지난 5월 대규모 사이버 공격으로 인해 미국 전역의 140개 병원을 포함하는 의료 서비스 제공업체인 Ascension에서 거의 한 달 동안 임상 운영이 중단되었습니다. 조사관들은 직원의 컴퓨터를 감염시킨 악성 랜섬웨어에 대한 문제를 추적했습니다.

의료 시스템은 귀중한 개인, 금융, 건강 데이터를 보유하고 있기 때문에 사이버 범죄의 표적이 됩니다.의료 정보 기술 및 IT 보안 전문가를 대상으로 한 2023년 설문 조사에 따르면 조직의 88%가 전년도에 평균 40건의 공격을 경험한 것으로 나타났습니다.

Texas McCombs의 정보, 위험 및 운영 관리 부교수인 Hüseyin Tanriverdi는 IT 시스템이 점점 더 복잡해지고 있다는 것이 주요 취약점 중 하나라고 말합니다.이는 수십 년간의 인수합병을 통해 점점 더 큰 규모의 다중병원 시스템을 형성한 결과입니다.

Tanriverdi는 "합병 후 반드시 기술과 관리 프로세스를 표준화할 필요는 없습니다."라고 말합니다."의료 시스템은 결국 서로 다른 IT 시스템, 매우 다른 진료 프로세스, 서로 다른 거버넌스 구조로 인해 많은 복잡성을 갖게 됩니다."

그러나 그는 새로운 연구에서 복잡성이 그러한 문제에 대한 해결책을 제공할 수도 있다고 밝혔습니다.공동 저자인 홍콩 시립대학교의 권주희, 루이빌 대학교의 임기영과 함께 그는 "좋은 종류의 복잡성"이 다양한 시스템, 치료 프로세스 및 거버넌스 구조 간의 의사소통을 개선하고 사이버로부터 더 잘 보호할 수 있다고 말합니다.사건.

작업은출판됨일지에MIS 분기별.

복잡하다 대 복잡하다

팀은 2009년부터 2017년까지 445개 종합병원 그룹의 데이터를 사용하여 복잡성이 보안의 적이라는 자주 반복되는 개념을 조사했습니다.

그들은 문제의 핵심인 비슷하게 들리는 두 가지 IT 개념을 구별했습니다.

• 복잡성은 구조화된 방식으로 정보를 상호 연결하고 공유하는 시스템의 많은 요소입니다.
• 인수 합병 후 시스템을 통합할 때처럼 많은 요소가 구조화되지 않은 방식으로 정보를 상호 연결하고 공유할 때 복잡성이 발생합니다.

복잡한 시스템에는 구조가 있기 때문에 시스템이 수행할 작업을 예측하고 제어하는 ​​것은 어렵지만 실현 가능하다고 Tanriverdi는 말합니다.이는 구조화되지 않은 연결이 있는 복잡한 시스템에서는 실현 가능하지 않습니다.

Tanriverdi는 의료 시스템이 더욱 복잡해짐에 따라 더욱 취약해진다는 사실을 발견했습니다.가장복잡한 시스템한 병원에서 다른 병원으로의 의료 서비스 의뢰가 가장 다양했기 때문에 평균보다 위반 가능성이 29% 더 높았습니다.

문제는 그러한 시스템이 해커가 공격할 수 있는 더 많은 데이터 전송 지점을 제공하고 인간 사용자가 보안 오류를 범할 수 있는 더 많은 기회를 제공한다는 것입니다.

그는 다음을 포함하여 다른 형태의 복잡성에서도 유사한 취약점을 발견했습니다.

• 다양한 종류의 의료 서비스 처리건강 데이터.
• 전략적 의사결정을 기업 센터에서 내리지 않고, 회원 병원으로 분산화합니다.

데이터 표준 설정

연구원들은 또한 다양한 시스템 간의 데이터 공유를 관리하기 위해 중앙 집중식 데이터 웨어하우스와 같은 전사적 데이터 거버넌스 플랫폼을 구축하는 솔루션을 제안했습니다.이러한 플랫폼은 서로 다른 데이터 유형을 공통 데이터 유형으로 변환하고, 데이터 흐름을 구조화하며, 보안 구성을 표준화합니다.

"그들은 복잡한 시스템을 복잡한 시스템으로 변환할 것입니다"라고 그는 말합니다.시스템을 단순화함으로써 복잡성 수준을 더욱 낮출 수 있습니다.

그는 그러한 플랫폼을 만드는 데 따른 사이버 보안 효과를 테스트했습니다.그 결과 가장 복잡한 시스템에서도 침해 사고가 최대 47% 감소한다는 사실을 발견했습니다.

Tanriverdi는 데이터 거버넌스를 중앙 집중화하면 해커가 침입할 수 있는 경로가 줄어든다고 말합니다."더 적은 액세스 포인트와 단순화되고 강화된 사이버 보안 제어를 통해 승인되지 않은 당사자가 환자 데이터에 무단으로 액세스할 가능성이 줄어듭니다."

그는 더 강력한 인간 통제를 통해 기술 통제를 보완할 것을 권장합니다. 즉, 사용자에게 사이버 보안 관행을 교육하고 시스템의 다양한 부분에 액세스할 수 있는 사람을 더 효과적으로 규제할 것을 권장합니다.

Tanriverdi는 자신의 접근 방식에 역설이 있음을 인정합니다.새로운 기술 계층에 투자하면 처음에는 IT 복잡성이 더 커질 수 있습니다.그러나 장기적으로 볼 때 이는 기존의 복잡성과 더 위험한 종류의 복잡성을 길들이는 좋은 유형의 복잡성입니다.

"실무자들은 이전에 임시적이었던 정보 흐름에 구조를 제공하는 한 IT 복잡성을 수용해야 합니다"라고 그는 말합니다."기술을 잘 조직하고 관리하면 사이버 보안 위험이 줄어듭니다."

추가 정보:Hüseyin Tanriverdi 외, 다중 병원 시스템의 사이버 보안 복잡성 관리: 전사적 데이터 분석 플랫폼의 역할,MIS 분기별(2024).DOI: 10.25300/MISQ/2024/17752