HIPAA 규정 준수를 유지하는 데 있어 사이버 보안의 역할
게시 됨: 2023-02-152022년 한 보고서에 따르면 의료는 사이버 범죄의 가장 표적이 된 분야였습니다. 랜섬웨어, 무단 액세스 및 전자 메일 손상은 상위 위협 사건 유형에 속합니다. 그러나 의료 기관에서 수집하고 관리하는 개인 및 개인 데이터의 양을 고려하면 놀라운 일이 아닙니다. 도난당한 모든 개인 건강 정보(PHI)는 사이버 범죄자에게 돈과 같습니다.
그러나 우리는 사이버 위협이 PHI를 악용할 뿐만 아니라 HIPAA(Health Insurance Portability and Accountability Act)에 대한 회사의 준수를 위협한다는 점을 이해해야 합니다. 즉, 모든 의료 기관이 사이버 보안을 시작으로 비준수 위험을 피하기 위해 지금 조치를 취하는 것이 중요합니다. 이 블로그에서는 사이버 보안이 HIPAA 규정 준수를 유지하는 데 어떻게 도움이 되는지 설명합니다. 먼저 HIPAA가 무엇인지 더 잘 이해하기 위해 HIPAA를 자세히 살펴보겠습니다.
HIPAA 규정 준수란 무엇입니까?
우선 HIPAA는 1996년에 통과된 건강 보험 양도 및 책임에 관한 법률(Health Insurance Portability and Accountability Act)을 의미합니다. 이 법률은 개인의 의료 기록 및 기타 건강 정보의 프라이버시와 보안을 보호하는 것을 목표로 합니다. HIPAA 준수는 모든 개인 건강 정보가 안전하게 유지되고 개인이 자신의 데이터 사용 및 공개와 관련하여 특정 권리를 갖도록 보장합니다.
모든 의료 서비스 제공자, 조직 및 비즈니스 제휴사는 보호 건강 정보(PHI)를 수집, 저장 및 전송할 때 HIPAA 규정을 준수해야 합니다. 또한 적절한 관리적, 물리적, 기술적 보안을 구현해야 합니다. 또한 조직은 개인에게 HIPAA에 따른 권리에 대한 통지를 제공하고 PHI의 사용 또는 공개가 승인되었는지 확인해야 합니다. 이를 준수하지 않으면 법적 처벌 및 벌금이 부과될 수 있습니다.
컴플라이언스를 보장하기 위해 조직은 모든 HIPAA 규정에 대한 최신 정보를 유지하고 관행과 절차를 정기적으로 검토해야 합니다.
HIPAA 규정 준수에서 사이버 보안이 중요한 이유는 무엇입니까?
오늘날 HHS(미국 보건 복지부)는 민감한 환자 데이터를 처리하는 의료 서비스 제공자와 기타 기관이 물리적 및 기술적 보안을 요구합니다. 이는 대부분의 건강 정보가 전산화된 의료 지시 입력(CPOE) 시스템 및 전자 건강 기록(EHR)과 같은 전산화된 작업으로 이전되었기 때문입니다. 이러한 기술 기술은 생산성과 이동성을 향상시키는 동시에 의료 데이터에 대한 보안 위협도 크게 증가시킵니다.
또 다른 이유는 미국 정부가 HIPAA 준수를 보장하기 위해 HITECH(Health Information Technology for Economic and Clinical Health) 법이라는 추가 법률을 통과시켰기 때문입니다. HIPAA 규정을 위반하는 대상 기업에 대한 처벌을 강화합니다.
이에 비추어 볼 때 의료 기관은 ePHI(Electronically Protected Health Information)를 보호하고 HIPAA 준수를 유지하기 위해 강력한 사이버 보안 조치를 취하는 것이 중요합니다. 따를 수 있는 몇 가지 최고의 사이버 보안 사례를 나열했습니다.
모범 사례
액세스 제어 제한
데이터 의료 기관이 다루는 민감도를 고려할 때 보안을 유지하기 위해 액세스 제어를 제한하는 것이 가장 좋습니다. 데이터를 관리하고 환자의 개인 정보를 보호하는 승인된 직원에 대한 액세스를 제한합니다. 이렇게 하면 무단 액세스 또는 ePHI의 변경 또는 제거 위험이 줄어듭니다.
데이터 암호화
액세스를 제한하는 것만으로는 충분하지 않습니다. 데이터가 제대로 관리되지 않으면 악의적인 행위자가 데이터에 액세스할 수 있습니다. 즉, 의료 시스템은 운송 및 보관 중에 ePHI를 보호해야 합니다. 이는 파일을 저장하기 전에 또는 저장 장치 자체를 암호화하여 수행할 수 있습니다. 전송된 데이터도 마찬가지입니다. 전송 전에 데이터를 암호화하고 HTTPS, TLS, SSL 등을 통해 암호화된 연결을 사용할 수 있습니다.
강력한 암호를 사용하고 정기적으로 업데이트하십시오.
ePHI를 보호하는 또 다른 방법은 고유한 사용자 ID와 암호를 사용하는 것입니다. 이것은 사이버 보안에 대해 읽는 모든 블로그에 종종 포함되지만 많은 사람들이 여전히 이 단계를 무시합니다. 이는 데이터 유출 위험을 증가시킬 뿐입니다. 가능한 한 복잡한 암호를 사용하는 것이 중요합니다. 데이터 유출을 방지하기 위해 숫자와 특수 문자를 포함합니다. 그리고 보안을 강화하려면 비밀번호를 수시로 변경하는 것이 도움이 될 수 있습니다.
안전한 무선 네트워크
의료 기관이 원격 작업 모델로 전환함에 따라 내부 IT 팀은 원격 보안과 ePHI 보호를 보장해야 합니다. 이를 위한 한 가지 방법은 직원들에게 보안 표준을 준수하는 사전 구성된 장치를 제공하고 암호화된 가상 사설망(VPN)을 사용하여 인터넷 활동을 보호하는 것입니다. VPN을 사용하면 홈 네트워크와 비즈니스 네트워크 간에 안전하고 암호화된 통신 채널을 설정할 수 있습니다.
데이터 백업
데이터 백업이 있으면 재해, 시스템 오류 또는 기타 데이터 손실 이벤트가 발생한 경우에도 데이터를 안전하게 보호하고 액세스할 수 있습니다. 중요한 정보를 빠르고 정확하게 복구할 수 있는 추가 보호 계층을 제공합니다. 또한 데이터를 백업하면 보호 대상 건강 정보에 대한 모든 변경 사항이나 수정 사항을 추적, 모니터링 및 안전하게 저장할 수 있습니다. 따라서 HIPAA 적용 법인은 이 단계를 놓치지 않아야 합니다.
직원 교육
마지막으로 직원들은 위협 행위자의 손쉬운 표적이 될 수 있으므로 기본적인 사이버 보안 교육을 받아야 합니다. 그들은 다음을 이해하는 법을 배워야 합니다.
- 위반을 구성하는 것
- 위반을 방지하기 위한 모범 사례
- 위반이 발생했을 수 있는 경우 취해야 할 조치
- HIPAA 준수를 위한 보안 및 기밀 유지의 중요성
직원을 교육하면 HIPAA 비준수를 유발할 수 있는 사이버 보안 위험이 줄어듭니다.
결론
모든 곳에서 의료 기관에 대한 위협이 증가함에 따라 사이버 보안 투자를 한 단계 끌어올리고 IT 예산을 늘리고 이 블로그의 모범 사례를 구현해야 합니다. 이 모든 작업을 수행하면 막대한 양의 환자 정보를 보호하여 HIPAA 준수를 유지할 수 있습니다.
그러나 구현할 정책, 절차 및 기술은 조직의 규모, 조직 구조 및 ePHI에 대한 위험에 적합해야 합니다. 사이버 보안의 효율성을 보장하면서 많은 비용을 절약하는 데 도움이 될 것입니다.