우리 모두는 온라인 신분 도용에 점점 더 익숙해지고 있습니다.
어떤 형태의 데이터 침해로 고통받는 주요 비즈니스에 대한 소식을 듣지 않고 지나는 날은 많지 않습니다. 상당한 양의 고객 데이터가 포함되지 않는 한 심각성에 대해 항상 듣는 것은 아닙니다. 마찬가지로 우리는 의료 기록을 동등한 개인 정보로 취급합니다. 여기에는 잘못된 사람이 우리에게 불리하게 사용될 수 있는 민감한 개인 정보가 포함되어 있습니다.
우리는 의료 기록에 관한 개인 정보 보호의 필요성을 오랫동안 알고 이해해 왔으며 운 좋게도 의사와 간호사는 이러한 개인 정보를 보호하기로 맹세했습니다. 종이 중심의 과거 세계에서 의료 기록에 대한 무단 액세스는 속임수나 내부 작업을 통해 이루어집니다.
그러나 이제 글로벌 의료 산업이 디지털화되고 우리의 기록도 디지털화되었습니다. 의료 기록을 디지털화하면 엄청난 이점이 있지만 개인 데이터를 투입할 가치가 있습니까?
의료 신분 도용
의료 신분 도용이 증가하고 있다는 것은 의심의 여지가 없습니다. 전통적으로 은행 계좌와 온라인 계좌 정보를 찾아다녔던 사기꾼들은 점점 더 의료 기록에 눈을 돌리고 있습니다. 왜요? 그 중 하나는 우리 모두가 소중히 여기는 것과 관련된 가장 개인적인 정보로 가득 차 있습니다. 바로 우리의 삶입니다.
귀하의 의료 기록은 모든을 보유하고 있습니다. 귀하의 개인 정보:이름, 주소, 생년월일, 사회 보장 번호(또는 이에 상응하는 번호), 그리고 경우에 따라 청구 정보, 신용 카드 또는 직불 카드 세부 정보가 포함됩니다. 이것은 분명히 의료 기록을 매우 가치 있게 만듭니다. 귀하의 은행 계좌 정보보다 더 가치가 있습니다(물론 귀하의 계정에 있는 0의 수에 따라 다름!).
해커가 의료 기록에 쉽게 액세스할 수 있기 때문에 해커는 더욱 매력적인 표적이 됩니다. 의료 기록이 언젠가는 디지털화될 것이라는 수년간의 사전 지식에도 불구하고, 많은 의료 시설이 사이버 범죄의 전지적 위협에 대처할 준비가 되어 있지 않습니다. 따라서 잠재적인 공격을 보고한 미국 의료 기관의 비율이 2009년 20%에서 2013년 40%로 증가한 것은 놀라운 일이 아닙니다. 2015년에만 공식적으로 보고된 5개의 개별 의료 기관에서 1억 880만 개의 개인 기록이 유출되었습니다. 각 조직은 네트워크 서버가 침해되었다고 보고했습니다.
참고: 위의 표에는 수백만 명의 영향을 받는 개인이 나와 있습니다.
무엇을 기대할 수 있습니까?
병력이 알려지지 않은 손에 넘어가는 명백한 문제 외에도 또 다른 유령이 크게 보입니다. 의료 하드웨어의 최근 발전은 기적에 가깝지만 그 선구자들과 한 가지 중요한 차이점이 있습니다. 바로 네트워크 상태입니다. 이제 많은 장치가 병원 네트워크에 연결되어 해커가 특정 장치에 직접 액세스할 수 있습니다.
'Predictions 2016:Cybersecurity Swings To Prevention이라는 제목의 정말 놀라운 보고서에서 ' 2016년에는 의료 장비가 랜섬웨어의 영향을 받는 시작이 될 것이라는 예측이 있습니다.
위험은 네트워크 보안에 대한 기본적인 지식 부족에서 비롯됩니다. 2012년, 당시 Essentia Health의 정보 보안 책임자(현 Protoviti의 부국장)인 Scott Erven은 중서부 의료 시설의 대규모 체인에 대한 보안을 평가하는 임무를 받았습니다. 제기된 문제 목록 중 의료 시설이 여전히 "admin" 또는 "1234"와 같은 하드코딩된 네트워크 암호를 사용하고 있는 것이 분명했으며, 이는 연구원 Billy Rios와 Terry McCorkle이 의 Cylance는 약 300개의 의료 기기가 여전히 하드코딩된 비밀번호를 사용하고 있다고 보고했습니다.
이러한 기본 인증 단계는 쉽게 피할 수 있거나 적어도 공격자가 작업을 더 어렵게 만들 수 있는 대규모 보안 문제를 생성합니다. 기껏해야 금전적 갈취가 증가할 것입니다.
최악의 경우 사람들이 죽습니다.
메드잭
속임수 기반 사이버 보안 회사인 TrapX는 주로 병원 의료 기기를 표적으로 하는 의료 시설에 대한 광범위한 공격을 식별했습니다. 3개의 개별 병원에서 TrapX는 "X선 장비, 사진 보관 및 통신 시스템(PACS), 혈액 가스 분석기(BGA)를 포함한 다양한 의료 기기의 광범위한 손상"을 발견했습니다.
그러나 이것은 MEDJACK 공격 벡터의 한계가 아닙니다. TrapX는 믿고 있습니다(가입 필요):
<블록 인용>"MEDJACK의 표적을 제시하는 다른 많은 장치가 있습니다. 여기에는 진단 장비(PET 스캐너, CT 스캐너, MRI 기계 등), 치료 장비(주입 펌프, 의료 레이저 및 라식 수술 기계) 및 생명 유지 장비(심장 - 폐 기계, 의료 인공 호흡기, 체외막 산소 공급 기계 및 투석 기계) 등."
보고서는 계속해서 악용되고 있는 많은 의료 기기가 Windows 2000 또는 Windows XP와 같은 구식 운영 체제를 실행하는 폐쇄형 시스템 기기라고 설명합니다. 운영 체제는 종종 수정되고 보안 허점이 가득하여 모든 병원 네트워크에 심각한 취약성을 나타냅니다. 대부분의 경우 이러한 장치를 사용하고 배포하는 의료진은 내부 작업에 액세스할 수 없습니다. 즉, 최신 및 설치를 제조업체에 전적으로 의존해야 합니다. 탄력적인 보안 벽 – 현재는 일어나지 않고 있습니다.
그것도 몇몇 병원에 국한되지 않는다. 다양한 제조업체가 전 세계 의료 시설에 방대한 범위의 장비를 공급하고 있기 때문에 다음 취약점이 어디에서 노출될지 정확히 지적하기 어렵습니다.
예를 들어 FDA가 제조업체에 의료 장비에 대한 보안을 강화하라는 권고를 발표했을 때 국토안보부(DHS)는 "Hospira Inc.의 주입 펌프 및 이식 가능한 심장"을 포함하여 의심되는 사이버 보안 결함 24건에 대한 조사를 진행 중이라고 밝혔습니다. Medtronic Inc. 및 St Jude Medical Inc.의 기기"
DHS 조사는 계속됩니다.
의료 기록 판매
하이재킹된 의료 기기만큼 생명을 위협하지는 않지만 개인 의료 기록은 데이터 마이닝 회사에 점점 더 많이 판매되고 있으며 때로는 데이터를 더 유용하고 가치 있게 만들기 위해 우편 번호와 함께 판매되고 있습니다.
그러나 데이터가 의료 시설을 떠나면 귀하의 정보가 악의적 인 손에 들어갈 가능성이 높아집니다. 빠르면 2013년 8월에 11개의 의료 기관이 데이터 판매 프로세스가 어떻게 발생하는지, 데이터 마이닝 회사에 어떤 책임을 이행해야 하는지를 포함하여 데이터 수집 정책 검토를 시작했거나 이미 진행 중이었습니다.
솔트레이크시티 Intermountain Healthcare의 최고 정보 책임자인 마크 프롭스트(Marc Probst)는 "이 데이터를 구매하는 유일한 이유는 누군가가 당황하고 대가를 지불하기를 바라는 마음으로 각 의료 기록을 부정하게 청구할 수 있기 때문"이라고 말합니다. 의료 기록의 이러한 사기성 사용(처음에 의료 기록이 도용되고 무수한 시설에서 발견되는 느슨한 보안, 전체 의료 산업에 더 나은 전반적인 사이버 보안을 제공하기 위한 지속적인 노력과 함께)은 직접적으로 전달되는 많은 비용 중 하나입니다. 의료 보험료를 통해 미국 시민.
막을 수 있습니까?
불행히도 의료 제공자가 직접 보유한 디지털화된 의료 기록의 경우 – 이에 대해 저희가 할 수 있는 일은 많지 않습니다.
귀하의 제공자는 귀하의 데이터를 보유하고 있으며 귀하가 사본을 요청하더라도(상대적으로 비용이 많이 들 수 있음) 귀하의 제공자는 변덕스럽게 귀하의 기록을 삭제할 가능성이 거의 없습니다. 응급실에 급히 실려갔을 때 페니실린 알레르기와 관련된 의료 정보가 없다는 사실을 누가 알겠습니까?
한 가지 사전 조치는 가능한 한 많은 데이터 침해에 대해 자세히 설명하는 종합 웹사이트인 DataLossDB.org를 사용하여 경고 시스템을 설정하는 것입니다. 또 다른 완화 전략에는 신용 보고서 모니터링이 포함될 수 있지만 일반적으로 월별 수수료가 발생합니다. 그럼에도 불구하고, 당신은 당신의 평가가 급락했는지 확실히 알아차렸을 것이고, 회복할 수 없게 되기 전에 그것을 잡을 수도 있습니다. 특히 사악한 것을 발견하고 적시에 포착하면 사기 경보를 발령하여 새로운 신용 요청이나 귀하의 이름으로 개설되는 계정을 90일 동안 차단할 수 있습니다.
의료 기록 보안에 대해 은행 세부 정보만큼 사전 예방적 조치를 취하기는 어렵지만 그렇다고 해서 가만히 앉아서 기다려야 하는 것은 아닙니다.
의료 사기가 걱정되십니까? 의료 기록을 도난 당했습니까? 또는 어떤 보안 관행이 있습니까? 아래에 알려주세요!