의료 분야에서 사이버 보안은 말 그대로 삶과 죽음을 가를 수 있습니다. 환자 치료를 조정하고 적절한 의료진에게 올바른 전자 의료 기록을 전달하거나 민감한 정보를 보호하려면 병원, 연구소 및 기타 의료 서비스 제공업체는 온라인 상태, 연결성 및 보안을 유지해야 합니다.
이것이 바로 영국 국민보건서비스(NHS)의 새로운 요구 사항 모든 엔티티가 구현하는 다단계 인증(MFA) 는 매우 중요한 이정표입니다. RSA를 대표해서 말씀드리는 것이 아니라 개인적으로도 그렇습니다. 저는 영국 출신이고 여전히 영국에 가족이 있습니다. MFA를 시행함으로써 NHS는 환자(제 가족도 포함)의 매우 민감한 건강 정보를 계속 안전하게 보호할 수 있을 것입니다.
MFA 정책은 조직 또는 시스템 전체에서 다단계 인증을 구현하기 위한 규칙과 요구 사항을 간략하게 설명합니다. 인증된 사용자만 시스템이나 데이터에 액세스할 수 있도록 하여 무단 액세스, 데이터 침해 및 사이버 공격의 위험을 줄이는 것이 목표입니다. 잘 정의된 MFA 정책은 여러 요소를 통해 인증해야 하는 사용자, 사용할 인증 방법, 민감한 데이터에 액세스하거나 고위험 작업을 수행하는 등 MFA가 필요한 상황을 지정합니다. 또한 정책에는 일반적으로 규정 준수, 시행 및 새로운 보안 위협에 적응하기 위한 정기 업데이트에 대한 지침이 포함됩니다.
이 정책은 NHS에만 해당되는 것이지만, 전 세계적인 추세의 일부이기도 합니다. 새로운 NHS 요건은 미국의 다음과 같은 의무를 따릅니다. 국가의 사이버 보안 개선. 마찬가지로 유럽연합의 NIS2 지침은 모든 회원국 간에 "높은 공통의 사이버 보안 수준"을 확립하는 것을 목표로 합니다. 다음과 같은 사건 Log4j, 의 전쟁 우크라이나, 및 국가가 후원하는 사이버 공격 전 세계적으로 사이버 보안을 최우선 과제로 삼고 있는 지금, 모든 조직이 방어 체계를 강화하는 데 집중하는 것이 그 어느 때보다 중요해졌습니다. 특히 의료 분야의 경우 더욱 그러하며, 그렇기 때문에 저는 NHS가 사이버 보안을 진지하게 받아들이고 있다는 점이 매우 고무적입니다.
그러나 NHS처럼 규모가 크고 복잡한 시스템의 경우 2024년 2월의 이행 계획 시연 기한 또는 2024년 6월의 완전한 규정 준수 기한에 맞춰 멀티팩터 인증을 구현하려면 실제 작업이 필요합니다. 따라서 사이버 보안에서 MFA가 중요한 이유를 살펴보고, NHS MFA 정책 요구 사항을 검토하고, NHS 신탁, 통합 치료 위원회, 보건사회부 산하 기관 및 기타 의료 서비스 제공업체가 우선순위를 두어야 하는 기능에 대해 논의해 보겠습니다.
다단계 인증은 사용자가 본인임을 확인하는 데 도움이 되는 추가적인 보안 계층을 제공합니다. MFA는 이메일 주소와 비밀번호만 요구하는 대신 사용자가 인증 코드 입력, 푸시 알림에 응답, 보안 키 사용, 생체 정보 제공 등의 추가 요소를 제공해야 로그인할 수 있도록 요구합니다.
보안을 한 단계 더 강화하는 것만으로도 엄청난 효과를 얻을 수 있습니다. 비밀번호와 이메일을 제공하는 것만으로는 대부분의 데이터 유출을 막을 수 없습니다. Verizon 2023 데이터 유출 조사 보고서 에 따르면 전체 침해 사고 중 74%가 "오류, 권한 오용, 도난된 인증정보 사용 또는 소셜 엔지니어링"과 관련된 것으로 나타났습니다. 이 보고서는 또한 지난 5년 동안 도난당한 인증정보가 침해의 가장 인기 있는 진입점이 되었다는 사실을 발견했습니다.
또한, 유출된 비밀번호로 인해 더 많은 침해가 시작될 뿐만 아니라 이러한 침해가 더 큰 영향을 미치는 경향이 있습니다. 비밀번호 IBM 데이터 유출로 인한 2023년 비용 보고서 에 따르면 도난 또는 유출된 인증정보로 시작된 침해 사고를 탐지하고 차단하는 데 평균 308일이 걸리며, 가장 빈번하고 오래 지속되며 비용이 가장 많이 드는 초기 공격 벡터 중 하나로 나타났습니다.
강력한 다단계 인증(MFA) 정책을 구현하는 것은 민감한 정보를 선제적으로 보호하는 데 매우 중요합니다. 사이버 위협이 점점 더 정교해짐에 따라 비밀번호에만 의존하는 인증 방식으로는 더 이상 충분하지 않습니다. 포괄적인 MFA 정책은 사용자가 여러 요소를 통해 신원을 확인하도록 요구하므로 자격 증명이 유출되더라도 무단 액세스 가능성을 크게 줄일 수 있습니다. 모든 액세스 포인트에 MFA를 적용함으로써 조직은 보안 태세를 강화할 뿐만 아니라 모범 사례 및 규정 준수 요건에 부합하여 진화하는 사이버 위협에 대한 강력한 보호를 보장하고 잠재적인 침해의 영향을 최소화할 수 있습니다.
저는 GP, 병원 및 연구소가 NHS MFA 정책을 사이버 공격의 실제 위협에 대응하는 방법으로 사용할 것을 권장하며, 이를 완료해야 하는 또 다른 '체크박스' 조치로 간주하지 말 것을 권장합니다. NHS의 디지털 시스템은 이미 공격을 받고 있기 때문입니다:
- 2023년에 한 사이버 보안 회사에서 "수백만 NHS Trust 병원의 의료 기기 중... 사이버 범죄 조직에 의한 랜섬웨어 공격에 완전히 노출되어 있습니다"
- 또한 2023 년에 BlackCat / ALPHV 랜섬웨어 신디케이트는 다음과 같은 방법으로 수익을 올린 것으로 알려졌습니다. 7테라바이트의 환자 데이터영국 최대 병원 그룹 중 하나인 바츠 헬스 NHS 트러스트의
- 같은 기간 동안 맨체스터 대학교 "100만 명 이상의 환자 정보가 유출되었다"고 발표했습니다.
- 2022 년 NHS IT 제공 업체 인 Advanced는 공격을받은 후 "완전히 복구하는 데 3 ~ 4 주"가 걸릴 것이라고 발표했습니다. 랜섬웨어 공격, 이 공격으로 인해 의료진은 몇 주 동안 "펜과 종이로" 진료 노트를 작성해야 했고, 그 결과 "처리 및 입력에 6개월 소요"수동 백로그
- 그리고 국가 사이버 보안 센터(NCSC) 는 국가가 후원하는 행위자들이 "팬데믹이 한창일 때... NHS를 표적으로 삼았다"고 지적했습니다.
계속할 수 있습니다. 랜섬웨어 공격, 계정 탈취 공격, 소셜 엔지니어링, 평범한 피싱 등 사이버 범죄자들은 사용자 계정과 환자 데이터를 손에 넣거나 병원이 비용을 지불해야 할 정도로 운영을 방해하려고 합니다. 2020년에는 독일 뒤셀도르프 대학 병원의 시스템을 마비시킨 위협 행위자들이 사람들의 생명을 위협했습니다. 공격이 진행되는 동안 의사들은 환자를 다른 병원으로 이송하여 치료를 받으려고 시도했습니다. 환자는 이송 도중 사망했고, "생명을 잃은 최초의 알려진 사례'라는 메시지가 랜섬웨어 공격의 결과로 표시됩니다.
RSA는 수십 년 동안 의료 부문과 협력해 왔습니다. 올해에는 중요한 새 기능 전자 의료 기록을 안전하게 유지하는 데 도움이 될 것이며, 의료 시스템 보안을 위해서는 조직이 규정 준수 요건을 해결하고 사이버 공격에 대비해야 한다는 것을 잘 알고 있습니다.
멀티팩터 인증을 도입하는 것은 사이버 보안의 핵심이며, "모든 시스템에 대한 모든 원격 사용자 액세스"와 "외부 호스팅 시스템에 대한 모든 권한 있는 사용자 액세스"에 MFA를 적용해야 한다는 정책의 지침은 상당수의 고위험 사용자 및 사용 사례를 보호하는 데 도움이 될 것이라는 달성 가능한 목표의 우선순위를 잘 정하고 있다고 생각합니다.
광범위한 MFA 구현의 필요성
하지만 저는 이 의무가 더 나아가 모든 사용자로 확대되어야 한다고 생각합니다. NHS는 "권한 있는 사용자"를 "시스템 관리자 또는 보안 관련 기능을 가진 사용자"로 정의하고 있습니다. 관리자를 먼저 보호하려는 의도는 계정이 유출되는 것을 방지하고 시스템 전반의 보안 변경을 구현하기 위함일 것으로 예상합니다.
그렇다면 마지막 단계가 아니라면 합리적인 첫 번째 단계입니다. 권한이 있는 사용자가 외부 시스템이나 원격 사용자에 액세스하는 것을 막는 것만으로는 시스템에 대한 신뢰가 너무 많이 쌓이게 됩니다. 사이버 범죄자들은 보안 시스템의 허점을 찾아내어 최대한 악용하는 데 매우 능숙하며, 보안 관련 기능이 없는 사용자나 내부 사용자에게 MFA를 사용하지 않도록 설정하는 것은 매우 큰 공백을 남기는 것입니다.
내부 공격의 위험성 이해
조직은 대부분의 방어 체계를 높은 수준의 계정을 중심으로 구축하고 외부 공격에 대비하는 경향이 있는데, 이러한 사고방식은 많은 공격이 낮은 수준의 계정을 침해한 후 내부에서 진행된다는 사실을 인식하지 못합니다. 관리 자격 증명을 손상시키는 것으로 공격이 시작되는 경우는 거의 없습니다.
대신 공격자는 "피싱 및 탈취한 자격 증명을 사용하여 액세스 권한을 획득하고 백도어를 추가하여 액세스 권한을 유지하고 취약점을 활용하여 이동하는 등 다양한 도구를 사용하여 사용자 환경을 탐색한 다음 전환합니다.
측면으로"라고 Verizon 2023 데이터 침해 조사 보고서에 나와 있습니다. 공격자는 점진적으로 위로 올라가면서 권한을 확대하려고 시도하지만, 보안 수준이 낮고 덜 안전한 계정부터 침해하기 시작합니다.
MFA 정책의 단점
또한 MFA는 매우 중요하지만 만병통치약은 아닙니다. 조직은 다음과 같은 목표에 더 가까워져야 합니다. 제로 트러스트 보안을 모든 비즈니스 프로세스의 핵심 요소로 삼아야 합니다. 바츠 헬스 트러스트를 침해한 블랙캣/알프브이 해킹 그룹을 살펴보면, 같은 그룹이 올가을 라스베이거스에 있는 시저스 엔터테인먼트 그룹의 IT 헬프데스크를 소셜 엔지니어링하여 MFA를 회피하는 데 성공했고, 이로 인해 다음과 같은 일이 벌어졌다고 합니다. $1500만 몸값 지불.
오해하지 마세요. NHS England의 다단계 인증 정책에는 마음에 드는 점이 많습니다. 예를 들어 업계 표준을 사용한다는 점입니다. NHS 사무소에서 생체 인증을 구현하기로 선택한 경우 정책에서는 다음을 검토하도록 권장합니다. NIST SP 800-63B s5.2.3 및 NCSC '생체 인식 및 인증 시스템'. 이 문서는 매우 유용한 문서로, NHS 담당자는 이를 참조하여 MFA 배포에 모범 사례를 구축할 수 있습니다.
그리고 NHS England MFA 정책 가이드 는 또한 실용주의와 유연성을 우선시하며 "현재 MFA에 대한 기술적 접근 방식은 모두 허용된다"며 조직이 '이상적인' 솔루션을 찾으려고 해서는 안 된다고 지적합니다: "대신 실현 가능한 것을 구현하고 시간이 지남에 따라 개선해야 합니다." NHS는 조직이 "조직과 사용자의 상황에 따라 한 가지 요소 또는 여러 가지 요소를 선택해야 한다"고 말합니다.
완벽한 것이 선의 적이 되지 않도록 하고 시간이 지남에 따라 MFA를 개선하는 이러한 접근 방식은 훌륭합니다. NHS 조직은 여러 환경에서 작업하는 여러 사용자 그룹을 지원해야 할 가능성이 높습니다. 또한 조직의 요구가 진화함에 따라 새로운 사용자 그룹과 새로운 환경에 적응할 수 있는 MFA 정책이 필요할 것입니다.
이를 위해서는 현재 다양한 MFA 방법을 지원하고 온프레미스, 멀티 클라우드 및 하이브리드 환경 전반으로 확장할 수 있도록 구축된 솔루션을 우선적으로 고려하는 것이 필수적입니다. NHS 직원은 다음을 수행할 수 있습니다. ID Plus 체험하기 를 통해 45일 동안 해당 기능이 실제로 작동하는지 확인할 수 있습니다.
