PIIのCCPAとゼロトラストセキュリティ:医療と教育

カリフォルニア州消費者プライバシー法は2020年7月1日に施行され、企業は国内で最も人口の多い州の住民の個人を特定できる情報(PII)を取り扱うための新しい規制基準の下に置かれました。

GDPRと同様に、期限までに多くの期待が寄せられてきました。組織は 2018 年よりも GDPR に対する準備が整っているかもしれませんが、いくつかの重要な点が変わりました。

なぜプライバシーは依然として大きな懸念事項なのでしょうか?検疫の新時代において、私たちは今、次のことに直面しています。

• すべてをリモート 化:クラウドコラボレーション(PIIの処理を含む)は新しい常態であり、適切なクラウドセキュリティとエンドポイントセキュリティが必要
• データ流出による二重身代金: より多くの攻撃者が企業から顧客データを盗み出し、(身代金が差し控えられた場合)ビットコインを通じて直接消費者を恐喝しており、多くの場合、見出しに取り上げられています。

これは企業にとって何を意味するのでしょうか?さらに多くの露出と、プライバシー法の罰則や集団訴訟を回避するために、さらに高い身代金を支払うインセンティブが高まります。

PIIの価値

多くの攻撃者や ランサムウェア のエクスプロイトは、初期の段階で自分たちが何を狙っているのかわかりませんでした。彼らはただ一口食べたかっただけで、それを悪用しようとしました。現在、悪質な行為者は、銀行、法律事務所、または医療提供者の特定のサイトを積極的に調査しており、その情報がなぜ価値があるのかを理解しており、その多くはプライバシー法に関係しています。

個人データの価値はどのくらいですか?

• CCPAの民事集団訴訟でデータ侵害を起こした企業が支払う損害賠償には、カリフォルニア州居住者1人あたり$100〜$750(合計約$40M)と事件、または実際の損害(いずれか大きい方)、および裁判所が適切とみなすその他の救済が含まれます。
• この脅威は、英国のICOが設定したGDPRの罰金による年間売上高の4%未満のように思えるかもしれませんが、和解に達するまでに何年にもわたる費用のかかる訴訟を考えてみてください。

あなたのビジネスが侵害された場合、攻撃者はあなたの身代金に罰金を追加する可能性があり、少なくとも規制当局や集団訴訟にさらされることによる風評被害を回避できるため、あなたは支払うインセンティブを得ることができます。

この法律は善意のものですが、攻撃者がカリフォルニア州の医療機関や学校、またはどこにいても銀行を引っ掛けることができれば、企業に火をつける大きなインセンティブとなります。プライバシーと消費者データは非常に価値の高い通貨であるため、攻撃者が自分が何を持っているかを知っていれば、その価値を一銭も悪用します。

脆弱なターゲット:医療と教育

医療や教育など、多数の顧客と従業員を抱え、その PII を大量に抱える企業は、重大なリスクにさらされています。

脅威は何ですか?

• どちらも、医療におけるHIPAAや教育におけるFERPA(そして現在はCCPA)などの規制を通じて、PIIに関するプライバシー上の懸念についてすでに何年も前から精査されてきました。
• 遠隔教育が標準となり、医療記録の大部分が電子化され、 Epicを介してシステムが接続された現在、それを防ぐための ネットワークセグメンテーション アクセスポリシーが整備されていなければ、攻撃者はシステム間を簡単に移動できます。
• 世界的なパンデミックとワクチン研究が進行中、世界 保健機関(WHO)や COVID-19ワクチン検査センターへの攻撃で見られたように、研究と医療が運営を継続する必要性はさらに戦略的であり、ランサムウェア攻撃者にとってより有利になる可能性があります。

したがって、医療と教育が侵害によって頻繁に打撃を受けるのも不思議ではありません。

イルミオによるゼロトラストセキュリティ

遠隔教育を提供する一流医学部の最近のイルミオの顧客は、 ネットワークセグメンテーションによってPIIへの侵害の拡大を防ぐことで、潜在的な攻撃からデータをより適切に保護しようとしました。

ネットワークセグメンテーションは、患者またはクライアントのデータでアプリケーションをリングフェンシングすることにより、 PIIを保護するための重要な制御です。ゼロトラストセキュリティポリシーを実装すると、正当なビジネス目的を持つ許可された当事者へのアクセスが制限され、攻撃者がネットワーク上で最も価値のあるデータに自由に移動するための権限昇格の経路を阻止します。お客様は最初にファイアウォールの使用を考えましたが、内部ファイアウォールを備えたネットワーク上のセキュリティはクラウドベースの需要に追いつくことができませんでした。

「ポリシールールを効率的かつ安全に施行できることは最も重要でした。なぜなら、私たちには非常に多くの人材とシステムがあるからです。ファイアウォールを使用すると、数か月かかる可能性があります」と学校の IT リーダーは説明しました。「変更管理を使用する必要があります。ハードウェアがダウンすると、データセンター全体が危険にさらされます。障害点と複雑さが生じ、ネットワーク スタッフに負担がかかります。すべての新しいデータベースには調整が必要です。」

チームは、イルミオでソフトウェアベースのアプローチを選択しました。

「マイクロセグメンテーションには興味がありましたが、ネットワークインフラストラクチャでACLを使用したくありませんでした。そのためにはテスト環境と停止ウィンドウが必要でした。同時に、セキュリティチームは、当社のネイティブセキュリティ機能の使用を開始したいと考えていました。 Windows サーバー.イルミオASPは、両方の実装ですべてのボックスにチェックを入れました - それが私たちの最初で最終的な選択でした。これにより、本番環境のすべての通信フローを確認し、停止に直面することなくファイアウォールルールをテストできます。」

イルミオは、ゼロトラストセキュリティをネットワークの制約から切り離す、より優れたマイクロセグメンテーションを通じて、医療、学術、その他の重要な業界がPIIを安全に保つのを支援します。ある医療学校が遠隔教育のクラウドセキュリティをより向上させるための道のりについては、 こちらのケーススタディをご覧ください。