의료 분야는 악의적인 행위자의 가장 많은 표적이 되는 분야 중 하나이며 매년 꾸준히 증가하는 침해 사례. 의료 환경에 영향을 미치는 일반적인 보안 위험과 수많은 헤드라인을 장식하는 데이터 침해에도 불구하고, 의료는 증가하는 사이버 공격에 대항하기 위한 자원이 여전히 부족합니다.
2025년 XNUMX월 초, HIPAA는 보다 세부적인 보안 규정을 제공하기 위해 HIPAA 보안 규칙 프레임워크에 대한 일련의 업데이트를 제안했습니다. 이는 모든 의료 기관이 보안 위험을 정면으로 해결하도록 강요하기 때문에 업계에 절실히 필요한 변화입니다. 하지만 솔직히 말해서 HIPAA에서 제안된 변경 사항이 올바른 방향으로 나아가는 한 걸음이기는 하지만 완전한 해결책과는 거리가 멀고, 많은 새로운 지침은 자원이 부족한 기관이 준수하도록 도전할 것입니다.
HIPAA 프레임워크가 새로운 규정을 추가하는 이유는 무엇입니까?
HIPAA 보안 규칙 처음 도입된 이래로 몇 차례의 주요 개정을 거쳤으며, 가장 최근의 개정은 2000년대 초반에 이루어졌습니다. 그 이후로 프레임워크에 사소한 업데이트만 적용되었으며, 보안 관점에서 잠언적인 바늘을 움직인 것은 없습니다. 더욱이 현재의 보안 HIPAA 지침은 프레임워크의 요구 사항보다는 권장 사항에 가깝습니다.
간단히 말해서, 특히 보안 지침과 관련된 부분을 전면적으로 개편할 때가 되었습니다. 신원 보안. 또한 업데이트가 갑자기 나온 것이 아니라는 점도 주목할 만합니다. 이는 최근 몇 년 동안 의료 산업에서 증가하는 공격에 대한 직접적인 대응이었습니다. 이 부문의 공격에서 공통 분모는 손상된 자격 증명과 감지되지 않은 측면 운동.
의료 서비스 제공자에 대한 이러한 지속적이고 성공적인 위반의 결과로 HIPAA 규제 기관은 강력하고 명확한 메시지를 내놓았습니다. 그만하면 충분 해.
이 새로운 제안된 가이드라인은 보안 통제 및 자세의 부족을 해결하는 것을 목표로 합니다. 또한 보안 모범 사례를 따라가기 위해 고군분투하는 업계에 대한 심각한 현실 확인이기도 합니다.
HIPAA 프레임워크에 제안된 주요 변경 사항
6년 2025월 XNUMX일, 보건복지부(HHS)는 HIPAA 프레임워크를 업데이트하기 위한 포괄적인 제안을 발표했는데, 이는 전자 보호 건강 정보(ePHI)의 보안과 개인정보 보호 강화를 위한 중요한 조치입니다.
에 따르면 OCR의 발표제안된 규칙은 "사이버 보안을 개선하고 증가하는 사이버 공격으로부터 미국의 의료 시스템을 더 잘 보호"하고 "보안 규칙을 사이버 보안의 최신 모범 사례와 더 잘 일치"시키는 것을 목표로 합니다.
구체적으로 다음 사항을 다루는 제안된 지침을 자세히 살펴보겠습니다. 신원 보안 업데이트된 HIPAA 보안 규칙 프레임워크에서
1. 손상된 자격 증명 그리고 MFA
전자 보호 건강 정보(ePHI)에 대한 모든 액세스 지점에 대해 조직은 다음을 구현해야 합니다. MFA 보호. 이 조치는 다음과 관련된 위험을 완화하는 것을 목표로 합니다. 손상된 자격 증명, 무단 접근을 줄입니다.
2. 사고 대응
제안된 업데이트에 따라 사고 대응과 관련된 모든 정책, 절차, 계획 및 분석은 서면으로 문서화해야 합니다. 침해 후 72시간 이내에 사고를 보고하고 시스템을 복구하는 절차를 포함한 포괄적인 사고 대응 계획은 해당 기관에서 개발해야 합니다. 또한 조직은 조직의 보안 제어의 효과를 보장하기 위해 연간 보안 테스트를 실시해야 합니다.
3. 위험도 분석
보안 위험 분석을 수행하기 위해 HHS는 자산 인벤토리와 네트워크 맵을 검토하고, 보호된 건강 정보(PHI)에 대한 잠재적 위협을 식별하고, 각 위협의 위험 수준을 평가하는 서면 평가를 유지하는 것을 포함하는 보다 자세한 요구 사항을 제안했습니다. 조직은 보안 위협과 위험을 더 잘 이해하고 완화함으로써 이러한 사전 예방적 접근 방식의 이점을 누릴 수 있습니다.
4. 자산 재고
의료 기관은 시스템 전체에서 ePHI의 이동을 추적하는 자산 인벤토리와 네트워크 맵을 개발해야 합니다. 이 포괄적인 매핑 요구 사항은 잘못된 구성과 보안 위험을 식별하는 데 도움이 되며 모든 자산이 무단 액세스로부터 적절하게 보호되도록 합니다.
5. 암호화
모든 PHI는 저장 중과 전송 중에 모두 암호화되어야 하며, 이는 선택적 권장 사항이 아닌 의무적 암호화 관행으로의 전환을 반영합니다. 이 변경 사항은 저장 및 전송 중에 민감한 환자 정보를 무단 액세스로부터 보호하는 것의 중요성을 강조합니다.
6. 취약점 스캐닝 및 침투 테스트
조직은 6개월마다 취약성 스캔을 실시하고 최소 1년에 한 번 침투 테스트를 실시해야 합니다. 이러한 평가는 악의적인 행위자가 악용하기 전에 보안 조치의 취약점을 식별하는 데 중요합니다.
7. 규정 준수 감사
적용 대상 기관은 기술적 통제가 효과적으로 구현되었는지 확인하기 위해 최소 1년에 한 번 규정 준수 감사를 실시해야 합니다. 조직은 업데이트된 보안 표준을 준수했음을 증명하기 위해 이 감사를 문서화해야 합니다.
8. 보안 인식 교육
제안된 규칙에는 보안 사고 식별 및 보고, 전자 시스템에 안전하게 액세스, HIPAA 정책 이해와 관련된 직원을 위한 새로운 교육 요건이 포함됩니다. IT 시스템에 액세스하면 30일 이내에 교육을 완료해야 하며 매년 갱신해야 합니다.
의료기관의 혹독한 진실
이러한 업데이트가 중요한 만큼, 이는 또한 자원이 부족한 의료 서비스 제공자가 직면한 과제를 강조합니다. 이러한 규정을 준수하려면 많은 의료 서비스 제공자가 어려움을 겪는 기술 및 프로세스에 대한 적절한 양의 리소스(IT 팀 및 투자)가 필요합니다. HIPAA의 새로운 제안된 프레임워크를 준수하지 않으면 규제 처벌과 보안 침해로 인한 피해로 이어질 수 있습니다. 더 강력한 보안 제어를 구현하고 전반적인 보안 태세를 강화함으로써 의료 기관은 HIPAA의 새로운 제안된 보안 지침에 맞춰 사전 조치를 취할 수 있으며, 이는 보다 엄격하고 광범위한 보안 조치를 요구합니다.
선제적 보안 접근 방식으로 규정 준수가 더 쉬워집니다.
HIPAA 프레임워크에 대한 제안된 변경 사항은 사이버 범죄자에 맞서 싸우는 의료 산업을 돕기 위한 필수적인 단계입니다. HIPAA는 이 분야의 다양한 보안 위험과 위협을 해결함으로써 위험을 줄이기 위한 명확한 로드맵을 제공하고 있습니다. 그러나 규정 준수를 달성하려면 상당한 노력이 필요하며, 특히 자원이 부족한 조직의 경우 더욱 그렇습니다. 의료 서비스 제공자는 보안에 대한 사전 예방적 접근 방식을 취하고 이러한 변화에 맞춰 지금 당장 행동하여 규정을 준수할 뿐만 아니라 회복력도 확보해야 합니다.
방법에 대해 자세히 알고 싶습니다. Silverfort HIPAA 요구 사항을 준수하는 데 도움을 드릴 수 있습니까? 전화 예약 전문가와 상담하거나 조직이 준비되고, 보호되고, 규정을 준수하는지 확인하려면 주문형 웨비나를 시청하세요.