헬스케어 제품 대부분이 최소 건강 정보보안 기준 미달

• 헬스케어 보안 위험 관리 전문 업체 CORL 테크놀로지에서 150개의 헬스케어 제품을 조사한 결과, 대부분이 
  HIPAA의 건강 정보를 다루는 최소 기준조차 만족하지 못하고, 58%는 위험에 노출되어있는 것으로 확인함
     ※ HIPAA : The Health Insurance Portability and Accountability Act, 미국 건강 보험 이동과 책임 법령으로
        1996년에 제정되었으며, 건강 정보를 다루는 기준 등이 명시 되어있음

주요내용

• 헬스케어 보안 위험 관리 전문 업체 CORL 테크놀로지는 작년 6월부터 올해 6월까지 150개의 헬스케어 제품
  들을 조사한 결과를 최근 발표함
     - 헬스케어 제품과 관리자, 제품을 사용하는 프로세스 등까지도 조사
     - 헬스케어 제품을 생산하는 회사의 규모, 건강 정보에 대한 보안 점수 등급, 제3자로부터 업체가 보안
       검증을 받았는지 여부를 발표
• 반 이상의 헬스케어 업체가 소규모의 회사에서 생산 
      - 작은 규모의 회사는 큰 규모의 회사보다 공격 시도를 많이 받음
• 58%의 헬스케어 제품이 D 등급을 받고, 8%는 건강 정보 보호에 대한 어떠한 조치도 취하지 않아 F등급을 
  받아, 전체의 64%는 보안에 취약한 것으로 조사됨
      - A 등급은 건강 정보를 다루는데 절차적·기술적으로 높은 수준인 경우, B 등급은 보안에 대한 적절한 
        수준인 경우, C 등급은 보안에 대해서 믿기 불확실한 수준인 경우, D 등급은 건강 정보에 대한 약점이
        드러난 경우, F는 보안에 대한 어떠한 조치도 찾을 수 없는 경우로 분류
      - 작은 규모의 회사에서 D와 F의 비중이 높게 나타남
• 제3자로부터 업체가 보안 검증을 받은 경우는 32%
      - 헬스케어 제품을 생산하는 업체가 HITRUST, ISO 27001과 같은 기관 등에서 보안 검증을 받은 경우는 
        32%로, 업체가 보안에 신경 쓰지 않는 것으로 보임

 

[출처]
1. http://news.softpedia.com/news/Most-Healthcare-Vendors-Lack-Minimum-Security-Measures-448803.shtml
2. http://www.vendorsecurityrm.com/resources/healthcare-vendor-intelligence-report/