동경 IT 뉴스 상세
병원의 사이버 대책을 확충(11.27 니혼게이자이신문)
- 총무성과 경제산업성은 후지쯔, NEC 등 의료용 시스템을 취급하는 IT기업을 대상으로 한 정보보안 지침을 2024년도 내에 개정 방침. 병원과 IT기업 간 책임 분담을 명확히 해 사이버 공격에 대한 대응력을 높이겠다는 생각.
- 의료기관은 조직 내 IT 인력이 적기 때문에 도입하는 시스템 내용을 기업에 맡기는 경향. 사이버 공간에 대한 리스크 파악이 제대로 이뤄지지 않아 공격이 발생했을 때 의료기관과 IT기업 중 누가 문제를 해결해야 할지 모호한 경우가 많은 편.
- 문제가 발생했을 때 IT기업에서 계약 밖이라며 대응을 거부해 의료 기능 복구가 늦어지는 경우도 존재.
- ‘22년에는 오사카의 한 병원에 사이버 공격이 발생, 데이터를 암호화하고 몸값을 요구하는 랜섬웨어에 감염되면서 일시적으로 진료가 불가능. 환자의 이름, 주소 등 개인정보 외에 진료 정보가 유출되면 악용될 가능성도 있음.
- 총무성과 경제산업성이 마련한 가이드라인에서는 의료기관과 IT기업이 시행하는 보안 대책의 범위를 계약서에 명시하도록 촉구. 예를 들어 랜섬웨어에 감염됐을 때 IT기업 측은 네트워크에서 시스템을 차단할 책임이 있으며, 병원 측은 해결책을 승인하는 식으로 역할을 분담.
- 문제가 발생해도 피해 확산을 막는 것이 목적으로, 복구를 위한 작업이 수월해짐.
- 의료 시스템 개발 기업뿐 아니라 시스템에 네트워크로 연결해 의료기관과 유지보수 계약을 맺은 사업자는 가이드라인의 적용 대상. 기존 가이드라인은 대상 기업의 범위가 모호한 측면이 있어, 보다 명확하게 범위를 규정할 예정.
- 공격 수법이 빠르게 변화하는 현 상황을 감안해, 의료기관과 IT기업이 지속적으로 사이버 위험에 대한 정보 공유도 요구. 계약에 참고할 수 있는 사례도 폭넓게 소개하며, 사이버 공격이 발생했을 때 정보 제공과 조사 협력의 구체적 사례를 제시함.
- 병원 등의 사이버 대책이 진척되지 않는 배경에는 의료 현장의 전문 인력 부족이 있음. 후생노동성 담당자는 “사이버 보안 대책을 IT 기업에 떠넘기는 측면이 있는 것은 사실이다. 진료수가가 가산되는 시스템 관리자에 IT 전문지식이 없는 원장이나 사무관계자 등이 근무하는 사례도 있다”고 밝힘.
- 후생노동성 측도 의료기관에 대한 사이버 방어체계 구축을 서두르고 있는데, '22년에는 의료기관을 대상으로 한 보안 교육 사이트를 개설. '24년도 진료수가 개정에서는 의료정보의 오프라인 환경에서의 보관 등 사이버 대책 노력에 가산하는 제도를 마련함
- 의료기관은 조직 내 IT 인력이 적기 때문에 도입하는 시스템 내용을 기업에 맡기는 경향. 사이버 공간에 대한 리스크 파악이 제대로 이뤄지지 않아 공격이 발생했을 때 의료기관과 IT기업 중 누가 문제를 해결해야 할지 모호한 경우가 많은 편.
- 문제가 발생했을 때 IT기업에서 계약 밖이라며 대응을 거부해 의료 기능 복구가 늦어지는 경우도 존재.
- ‘22년에는 오사카의 한 병원에 사이버 공격이 발생, 데이터를 암호화하고 몸값을 요구하는 랜섬웨어에 감염되면서 일시적으로 진료가 불가능. 환자의 이름, 주소 등 개인정보 외에 진료 정보가 유출되면 악용될 가능성도 있음.
- 총무성과 경제산업성이 마련한 가이드라인에서는 의료기관과 IT기업이 시행하는 보안 대책의 범위를 계약서에 명시하도록 촉구. 예를 들어 랜섬웨어에 감염됐을 때 IT기업 측은 네트워크에서 시스템을 차단할 책임이 있으며, 병원 측은 해결책을 승인하는 식으로 역할을 분담.
- 문제가 발생해도 피해 확산을 막는 것이 목적으로, 복구를 위한 작업이 수월해짐.
- 의료 시스템 개발 기업뿐 아니라 시스템에 네트워크로 연결해 의료기관과 유지보수 계약을 맺은 사업자는 가이드라인의 적용 대상. 기존 가이드라인은 대상 기업의 범위가 모호한 측면이 있어, 보다 명확하게 범위를 규정할 예정.
- 공격 수법이 빠르게 변화하는 현 상황을 감안해, 의료기관과 IT기업이 지속적으로 사이버 위험에 대한 정보 공유도 요구. 계약에 참고할 수 있는 사례도 폭넓게 소개하며, 사이버 공격이 발생했을 때 정보 제공과 조사 협력의 구체적 사례를 제시함.
- 병원 등의 사이버 대책이 진척되지 않는 배경에는 의료 현장의 전문 인력 부족이 있음. 후생노동성 담당자는 “사이버 보안 대책을 IT 기업에 떠넘기는 측면이 있는 것은 사실이다. 진료수가가 가산되는 시스템 관리자에 IT 전문지식이 없는 원장이나 사무관계자 등이 근무하는 사례도 있다”고 밝힘.
- 후생노동성 측도 의료기관에 대한 사이버 방어체계 구축을 서두르고 있는데, '22년에는 의료기관을 대상으로 한 보안 교육 사이트를 개설. '24년도 진료수가 개정에서는 의료정보의 오프라인 환경에서의 보관 등 사이버 대책 노력에 가산하는 제도를 마련함