Secure Your Care

디지털 엑스레이 장비 사이버 보안 및 개인 정보 보호

Designed holistic protection
for your critical assets

: Defense-in-Depth of Samsung DR system

의료 기관은 환자들의 민감 정보를 위협하는 사이버 공격에 점점 더 취약해지고 있습니다.
의료기기는 외부 공격의 진입 대상이 될 수 있으므로 제품 설계 및 유지 관리 시, 사이버 보안을 최우선으로 해야합니다.
삼성헬스케어는 장비와 데이터를 현재와 미래의 사이버 공격 위협으로부터 안전하게 보호하기위해
다층 보안 체계로 업계 최고의 기술적 조치를 취하고 있습니다.

Physical Layer

  • Protection case* 허가되지 않은 액세스로부터 시스템의 중요 하드웨어 모듈 보호
  • Limited external port 악의적인 해킹에 대비하여 파일 입출력에만 사용되도록 외부 포트 제한

* GM85 전용 기능입니다.

OS hardening Layer

  • Operating system hardening STIGs*에 의거한 운영체제 강화
  • Secure Boot 악성 코드 로딩을 방지하기 위한 부팅 S/W의 무결성 검사

* STIGs(Security Technical Implementation Guides)는 미국 국방부 산하 DISA(Defense Information Systems Agency)의 포괄적인 강화 가이드입니다.

Network Layer

  • Firewall 네트워크를 통한 의도하지 않은 침입 방지
  • WPA2 시스템 구성 요소 간 무선 통신 액세스 보호
  • VPN* 외부 침해로부터 보호된 네트워크 통신 지원
  • DICOM TLS** 데이터 전송 암호화

* VPN: Virtual Private Network
** TLS: Transport Layer Security

Access control Layer

  • Strengthened user account management 다양한 비밀번호 정책 및 계정별 환자 데이터 접근 통제
  • Audit trail 환자 데이터 관련 주요 이벤트 로그 기록
  • Service engineer access control OTP를 활용한 서비스 엔지니어 접근 통제 및 모든 환자 데이터의 익명화

Application Layer

  • Anti-malware 바이러스나 랜섬웨어로부터 DR 시스템을 보호
  • Whitelisting* 검증된 S/W 설치 및 실행만을 허용하여 악성코드 차단
  • Remote software update 원격 소프트웨어 업데이트
  • SDLC** 프로그램 코드부터 최종 배포까지 전 보안단계 관리
  • Digital Signature 시스템 내 S/W 구성 요소의 무결성 보장

* 이 기능은 고객의 요청에 따라 적용됩니다.
** SLDC(Secure-Software Development Life Cycle)는 고품질 소프트웨어 제작을 위한 정보시스템을 계획, 생성, 테스트, 배포하는 프로세스입니다.

Data Layer

  • Storage Encryption 물리적인 스토리지 분리에도 시스템 드라이브의 데이터 유출 방지
  • DICOM Tag Encryption 파일 도난 발생을 대비하여 민감한 환자정보 보호

디지털 시대의 든든한 파트너

  • 세계적인 수준의 관리 시스템
    • · ISO/IEC27001 등 인증 획득
    • · NIST SP 800-53에 따른 위험 관리 프레임워크(RMF) 준수
  • 국가기관 수준의 보안
    미 국방부 ATO(Authority to Operate) 등 정부 기관 수주
  • 믿을 수 있는 보안 전문가
    삼성 보안 전문가의 통합 정기점검을 통한 취약점 모니터링

전세계 표준 준수

  • GDPR
    GDPR(General Data Protection Regulation)에는 EU 전역의 개인 정보 보호와 보안 법률을 조화시키는 엄격한 요구 사항이 포함되어 있습니다. 당사는 사용자가 GDPR을 준수할 수 있도록 다음과 같은 기능적 지원을 제공하기 위해 최선을 다하고 있습니다.
    • 정보주체 권리를 보장하는 프로세스 및 시스템
    • 개인 데이터 처리에 대한 유효성 동의
    • 데이터 보호 책임자 및 개인정보 보호 부서 배치
    • 개인정보의 엄격한 보호
  • HIPAA
    HIPAA(Health Insurance Portability and Accountability Act)은 건강 계획, 의료 또는 건강 서비스 제공자, 건강 관리 정보 센터에 적용됩니다. HIPAA는 PHI(Protected Health Information)가 어떻게 사용되고 노출되는지에 대한 자세한 개인 정보 보호 규칙을 요구하므로 당사는 제품 기능을 구현할 때 이를 고려합니다.
    당사는 장치를 사용하는 최종 사용자가 HIPAA 법을 준수하도록 지속적으로 돕는 것을 목표로 합니다.
  • MDS²
    MDS² (Manufacturers Disclosure Statement for Medical Device Security)는 23개 보안 기능을 다루는 216개 질문을 통해 의료기기에 구현된 보안에 대한 정보를 제공합니다. MDS²는 ACCE(American College of Clinical Engineering), ECRI(formerly the Emergency Care Research Institute), NEMA(National Electrical Manufacturer Association) 및 HIMSS(Healthcare Information & Management Systems Society)의 승인을 받았습니다. 우리는 표준 템플릿에 따라 각 모델에 대한 공개 성명을 제공하며 기술 및 지원 정보를 투명하게 계속 제공할 것입니다.