모든 화려한 것은 어두운 내면을 가지고 있다:
클라우드 컴퓨팅, 법규 그리고 데이터 보안 위험에 관한 입문

By Carl Cadregari, CISA, and Alfonzo Cutaia, Esq

ISACA Journal Volume 3, 2011

끊임없이 변화하는 경제적 그리고 규범적 분위기 속에서, 비즈니스 욕구도 그러한 분위기만큼이나 빠르게 변할 수 있다. 조직들은 수평선 위의 폭풍우에도 적응할 수 있을 만큼 민첩할 필요가 있다. 예산상 제약과 늘어나는 규제 준수 이니셔티브들은 조직으로 하여금 일상적 요구들에 대한 대안을 찾도록 강요하고 있다.

한가지 대안: 클라우드 컴퓨팅

그러나, 클라우드 컴퓨팅 이용은 비즈니스에 어떻게 영향을 미치는가? 기업은 매우 민감한 비즈니스 및 고객 정보의 손실 그리고 잠재적으로 이어지는 벌금, 제재 그리고 소송을 어떻게 견뎌낼 것인가?

“클라우드 컴퓨팅”은 최근 많이 접하게 되면서 혼란을 초래하는 용어이다. “클라우드 cloud”는 IT 조직들이 1990년대의 통신 업계에서 빌려온 용어이다. 그것은 오히려 정밀 과학(수학 또는 물리학 같은)보다 폭넓은 개념이다. 가장 분명한(광범위한) 의미로 그리고 이론적으로, 클라우드 컴퓨팅은 컴퓨팅 자원의 거대한 집중화이다. 이러한 집중화로, 정보, 프로세싱 그리고 소프트웨어가 일반적으로 멀리 떨어져 있으며 독립적으로 통제되는 클라우드에 접속함으로써 다수의 회사, 사용자 그리고 서비스에 이용될 수 있다. 가상화를 포함한 신기술의 이용으로, 새로운 컴퓨터 자원들은 추가 자원을 필요로 하는 조직들에 의해 빠르게 공급될 수 있다.

아이러니하게도, 중앙집중 컴퓨팅—프로세싱 파워를 제공하는 중앙에 위치한 메인프레임 컴퓨터와 저급의 처리 능력을 지닌 “더미 터미널(dumb terminals)”이 원거리에서 메인프레임에 연결되어 있다—은 최초의 컴퓨팅 모델이었다. 컴퓨팅 모델은 시간이 지나면서 프로세싱 능력이 상대적으로 싸져서, 클라이언트-서버 모델로 바뀌었다—여것은 기본적인 기능(예를 들면, 파일 저장, 프린트 큐 관리)을 수행하는 서로 직접 연결되어 있는 일련의 서버들이 있고, 그리고 대부분의 컴퓨팅 파워는 네트워크의 가장자리에 존재하는 랩톱과 데스크탑 컴퓨터로 이동되었다. 이제 인터넷의 편재성, 그 전에는 도달할 수 없었던 데이터 전송 속도의 이용 그리고 (통신) 대역폭의 여유 등으로 데이터와 프로세싱 이동이 비교적 저렴해졌으며, 그리고 클라우드 제공자의 강력한 컴퓨터들은 보다 중앙집중식 컴퓨팅 모델로의 회귀로 이끈다.

컴퓨팅 모델로써는 클라우드 컴퓨팅은 유아기에 머물러 있으나, 몇몇 클라우드 개념들은 널리 사용되고 있다. 데이터 프로세싱 사업은 서비스로써 소프트웨어(Software as a Service : SaaS)와 애플리케이션 서비스 제공자(application service providers : ASP)를 포함한 애플리케이션 호스팅; 클라우드 스토리지와 온라인 백업을 포함하는 스토리지 가상화; IT 아웃소싱(ITO); 그리고 헬프데스크, 가상 데이터 센터 그리고 호스티드 (플랫폼) 데이터 센터를 포함하는 비즈니스 프로세스 아웃소싱(BPO)와 같은 클라우드 컴퓨팅 용어 및 개념들에 점점 익숙해지고 있다. 그렇지만, 이러한 친근감에도 불구하고, 자원의 집중화와 공유로 인한 폐해의 가능성이 클라우드 컴퓨팅에 대한 비즈니스적 이익을 순식간에 추월할 수 있는 수준까지 커지고 있다. 클라우드 솔루션 활용을 주시하고 있는 모든 조직들이 그러한 노력을 통해 성공하고, 나아가서는 번창하기 위해서는 그러한 위험을 반드시 이해하여야만 한다.

만능의 클라우드—측정할 수 있는 보상

클라우드 컴퓨팅을 이용하는 잇점은 매우 많다. ¹ 클라우드의 공유 성질과 클라우드 제공자의 거대한 규모는 고객들로 하여금 변화하는 수요를 충족시키기 위하여 자기들의 시스템들을 재빨리 그리고 손쉽게 늘이거나 줄일 수 있도록 해준다. 이것은 피크 타임에도 수용가능한 성능을 보장하기 위하여 설계자들이 이따금 과도한 용량을 설계하도록 만드는 전통적인 클라이언트-서버 배치의 비효율성을 줄인다. 또한, 많은 클라우드 기반 시스템들은 사용자들이 웹 브라우저에서, 심지어는 최신 스마트폰이나 태블릿 플랫폼에서 조차 정보에 접근할 수 있도록 하고, 그리고 사용자 각자가 이용하는 자원의 용량이 시스템의 효율성을 극대화하기 위하여 모니터될 수 있다.

클라우드 기반 시스템들을 배치한 기업은 하드웨어와 자산으로 잡히는 소프트웨어(역자 주: 보통 개발비(+alpha) 만큼을 무형자산으로 인식하여, 감가상각 처리함)에 대한 자본 지출을 피할 수 있다. 소규모 기업 고객들도 시스템 관리자, 백업 인프라구조 그리고 네트워크 인프라구조와 같은 값비싼 자원들에 대하여 복수의 고객으로 인해 클라우드 제공자의 규모의 경제로부터 이익을 얻을 수 있다. 모두 인프라구조가 전형적으로 제 3자에 의해 제공되고 또한 일회성 혹은 아주 드물게 발생하는 집약적인 컴퓨팅 업무를 위해서 구매할 필요가 없기 때문에 이러한 분야는 외관상으로 진입장벽이 낮아질 수 있다.

클라우드의 어두운 면

조직의 정보에 대해 통제되지 않거나 미리 내다볼 수 없는 위험 및 위협이 가해질 극단적인 가능성으로 인해 클라우드의 잇점은 상쇄된다. 기업은 데이터를 클라우드로 옮기기 전에 반드시 모든 위험을 철저히 평가하고 이해하고 완화시켜야만 한다.

사업을 영위하는데 필요한 정보는 때로는 유형의, 때로는 무형의 가치가 있는 자산이다. 보유하고 있는 데이터 및 정보가 기업에 무슨 가치가 있는가? 그것은 사이버 범죄자들에게는 얼마 마한 가치가 있는가? 해커는 정보를 가지고 무엇을 하는가? 기업은 다른 회사가 우연히 자신의 데이터에 접근하고 변경한다면 얼마 만한 손해인가? 잃어버리거나 클라우드 제공자가 재해를 당해 기업 자신의 정보에 접근이 불가능하다면 기업은 어떻게 할 것인가? 누군가 자신의 데이터를 변경한다면 그 사실을 어떻게 알 수 있는가? 자기의 데이터가 노출된다면 기업은 무엇을 법으로 처리할 것인가?

보안 취약성과 데이터 손실 사고는 정기적으로 일어난다. 2010년에, 데이터브리치넷, 미연방수사국(FBI), 컴퓨터보안협회(CSI) 그리고 이런 사고들을 추적하는 기타 다른 조직들에 따르면, 수천억 개의 레코드 유출 사고로 신문에 보도된 주요 사고만도 수백 건이나 된다. 이제 사이버 범죄는 (일상적으로 행해지는) 삶 자체라는 사실을 깨닫지 않으면 신문을 펼칠 수도 인터넷 기사를 읽을 수도 없는 것이 현실이다—예를 들면, ALDI, ⁵ T.J.Maxx, ⁶ 하트랜드결제시스템즈, ⁷ 미국 재향군인회, ⁸ Ben & Jerry’s,⁹ and PETCO,¹⁰ 등에 괜찮으니 확인해 보십시오. 결론은 클라우드 제공자를 이용하는 것은 보안 사고의 위험을 상당히 높일 수 있고 데이터 유출에 따르는 모든 비용, 법적 제재 그리고 기타 손해 등이 상당히 증가할 수 있다. 그렇지만, 높아진 사고 발생 위험에 더하여, 사고 발생을 확인하고 사고 수습을 위한 비용은 클라우드 컴퓨팅 자체의 추상적 성질에 의해 늘어날 수 있다.

데이터, 그리고 그에 대한 접근은 기업의 지속적인 오퍼레이션 그리고 특히 서비스를 제공하는 고객에게는 실질적인 가치가 있다. 이따금, 해당 정보를 훔쳐서 조작하거나 신용을 떨어뜨리고 싶어하는 어떠한 사람, 기업, 심지어 국가를 위해서는 그러한 데이터가 충분히 가치가 있다는 점은 분명한 사실이다. 기업에 대한 협박용으로 이용하는 사이버범죄자에게 해당 데이터는 얼마나 많은 가치가 있는가? 공격자들은 자신들의 위험을 그 정보를 얻는 것에 대한 보상으로 간주한다. 클라우드를 이용할 때, 다음의 질문이 가능하다: 수십 혹은 수백 개의 여러 기업들의 중앙집중 데이터가 어느 한 개 기업의 위협 사태가 어떻게 작용하는가? 단순한 사실은 클라우드 속에 데이터를 넣어둔 비즈니스는 그러한 데이터가 실질적으로 보관되어 있는 장소에 대하여 절대적으로 어떠한 직접적인 통제도 갖고 있지 않다는 점이다. 역시, 표준 서비스 수준 협약(standard SLAs)도 크게 도움이 되지 않는다—설령 도움이 될지라도, 클라우드 제공자들은 자기들 고객들을 위한 보안, 가용성 또는 응답시간을 보증하기 위해서 크게 하는 일이 거의 없을 것이다. 대부분의 SLAs는 비즈니스 오너들을 위하여, 특히 법적인 책임에 대하여서는, 확실한 보장을 제공하지 않기 위한 커다란 시간적 여유와 최선의 노력 울타리(역자주: 최선을 다하면 면책을 받을 수 있다는 조항)를 끼워 넣는다. 언제 클라우드 컴퓨팅을 기획하든지, 데이터는 검토될 필요가 있으며, 그리고 클라우드 보안 연합회에서 만든 최소한 다음 6가지 질문에 대하여는 답변이 되고 정의되어야 할 필요가 있다:

1.     자산이 널리 공개되고 널리 배포된다면, 기업은 얼마나 손해를 볼 것인가?

2.     클라우드 제공자의 직원이 자산에 접근한다면, 기업은 얼마나 손해를 볼 것인가?

3.     해당 프로세스 또는 기능이 외부인에 의해 조작된다면, 기업은 얼마나 손해를 볼 것인가?

4.     해당 프로세스 또는 기능이 기대 수준에 미치지 못하면, 기업은 얼마나 손해를 볼 것인가?

5.     정보/데이터가 갑자기 변경된다면, 기업은 얼마나 손해를 볼 것인가?

6.     자산이 일정 시간 동안 이용할 수 없게 되면, 기업은 얼마나 손해를 볼 것인가?

클라우드에서의 법규 준수

미국 연방 정보 보안 관리 법(FISMA Act); 미국 연방 건강 보험 이동 및 총괄책임 법(HIPAA Act); 미국 경제적 및 임상적 건강을 위한 건강 정보기술 법(HITECH Act); 미국 그램 리치 브릴리 법(GLBA; 금융 서비스 현대화를 위한 법률); PCI 데이터 보안 표준(PCI DSS); 미국 가족 교육 권리 및 프라이버시 법(FERPA); 미국 아동 인터넷 보호법(CIPA); 미국 샤베인-옥슬리 법(SOX Act: 신뢰할 수 있는 재무보고를 위한 법, 일명 내부 통제 체계를 구축하도록 규정하고 있음); 미국 메사추세츠 법률 17.00 의 201조례(CMR); 미국 캘리포니아 상원 법률안 1386; 미국 뉴욕 정보보안 유출 통지 법(NYISBNA); 미국 연방 규제 타이틀 21, 파트 11 조례(21CFR11); 기타 데이터 보안 법규를 준수하기 위하여, 기업은 감사 요건과 조치를 갖춰야만 한다. 그래서, 기업은 이용하는 클라우드 컴퓨팅이 자신들의 책임과 준수 활동에 어떻게 영향을 주는지에 대한 철저한 이해를 필요로 한다. 일반적으로, 대부분의 법률과 규제는 기업 자신이 데이터에 영향을 주는 법률과 규범에 따라 데이터를 보호하기 위한 기업 내부의 호스트 시스템에 대해서 갖춰놓은 것과 최소한 동등하거나 비슷한 통제를 자신의 클라우드 제공자 (혹은 ASP, SaaS 제공자 및/또는 아웃소싱 호스트)가 지니고 있음을 증명하도록 요구하고 있다. 그러므로, 어떤 조직이 정보 수집 책임을 갖고서 조직으로부터 개인 신상 정보를 받는 클라우드-기반 제3자 지불 프로세서를 의지하는 공공 회사라면, 클라우드 제공자는 무엇을 해야만 하는가? 기업은 무엇을 해야만 하는가? 그리고 데이터가 분실, 부적절한 접근 혹은 다른 위태로운 일을 당했을 때 어떻게 되는가?

데이터 유출이 초래하는 비용

요즈음 전세계적으로, 악용 데이터, 도둑맞거나 분실된 자산, 그리고 고의적/비고의적 유출이 규모 및 형태에 상관없이 모든 회사에서 놀랄 만큼 어김없이 발생한다. 폰몬 협회(Ponemon Institute )에 의해 이루어진 사이버 범죄의 비용 및 빈도에 관한 최근의 조사에서는 조사 대상 회사마다 매주 한번의 사이버범죄를 경험했으며, 이러한 공격을 관리하는데 드는 비용이 미화 3백8십만 달러를 넘었다고 밝혀졌다. ¹² 그 조사는 실질 비용들을 쉽게 배가시킬 수 있는 법규 미준수 벌금, 제재 그리고 변호사비 등을 제외하고 사이버 범죄의 적발, 회피, 사고 관리 및 자산 손실 만을 포함시켜 영향을 받은 대부분의 비즈니스 분야에서의 비용을 상술했다. 최근에 부과된 벌금의 일부 사례는 다음을 포함한다:

• Rite Aid^®—HIPAA 위반으로 미화 백만불¹³
• The TJX Companies Inc. (T.J.Maxx가 일부 조직임)— 분실된 신용 카드 데이터에 대해서 미화 4천9십만 달러¹⁴
• Health Net of NE—분실된 하드 드라이브에 대해서 미화 25만 달러 ¹⁵
• Six California (USA) hospitals—개인정보 유출에 대해서 미국 캘리포니아 공중위생국에 의해 미화 7십9만 달러 이상 ¹⁶

클라우드 컴퓨팅이 늘어가면서, 그것의 (위협) 노출과 범죄 활동에서의 이용도 늘어날 것이므로, 클라우드 법의학에 대한 욕구가 생겨날 것이다. 이것은 최근의 데이터 유출 기사 혹은 데이터 유출 웹사이트 상에서 명백하다. 예를 들면, 개발 표준 재단에 의해 설립된 Cloutage.org는 2010년 보도된 322개의 사고 중에서, 54개의 확인된 데이터 손실 사고는 클라우드 제공자가 해킹당했거나 클라우드 취약점이 발견되었기 때문이라고 주장했다. ¹⁷

클라우드를 보증하기

클라우드 자원의 이용은 많은 기업에 매우 유익할 수 있다—그러나 기업은 항상 그에 따른 위험도 알아야 하고, 적당한 자원과 감사 및 법률적 커뮤니티 출신의 전문가를 활용하여야 하고, 그리고 다음의 질문에 답할 준비를 하여야 한다:

• 보안
• 보관 및 이동 중인 데이터를 어떻게 암호화하는가?
• 데이터에 대한 비승인 접근을 어떻게 막을 것인가?
• 데이터를 어떻게 배치하는가?
• 클라우드 제공자 내부 보안이 어떻게 사용되고 있는지
    – 행정관리 통제
    – 물리적 통제
    – 논리적 통제
• 침입 당했을 경우, 기업은 무슨 권리와 능력을 가져야 하는 것인가? (예를 들면, 감사권, 법의학 조사를 실시할 권리)
• 사용자에게 보안 침투 사실을 통지하기 위해서, 클라우드 제공자는 무슨 보고 의무를 가져야 하는가?
• 공격을 예방하기 위해서 클라우드 제공자는 어떤 조치를 취해야 하는가?
• 기업이 (클라우드 자원을) 존재하기 위해서, 클라우드 제공자는 무슨 방어를 필요로 하는가?
• 클라우드 제공자는 자신의 보안 절차를 믿을 수 있도록 어떻게 고객에게 보여주고 소통하는가?
• 클라우드 제공자는 (고객으로 하여금) 고객 자신의 보증 절차를, 가령 보안 스캐닝 혹은 감사, 이행하기 위해 고객에게 얼마나 많은 능력을 부여하는가?
• 클라우드 제공자는 데이터 프라이버시에 관한 중첩되거나 모순된 (미국) 주들의 법규들을 어떻게 조정하는가
• 준수
• 클라우드 제공자는 무슨 컴플라이언스 표준을 따라야 하는가?
• 클라우드로 이동하기 이전, 이전하는 동안 그리고 이전 이후에 준수가 어떻게 유지되는가?
• 컴플라이언스를 보증하는데 어떠한 3자 보증(예를 들면, SAS 70, WebTrust, SysTrust, 기타.) 문서가 적절한가?
• 컴플라이언스를 위해서 기업은 자신 데이터의 물리적 위치를 어떻게 추적할 수 있는가? (예를 들면, 어떤 법률은 데이터를 특정 국가들에 저장하는 것을 금지한다.)
• 데이터 보안 이외에, 미국 샤베인-옥슬리 법과 같은 법률이 지정하는 컴플라이언스 요건을 유지하도록 하기 위해서 고객 기업에게 어떤 문서가 제공될 것인가?
• 기업은 자신의 모든 데이터들에 의해 요구되는 수준에 필요한 내부 통제 및 컴플라이언스를 유지하기 위하여 준비하였는가?
• 기업에 의해 제공되는 내부 통제 및 절차에 대한 정보가 어느 시점에 비즈니스를 위태롭게 할만큼 많아지는가?
• 가용성
• 얼마의 가동시간을 보장하는가?
• 보장된 서비스 수준이 있는가? 누가 그것을 모니터하는가? 보장 수준이 지켜지지 않으면, 어떠한 배상이 이루어지는가?
• 지금은 모든 서비스가 인터넷 상에서 접근되는데, 기업은 전체 직원들을 위한 네트워크 대역폭을 보유하고 있는가, 그리고 클라우드 제공자는 기업의 욕구를 들어줄 수 있는 충분한 전력과 대역폭을 가지고 있는가?
• 관련없는 클라우드 소비자(예를 들면, 하드 드라이브 subpoena(?))의 활동에 기초해 서비스가 중단될 수 있는가?
• 정보가 고객들간에 어떻게 분리되는가?
• 어떻게 가용성과 관련한 보증이 클라우드 제공자에 의해 제공되는가?
• 클라우드 제공자는 서비스 중단 혹은 이슈로 인한 비즈니스 손실에 대해서, 재정적으로, 법적으로 아니면 그 밖의 다른 차원에서 어느 수준까지 책임이 있는가?
• 기업이 일단 클라우드 인프라를 갖게 되면, 재해 복구 및 사업 연속성 계획은 무엇인가?
• 오퍼레이션
• 기업은 이용중인 클라우드의 부하와 성능을 어떻게 모니터하는가?
• 클라우드 제공자는 사용량에 대한 과금이 적정하다는 것을 기업에게 어떻게 보증할 수 있는가?
• 클라우드에서 보안을 모니터하기 위하여 어떠한 도구들이 이용가능하고 허용되는가?
• 전체 프로젝트
• 앞에서 언급한 모든 분야에 대하여 독립적인 감사는 누가 하는가?
• 감사를 얼마나 자주 실시하는가?

이러한 질문들이 클라우드 제공자를 이용하려고 마음먹었을 때, 답변이 되어야 하는 가장 기본적인 것이다; 기업은 각 질문들에 관한 깊이 있는 기술적, 법적 그리고 사업적 대화를 하기 위해서 준비하여야 한다. 모든 경우에 있어서, 한가지 빈약한 통제만으로도 기업의 모든 데이터를 뽑아내서 이용하는데 사용될 수 있기 때문에 클라우드 컴퓨팅 제조업체로부터의 불확실하거나 부정적인 답변을 듣는다면 이용 중단을 고려하여야 한다.

결론

클라우드 컴퓨팅을 계속해서 정보 처리, 데이터 저장 그리고 국가간 커뮤니케이션의 주류로 몰아가고 있기 때문에, 데이터에 대한 위험이 꾸준히 검토되고, 파악된 위협이 데이터의 가치에 상응하는 수준으로 완화시키는 것이 중요하다. 클라우드 컴퓨팅 인프라의 가치는 측정이 가능하다:  보상은 데이터 접근성, 고객 관계 관리(CRM), 그리고 하드웨어 비용의 감소와 인프라 지원에서 찾을 수 있지만, 잠정적으로 데이터 유출 혹은 손실에 따른 규제 기관의 벌금, 민사 소송 혹은 평판 훼손에 대한 비용은 그 어떤 보상도 쉽게 초과할 수 있다. 데이터 기밀을 지키고, 데이터 무결성을 유지하고, 데이터 가용성을 보증하고, 규제 혹은 법률적 의무를 다하고, 그리고 클라우드 내에서 유실되지 않도록 하는 것은 항상 해당 기업의 책임이라는 것을 명심하십시오.

Endnotes

¹ See the case studies published by Microsoft (www.microsoft.com/en-us/cloud/tools-resources.aspx?CR_CC=200010704&WT.srch=1&WT.mc_id=A8A7CD18-DA39-4EEE-81FC-BA7440F28341&CR_SCC=200010704#casestudy) and the information provided from VMware (www.vmware.com/solutions/cloud-computing).
² The Federal Bureau of Investigation, “Internet Crime Trends—The Latest Report,” USA, www.fbi.gov/news/stories/2011/february/internet_022411/internet_022411.
³ Computer Security Institute, http://gocsi.com/sites/default/files/uploads/Surveyand%20webinar%20PR%202010.pdf
⁴ See www.bankinfosecurity.com, www.ftc.gov, www.first.org, www.cloudsecurityalliance.org and www.cloutage.org.
⁵ Aldi, “ALDI Notifies Customers of Tampered Payment Card Terminals,” press release, 1 October 2010, www.aldifoods.com/us/media/company/company/Press_Release.pdf
⁶ Jewell, Mark; “TJX, Visa Reach $40.9M Settlement for Data Breach,” USA Today, 30 November 2007, www.usatoday.com/money/industries/retail/2007-11-30-tjx-visa-breach-settlement_N.htm
⁷ McGlasson, Linda; “Heartland Payment Systems, Forcht Bank Discover Data Breaches,” BankInfoSecurity.com, 21 January 2009, www.bankinfosecurity.com/articles.php?art_id=1168
⁸ Yen, Hope; “VA Agrees to Pay $20 Million to Veterans in 2006 Data Breach,” Boston.com, 28 January 2009, www.boston.com/news/nation/washington/articles/2009/01/28/va_agrees_to_pay_20_million_to_veterans_in_2006_data_breach
⁹ See Open Security Foundation, http://datalossdb.org/incidents/3062-2-500-customers-names-and-addressesexposed-on-the-web.
¹⁰ See Open Security Foundation, http://datalossdb.org/incidents/30-up-to-500-000-credit-card-numbers-exposed.
¹¹ Cloud Security Alliance, “Security Guidance for Critical Areas of Focus in Cloud Computing V2.1,” USA, 2009, www.cloudsecurityalliance.org/guidance/csaguide.v2.1.pdf
¹² Ponemon, Dr. Larry; “Five Countries: Cost of Data Breach,” Ponemon Institute LLC, revised 19 April 2010, www.ponemon.org/local/upload/fckjail/generalcontent/18/file/2010%20Global%20CODB.pdf
¹³ Masters, Greg; “Rite Aid to Pay $1 Million Fine for HIPAA Violation,” SC Magazine, 28 July 2010, www.scmagazineus.com/rite-aid-to-pay-1-million-fine-forhipaa-violation/article/175729
¹⁴ Op cit, Jewell, Mark
¹⁵ Santalesa, Richard L.; “Health Net Agrees to $250,000 Fine and ‘Corrective Action Plan’ to Settle Loss of PHI,” Information Law Group, 21 July 2010, www.infolawgroup.com/2010/07/articles/hitech-1/health-net-agrees-to-250000-fine-and-corrective-actionplan-to-settle-loss-of-phi
¹⁶ Hennessy-Fiske, Molly; “Six California Hospitals Fined for Medical Record Security Breaches,” Los Angeles Times, 19 November 2010, http://latimesblogs.latimes.com/lanow/2010/11/hospital-fines.html
¹⁷ See Open Security Foundation, http://cloutage.org/incidents?reported_year=2010.

Carl Cadregari, CISA
is principal and practice lead in the Enterprise Risk Management Division of the Bonadio Group and also serves as chief information security director at one of the largest insurance companies in upstate New York (USA). Cadregari has more than 28 years of experience in IT and IS security architecture, deployment, project management, security by design and governance.

Alfonzo Cutaia, Esq.
is an associate in the Information Technology & Internet Law Practice Group of Hodgson Russ LLP and focuses on patent practice. Before joining Hodgson Russ, Cutaia served as an intellectual property assistant for the Office of Science, Technology Transfer and Economic Outreach at the University at Buffalo (USA).