.png)
PII向けCCPAとゼロトラストセキュリティ:医療と教育
ザの カリフォルニア州消費者プライバシー法 2020年7月1日に施行され、企業の取り扱いに関する新しい規制基準が適用されました 個人を特定できる情報 (PII) 国内で最も人口の多い州の住民の割合。
GDPRと同様に、期限までに多くの期待が寄せられてきました。組織は 2018 年よりも GDPR に対する準備が整っているかもしれませんが、いくつかの重要な点が変わりました。
なぜプライバシーが依然として大きな懸念事項なのか?隔離という新しい時代にあって、私たちは今、次のような問題に直面しています。
- リモート すべてのもの: クラウドコラボレーション(PIIの処理を含む)は新しい常識であり、適切なクラウドセキュリティとエンドポイントセキュリティが必要
- データ流出を伴う二重身代金: 企業から顧客データを盗み出し、(身代金要求が差し控えられた場合)ビットコインを通じて消費者を直接脅迫する攻撃者が増えています。これはしばしばヘッドラインで取り上げられます。
これは企業にとって何を意味するのでしょうか?プライバシー法の罰則や集団訴訟を回避するために、さらにより多くのリスクにさらされ、さらに高額な身代金を支払うインセンティブが高まります。
個人情報がもたらす価値
多くの攻撃者と ランサムウェア エクスプロイトは早い段階で何を狙っているのかわからず、ただ一口食べたかっただけで、それを悪用しようとしていました。現在、悪者は銀行、法律事務所、または医療提供者向けの特定のサイトを積極的に調べており、その情報がなぜ価値があるのか、そしてその多くはプライバシー法に関係しているのかを理解しています。
個人データの価値はどのくらいですか?
- CCPAを求めて民事集団訴訟でデータ漏えいが発生した企業が支払う損害賠償には、カリフォルニア州居住者1人あたり100~750ドル(合計で約4,000万ドル)、事件または実際の損害(どちらか大きい方)、および裁判所が適切と判断したその他の救済が含まれるように設定されています。
- この脅威は、英国のICOが設定したGDPRの罰金による年間売上高の4%未満のように思えるかもしれませんが、和解に至るまでの何年にもわたる費用のかかる訴訟を考えてみてください。
想像してみてください。ビジネスが侵害された場合、攻撃者は身代金に罰金を加える可能性があり、あなたは身代金を支払うよう促されます。少なくとも、防御に何年も何百万もの費用がかかる規制当局や集団訴訟にさらされることによる評判の低下を回避できるからです。
法律は善意によるものですが、攻撃者がカリフォルニア州の医療機関や学校、またはどこかの銀行を引っ掛けることができれば、攻撃者が企業に足を踏み入れる大きな動機となります。プライバシーと消費者データは非常に価値の高い通貨であるため、攻撃者が自分の持っているものを知っていれば、その価値をいくらでも悪用してしまいます。
脆弱なターゲット:医療と教育
医療や教育など、多数の顧客と従業員、および大量のPIIを抱える企業は、重大なリスクにさらされています。
脅威とは何か?
- どちらも、ヘルスケアにおけるHIPAAや教育におけるFERPA(現在はCCPA)などの規制を通じて、PIIに関するプライバシーの懸念についてすでに何年にもわたって精査されてきました。
- 現在、遠隔教育が当たり前になり、医療記録は主に電子化され、システムを接続して エピック、システムがなければ、攻撃者は簡単にシステム間を移動できます ネットワークセグメンテーション それを防ぐためのアクセスポリシーがあります。
- 世界的なパンデミックとワクチンの研究が進む中、事業を継続するための研究と医療の必要性はさらに戦略的になっており、ランサムウェアの攻撃者に対する被害に見られるように、ランサムウェア攻撃者にとってはより収益性の高いものとなる可能性があります 世界保健機関 (WHO)、および 新型コロナウイルスワクチン検査センター。
その結果、医療機関や教育機関がこれほど頻繁にセキュリティ侵害に見舞われるのは当然のことです。
イルミオによるゼロトラストセキュリティ
遠隔教育を提供する大手医学部に所属するイルミオの最近の顧客は、個人情報への侵害の拡大を防ぐことで、潜在的な攻撃からデータをより安全に保護したいと考えていました。 ネットワークセグメンテーション。
ネットワークセグメンテーションはセキュリティを確保するための重要なコントロールです PII、患者またはクライアントのデータをアプリケーションにリングフェンシングすることで、実装 ゼロトラスト セキュリティポリシーは、正当なビジネス目的で許可された当事者へのアクセスを制限し、攻撃者がネットワーク上で最も貴重なデータに自由に移動しようとする権限昇格の経路を阻止します。お客様は最初にファイアウォールの使用を考えていましたが、内部ファイアウォールによるネットワーク上のセキュリティでは、クラウドベースの需要に追いつけませんでした。
「私たちには非常に多くの人々とシステムがあるため、ポリシールールを効率的かつ安全に実施できることが最も重要でした。学校の IT 責任者は、ファイアウォールの導入には数か月かかる可能性があると説明しました。「変更管理を使用する必要があります。ハードウェアがダウンすると、データセンター全体が危険にさらされます。障害が発生して複雑になり、ネットワークスタッフに負担がかかります。新しいデータベースはどれも調整が必要です。」
チームはIllumioを使ったソフトウェアベースのアプローチを選択しました。
「マイクロセグメンテーションには興味がありましたが、テスト環境と停止時間枠を必要とするネットワークインフラストラクチャでACLを使用したくありませんでした。同時に、当社のセキュリティチームは、当社のネイティブなセキュリティ機能を使い始めたいと考えていました。 ウィンドウズサーバー。Illumio ASPは両方の実装についてすべての項目をチェックしました。これが私たちの最初で最後の選択でした。これにより、本番環境の通信フローをすべて確認し、システム停止に直面することなくファイアウォールのルールをテストできます。」
Illumioは、ゼロトラストのセキュリティをネットワークの制約から切り離すより良いマイクロセグメンテーションを通じて、ヘルスケア、学術、その他の重要な産業がPIIを安全に保つのを支援します。ある医療機関の遠隔教育におけるクラウド・セキュリティの強化に向けた取り組みについて、ケーススタディで詳しく学んでください。 ここに。
