NHS 사이버 보안 거버넌스 업데이트

국립건강서비스(NHS) 잉글랜드는 국가 데이터 보호자(NDG)와 협력하여, 오늘 건강 및 사회 복지 조직을 위한 새로운 사이버 회복력 프레임워크를 발표했습니다. 이 프레임워크는 NHS의 사이버 보안 표준을 다른 분야의 표준과 맞추는 것을 목표로 합니다.

이 변화는 보건 및 사회 복지부의 2023-2030 사이버 보안 전략의 일부로, 건강 및 복지 서비스를 다른 분야에서 사용되는 사이버 회복력 표준과 동일선상에 놓으려는 목표를 가지고 있습니다.

2024년 9월 2일부터, NHS 데이터 보안 및 보호 툴킷은 NDG의 10가지 데이터 보안 표준에서 국가 사이버 보안 센터의 사이버 평가 프레임워크(CAF)로 전환을 시작할 예정입니다.

초기 단계에서는 큰 규모의 조직들 몇몇이 이 변화의 영향을 받게 되며, 그 후에는 점진적으로 다른 조직들도 따라갈 것입니다. CAF에 맞춰진 DSPT는 단순히 보안 컨트롤을 통과하는 것이 아니라 결과를 달성하는데 초점을 맞추며, 이를 통해 각 조직이 자신들의 특정 필요에 맞게 접근법을 맞춤화할 수 있게 될 것이라고 원문 성명에서 보도되었습니다.

이러한 변화는 NHS 서비스를 방해한 몇 차례의 눈에 띄는 사이버 공격에 대한 대응으로 이루어졌습니다.

특히 주목할 만한 사건으로는 2024년 6월 병리학 공급업체 Synnovis가 사이버 공격을 받은 경우가 있습니다. 이 공격으로 인해 회사가 IT 시스템을 재구축하는 동안 남동 런던의 수천 건의 환자 예약과 수술이 연기되었습니다.

2024년 3월에, NHS Dumfries and Galloway가 랜섬웨어 공격의 피해를 입었습니다. 공격자들은 환자 데이터 3테라바이트를 훔쳐 다크 웹에 게시했습니다. 이 사건으로 인해 이 보건 위원회는 거의 15만명의 환자들에게 그들의 개인 정보가 침해되었을 수 있다고 경고하게 되었습니다.

2024년 8월에는 또 다른 사이버 사건이 몇몇의 NHS Scotland 보드의 제3자 공급업체의 하청업체를 향했습니다. 이 공격으로 인해 NHS 스태프의 휴대폰 번호가 침해당했습니다.

이러한 공격들은 의료 기관이 사이버 위협에 점점 더 취약해지고 있음을 부각시킵니다. 디지털 시스템에 대한 의존도가 증가함에 따라, 이러한 기관들은 환자 데이터를 보호하고 핵심 서비스의 연속성을 보장하기 위해 강력한 사이버보안 조치에 투자하는 것이 필수적입니다.