PII를 위한 CCPA 및 제로 트러스트 보안: 의료 및 교육

더 캘리포니아 소비자 개인정보 보호법 2020년 7월 1일에 발효되어 기업에 새로운 취급 규제 기준이 적용되었습니다. 개인 식별 정보 (PII) 미국에서 가장 인구가 많은 주에 거주하는 사람들.

GDPR과 마찬가지로 마감일까지 많은 기대가 있었습니다.조직은 GDPR에 대비하기 위해 2018년보다 더 잘 대비하고 있을 수 있지만, 몇 가지 중요한 사항이 변경되었습니다.

프라이버시가 여전히 큰 관심사인 이유는 무엇일까요?검역의 새로운 시대를 맞이하여 우리는 이제 다음과 같은 상황에 직면하고 있습니다.

• 리모트 모두: 클라우드 협업 (PII 처리 포함) 은 새로운 표준이며 적절한 클라우드 보안과 엔드포인트 보안이 필요합니다.
• 데이터 유출로 인한 이중 랜섬: 많은 공격자들이 기업으로부터 고객 데이터를 탈취하거나 (몸값이 원천징수될 경우) 비트코인을 통해 소비자를 직접 갈취합니다. 이는 헤드라인에서 자주 언급되기도 합니다.

이것이 기업에 미치는 영향은 무엇일까요?개인 정보 보호법 처벌과 집단 소송을 피하기 위해 더 많은 노출과 더 높은 몸값을 지불할 인센티브가 더 커졌습니다.

PII의 가치

많은 공격자와 랜섬웨어 초기의 익스플로잇들은 자신들이 무엇을 노리고 있는지 몰랐습니다. 그들은 단지 한 입 베어물고 싶어서 악용하려고 할 뿐이었습니다.이제 악의적인 공격자들은 은행, 법률 회사 또는 의료 서비스 제공자의 특정 사이트를 적극적으로 찾아다니며 해당 정보가 왜 중요한지 이해하고 있습니다. 그 중 많은 부분이 개인 정보 보호법과 관련이 있습니다.

개인 데이터는 얼마나 가치가 있나요?

• CCPA에 대한 민사 집단 소송에서 데이터 위반이 발생한 기업이 지불하는 손해배상에는 캘리포니아 거주자 1인당 100~750달러 (총 4천만 달러), 사고 또는 실제 손해 (둘 중 더 큰 금액) 및 법원에서 적절하다고 간주하는 기타 구제책이 포함됩니다.
• 이러한 위협은 영국 ICO가 정한 GDPR 벌금으로 인한 연간 매출액의 4% 미만인 것처럼 보일 수 있지만 합의에 도달하기까지 수년간 비용이 많이 드는 소송을 생각해 보십시오.

상상해 보세요. 비즈니스가 침해되면 공격자가 몸값에 벌금을 부과할 수 있고 사용자는 대가를 지불할 유인이 됩니다. 적어도 방어하는 데 수년, 수백만 달러의 비용이 드는 규제 기관 및 집단 소송에 노출되어 평판이 훼손되는 것을 피할 수 있기 때문입니다.

이러한 법률은 좋은 의도를 가지고 있지만, 공격자가 캘리포니아에 있는 의료 기관이나 학교, 다른 곳의 은행을 연결할 수 있다면 기업의 발을 헛디딜 수 있는 큰 인센티브가 될 수 있습니다.개인 정보 보호 및 소비자 데이터는 매우 중요한 자산이기 때문에 공격자가 자신의 데이터를 알면 가치가 있는 모든 금액으로 이를 악용할 수 있습니다.

취약 대상: 의료 및 교육

고객과 직원 수가 많고 PII가 많은 의료 및 교육 기업과 같은 비즈니스는 심각한 위험에 처해 있습니다.

위협은 무엇일까요?

• 의료 분야의 HIPAA 및 교육 분야의 FERPA (현재는 CCPA) 와 같은 규정을 통해 이미 수년 동안 PII와 관련된 개인 정보 보호 문제에 대한 조사를 받고 있습니다.
• 이제 원격 학습이 일반적이고 의료 기록이 대부분 전자화되어 시스템 전체를 연결하는 방식으로 바뀌었습니다. 에픽, 시스템이 없는 경우 공격자가 시스템 사이를 쉽게 이동할 수 있습니다. 네트워크 세분화 이를 방지하기 위한 액세스 정책이 마련되어 있습니다.
• 전 세계적으로 팬데믹과 백신 연구가 진행 중인 상황에서 지속적인 운영을 위한 연구와 의료 서비스의 필요성은 더욱 전략적이며 랜섬웨어 공격자에게 잠재적으로 더 유리합니다. 세계보건기구 (WHO), 및 COVID-19 백신 테스트 센터.

따라서 의료 및 교육 기관이 보안 침해로 인해 자주 타격을 입는 것은 놀라운 일이 아닙니다.

일루미오와 함께하는 제로 트러스트 시큐리티

일류 의과 대학에서 원격 학습을 제공하는 최근 Illumio 고객 중 한 명은 다음과 같은 방법으로 PII로 침해가 확산되는 것을 방지하여 잠재적 공격으로부터 데이터를 더 안전하게 보호하고자 했습니다. 네트워크 세분화.

네트워크 세분화는 보안을 위한 중요한 제어입니다. PII, 환자 또는 고객 데이터가 포함된 링펜싱 애플리케이션을 통해구현 제로 트러스트 보안 정책은 합법적인 비즈니스 목적을 가진 허용된 당사자에 대한 액세스를 제한하고 공격자가 네트워크를 통해 가장 중요한 데이터를 자유롭게 이동하려는 권한 상승 경로를 차단합니다.고객은 처음에 방화벽을 사용하겠다고 생각했지만, 내부 방화벽을 갖춘 네트워크 보안으로는 클라우드 기반 수요를 따라갈 수 없었습니다.

“인력과 시스템이 너무 많기 때문에 효율적이고 안전하게 정책 규칙을 시행할 수 있다는 것이 가장 중요했습니다.학교 IT 책임자는 방화벽이 있으면 몇 달이 걸릴 수 있다고 설명했습니다.“변경 제어를 사용해야 합니다.하드웨어가 다운되면 전체 데이터 센터가 위태로워집니다.이로 인해 장애 지점과 복잡성이 발생하고 네트워크 직원에게 부담이 됩니다.모든 새 데이터베이스에는 조정이 필요합니다.”

팀은 Illumio를 사용하여 소프트웨어 기반 접근 방식을 선택했습니다.

“마이크로 세분화에는 관심이 있었지만 테스트 환경과 운영 중단 기간이 필요한 네트워크 인프라에서 ACL을 사용하고 싶지는 않았습니다.그와 동시에 우리 보안팀은 우리 회사의 기본 보안 기능을 사용하기 시작하기를 원했습니다. 윈도우 서버.Illumio ASP는 두 구현 모두에 대해 모든 사항을 고려했습니다. 첫 번째이자 최종 선택이었습니다.이를 통해 라이브 프로덕션 환경의 모든 통신 흐름을 확인하고 장애 발생 없이 방화벽 규칙을 테스트할 수 있습니다.”

Illumio는 제로 트러스트 보안을 네트워크 제약으로부터 분리하는 더 나은 마이크로 세분화를 통해 의료, 학계 및 기타 주요 산업이 PII를 안전하게 유지할 수 있도록 지원합니다.사례 연구를 통해 원격 학습을 위한 클라우드 보안을 강화하기 위한 한 의료 학교의 여정에 대해 자세히 알아보십시오. 이리.