.png)
PII를 위한 CCPA 및 제로 트러스트 보안: 의료 및 교육 분야
캘리포니아 소비자 개인정보 보호법이 2020년 7월 1일부터 시행됨에 따라 미국에서 가장 인구가 많은 주에서 거주자의 개인 식별 정보(PII)를 처리하는 기업은 새로운 규제 기준을 적용받게 됩니다.
GDPR과 마찬가지로 마감 시한을 앞두고 많은 기대가 있었습니다. 조직은 2018년보다 GDPR에 대한 준비가 더 잘 되어 있을 수 있지만 몇 가지 중요한 사항이 변경되었습니다.
개인정보 보호가 여전히 큰 관심사인 이유는 무엇인가요? 새로운 검역의 시대에 우리는 지금 직면하고 있습니다:
- 모든 것을원격으로: 클라우드 협업(개인 정보 처리 포함)은 새로운 표준으로, 적절한 클라우드 보안과 엔드포인트 보안이 필요합니다.
- 데이터 유출을 통한 이중 몸값: 더 많은 공격자들이 기업에서 고객 데이터를 유출하고 (몸값이 보류된 경우) 비트코인을 통해 직접 소비자를 갈취하고 있으며, 이는 종종 헤드라인에 등장합니다.
이는 비즈니스에 어떤 의미가 있을까요? 더 많은 노출과 개인정보 보호법 처벌 및 집단 소송을 피하기 위해 더 높은 몸값을 지불할 유인이 커집니다.
PII의 값
초기에 많은 공격자와 랜섬웨어 익스플로잇은 그들이 무엇을 노리는지 알지 못한 채 그저 한 입만 노리고 익스플로잇을 시도했습니다. 이제 악의적인 공격자들은 은행, 로펌 또는 의료 서비스 제공업체의 특정 사이트를 적극적으로 찾고 있으며, 이러한 정보가 왜 중요한지, 그리고 그 중 많은 부분이 개인정보 보호법과 관련이 있는지를 잘 알고 있습니다.
개인 데이터의 가치는 어느 정도인가요?
- CCPA에 대한 민사 집단 소송에서 데이터 유출이 발생한 기업이 지불하는 손해배상금에는 캘리포니아 거주자 1인당 100~750달러(총 4천만 달러)와 사고 또는 실제 손해(둘 중 더 큰 금액)와 법원이 적절하다고 판단하는 기타 구제책이 포함됩니다.
- 이 위협은 영국에서 ICO가 정한 GDPR 벌금으로 인한 연간 매출액의 4% 미만으로 보일 수 있지만, 합의에 도달하기까지 수년간의 값비싼 소송을 생각해보십시오.
비즈니스가 침해당하면 공격자는 몸값에 잠재적인 벌금을 추가할 수 있으며, 적어도 규제 당국과 집단 소송에 노출되어 평판이 손상되는 것을 피할 수 있고 방어하는 데 수년과 수백만 달러가 더 들기 때문에 비용을 지불할 유인이 있습니다.
법의 의도는 좋지만, 캘리포니아의 의료 기관이나 학교, 은행 등 어디든 연결할 수 있다면 공격자들이 기업들을 공격할 큰 동기가 될 수 있습니다. 개인 정보 및 소비자 데이터는 가치가 매우 높기 때문에 공격자가 정보를 알고 있다면 한 푼이라도 더 벌기 위해 이를 악용할 것입니다.
취약한 대상: 의료 및 교육
의료 및 교육과 같이 고객과 직원 수가 많고 많은 양의 PII를 보유한 비즈니스는 상당한 위험에 노출되어 있습니다.
위협은 무엇인가요?
- 두 가지 모두 이미 수년 전부터 의료 분야의 HIPAA, 교육 분야의 FERPA(현재는 CCPA) 등의 규정을 통해 PII와 관련된 개인정보 보호 문제를 면밀히 조사해 왔습니다.
- 원격 교육이 일반화되고 의료 기록이 대부분 전자화되어 에픽을 통해 시스템이 연결되는 지금, 이를 방지하기 위한 네트워크 분할 액세스 정책이 없다면 공격자가 시스템 간에 쉽게 이동할 수 있습니다.
- 전 세계적으로 팬데믹이 확산되고 백신 연구가 진행 중인 상황에서 세계보건기구(WHO)와 코로나19 백신 테스트 센터에 대한 공격에서 보았듯이 연구와 의료 서비스를 계속 운영해야 하는 필요성은 랜섬웨어 공격자들에게 더욱 전략적이고 잠재적으로 더 큰 수익이 될 수 있습니다.
따라서 의료 및 교육 분야에서 보안 침해 사고가 빈번하게 발생하는 것은 놀라운 일이 아닙니다.
일루미오를 통한 제로 트러스트 보안
최근 일루미오의 한 고객인 원격 교육을 제공하는 유명 의과대학은 네트워크 세분화를 통해 PII 침해가 확산되는 것을 방지함으로써 잠재적인 공격으로부터 데이터를 더 안전하게 보호하고자 했습니다.
네트워크 세분화는 환자 또는 클라이언트 데이터와 애플리케이션을 링펜싱하여 PII를 보호하는 중요한 제어 수단입니다. 제로 트러스트 보안 정책을 구현하면 합법적인 비즈니스 목적을 가진 허용된 당사자로 액세스를 제한하고 공격자가 네트워크를 통해 가장 중요한 데이터로 자유롭게 이동할 수 있는 권한 상승 경로를 차단할 수 있습니다. 고객은 처음에는 방화벽을 사용하려고 생각했지만 내부 방화벽을 통한 네트워크 보안은 클라우드 기반 수요를 따라잡을 수 없었습니다.
"많은 인력과 시스템을 보유하고 있기 때문에 정책 규칙을 효율적이고 안전하게 시행하는 것이 가장 중요했습니다. 방화벽을 사용하면 몇 달이 걸릴 수도 있습니다."라고 학교 IT 책임자는 설명했습니다. "변경 제어를 사용해야 합니다. 하드웨어가 다운되면 데이터센터 전체가 위험에 처하게 됩니다. 이는 장애 지점과 복잡성을 야기하고 네트워크 직원에게 부담을 줍니다. 모든 새로운 데이터베이스에는 조정이 필요합니다."
팀은 소프트웨어 기반 접근 방식을 선택했습니다.
"마이크로 세분화에 관심이 있었지만 테스트 환경과 중단 기간이 필요한 네트워크 인프라에 ACL을 사용하고 싶지 않았습니다. 동시에 저희 보안팀은 저희의 기본 보안 기능을 사용하기 시작하고자 했습니다. Windows 서버. 일루미오 ASP는 두 구현 모두에 대해 모든 항목을 체크했으며, 이것이 우리의 첫 번째이자 최종 선택이었습니다. 이를 통해 라이브 프로덕션 환경의 모든 통신 흐름을 확인하고 중단 없이 방화벽 규칙을 테스트할 수 있습니다."
Illumio는 제로 트러스트 보안을 네트워크의 제약으로부터 분리하는 더 나은 마이크로 세분화를 통해 의료, 교육 및 기타 중요 산업에서 PII를 안전하게 보호할 수 있도록 지원합니다. 사례 연구에서 원격 학습을 위한 클라우드 보안을 강화하기 위한 한 의료 학교의 여정에 대해 자세히 알아보세요.
.webp)
