은 랜섬웨어 공격이었기 때문에 기술 안전 조치와 정기적인 위험 평가가 명확하게 부족합니다. RMCHCS는 환자에게 침해 사실을 통지했지만 적시성이 부족하면 개인 보안과 e-PHI의 무결성이 더욱 손상됩니다. 환자는 차트를 닫거나 변경하거나, 온라인 포털 또는 은행 정보를 업데이트하거나, 새로운 여권을 요청할 수 있도록 적시에 알림을 받았어야 합니다.
하나의 터치포인트
위스콘신주 하트랜드의 메일링 및 인쇄 벤더는 2022년 4월 28일에 랜섬웨어 공격의 피해자가 되었습니다. 최소 34개 조직에서 260만 명이 넘는 사람들이 침해의 영향을 받았습니다.
OneTouchPoint의 서버는 단 하루 전에 손상되어 민감한 데이터를 위험에 빠뜨린 것으로 밝혀졌습니다. 6주 후 OneTouchPoint는 파일에 현재 및 이전 직원의 민감한 정보와 함께 고객 데이터가 포함되어 있음을 공개했습니다. 여기에는 고객 및 직원의 이름과 주소, 가입자 및 의료 가입자 ID, 그리고 고객의 진단 및 의약품이 포함되었습니다. 이를 통해 OneTouchPoint의 많은 고객은 자체 비용으로 회원에게 신용 모니터링 및 신원 도용 보호 서비스를 제공할 수 있었습니다.
데이터 침해에 대해 OneTouchPoint를 상대로 한 하나 이상의 집단 소송이 제기되었습니다.
HIPAA 준수를 유지하는 방법
사이버 보안 분야에서 HIPAA 규정 준수를 지원하기 위한 노력의 일환으로 OCR은 HIPAA를 NIST(National Institute of Standards and Technology Framework)와 일치시켰습니다. 업계에서 가장 큰 표준 중 하나인 NIST를 이미 준수했다면 HIPAA를 준수하는 것이 더 쉽습니다.
높은 표준과 인식을 유지하기 위해 많은 기업이 HIPAA 규정 준수 교육 및 자격 증명을 제공합니다. OCR을 포함하여 교육을 제공하는 많은 컨설팅 업체가 있으며, HIPAA를 준수해야 하는 광범위한 업체를 수용하기 위해 다양한 교육 모듈을 제공합니다.
HIPPA 규정 준수 – 모범 사례
다음 모범 사례는 규정 준수를 달성하는 데 도움이 될 수 있습니다.
HIPAA 규칙 이해
HIPAA 개인정보 보호 규칙은 의료 부문에서 PHI를 사용하고 공개할 수 있는 방법을 규정합니다. 규칙의 개요는 의료 기록에 액세스하고 수정을 요청할 수 있는 권리를 포함하여 환자의 권리에 대한 통찰력을 제공합니다.
HIPAA 보안 규칙은 고객 PHI를 보호하는 데 필요한 기술적, 물리적 및 관리적 안전 장치를 제공합니다.
HIPAA 위반 통지 규칙은 데이터 위반이 발생하는 경우 환자, 미디어 및 미국 보건복지부(HHS)에 통지하도록 요구합니다.
위험 평가 수행
여기에는 조직이 수집, 처리 및 저장하는 모든 PHI를 식별하는 것이 포함됩니다. 또한 위험 평가는 PHI를 위험에 빠뜨릴 수 있는 조직의 취약점을 식별해야 합니다. 여기에는 알려진 내부 또는 외부 사이버 위협, 물리적 장치의 도난 또는 손실, 사이버 위험 지수를 기반으로 한 조직의 공격 가능성이 포함됩니다.
정책 및 절차 이행
위험 평가 결과를 바탕으로 식별된 각 위험을 해결하는 정책 및 절차를 개발하고 구현합니다. 여기에는 액세스 제어, 데이터 백업 및 복구, 사고 대응 및 직원을 위한 보안 인식 교육과 같은 영역이 포함됩니다. 이러한 정책 및 절차를 정기적으로 검토하고 업데이트하여 관련성을 유지하십시오.
직원 교육
직원들이 조직의 정책 및 절차에 대해 업데이트되었는지 확인합니다. PHI를 취급하는 모든 직원은 PHI를 보호하는 방법을 알고 규정 미준수의 결과를 인식해야 합니다. 정기적인 보안 인식 교육은 직원들이 최신 위협에 대해 최신 정보를 파악하고 PHI를 보호하기 위한 모범 사례를 숙지하도록 하기 위해 필요합니다.
모니터링 및 감사
조직의 보안 조치를 자주 검토하고 침투 테스트를 수행하며 취약점 평가를 수행합니다. 이렇게 하면 귀하와 귀하의 팀이 PHI에 대한 새로운 위험 또는 위협과 침해를 적절히 처리하는 방법을 신속하게 파악할 수 있습니다. 정기적인 감사는 규정을 준수하고 대비하는 데 중요합니다.
제품 관리 부사장인 Scott Sargeant는 사이버 보안 및 IT 환경에서 엔터프라이즈급 솔루션을 제공한 25년 이상의 경험을 가진 노련한 기술 리더입니다.