にほんブログ村 ニュースブログ 海外ニュースへまとめ
このエントリーをはてなブックマークに追加

【ネット】医療機関がランサムウェアの主要な標的となっていることを患者達は知らない

インターネット

 ランサムウェアの”ransom”は身代金を意味し、この場合の”身”はコンピューターやネットワーク内のデータであることが通常だが、ときには本当に身が”人間の命”の場合もあるようだ。

 現在、医療機関は、ランサムウェアを用いたサイバー攻撃に対する格好の標的になっているという。

それはもう殺人でしょう

「2020年、コロナパンデミックの中で医療機関へのサイバー攻撃が倍増、医療サービスグループ“ユニバーサル・ヘルス・サービス”への攻撃も注目を集めたように、今やランサムウェア犯罪グループは積極的に医療機関を標的にしている。

 医療機関へのサイバー攻撃が増加は、患者の治療に対して深刻な影響を与える可能性がある。このような状況は、サイバーセキュリティの専門家にとってはよく知ったことである一方で、患者たちはそのことをほとんど知らないようだ。

 サイバーセキュリティ企業Armis社による潜在的に医療機関の患者となりうる2,400人を対象とした調査によると、その内61%が近年の医療機関に対するサイバー攻撃についての認識がないという一方で、約50%の人がもしサイバー攻撃が病院に対して行われた場合には病院を変えるとし、また、70%以上の人が、病院へのサイバー攻撃が自らへの治療に対して影響を与える可能性があるだろうと答えた。

 このような患者側の懸念は当然ではあるが、そのことはサイバー攻撃によって治療の遅れ、入院期間の長期化などが生じる可能性を示唆している。
 これまで医療機関にとってサイバーセキュリティは必ずしも優先課題ではなく、そのためそこに投資するだけのリソースを持っていない機関も多い。だが、過去2年の状況やそこから生じる問題への懸念がサイバーセキュリティへの投資を増やすきっかけとなり、ようやく対策が講じられるようになってきたようだ。」

著者抜粋翻訳・引用元:こちら

以下、この記事についてのレディターの反応

名前: gjallerhorn
患者が対処しなければいけないことではないだろう。


名前: hublaka
>>gjallerhorn
うん、対処しなければならないのは患者ではなく個人情報を管理している病院側だ。


名前: Darklighter10
>>hublaka
実際のところ医療機関への攻撃は、通常患者の個人情報を危険に晒すことを意味しない。
患者情報は高度に暗号化されていて、それ自体を狙うのは困難だから。
だから医療機関へのサイバー攻撃という場合には、医療機関側による患者情報へのアクセスを遮断する方法がとられる。
身代金が支払われるまで医療機関のシステムを乗っ取るが、患者情報それ自体への侵入とは異なる。


名前: Small_State4153
>>Darklighter10
まさにそれ。看護師として働いている中で病院がランサムウェア攻撃を受けたことがある。
およそ1ヶ月の間患者情報へのアクセスできなくなった結果、重篤な患者がどんな薬を飲んだか、どんな検査結果がでたとか何もわからない状態
のみならず、検査や観察機器も動かないような状態で完全に機能不全に陥った。
外部機関に検査とかを依頼したり、情報をすべて紙で伝えあったり大変だった。


名前: xenontechs
患者はなにをすればいいんだ?医療機器のバックアップを持参する?犯罪者に身代金を払う?病院に行くのをやめる?
病院側にしても、医療システム業界という小さな市場では本当にすべてが高額(winXPで動くような古い機器でさえ)だし。
必要なのは、政府が基準を設定することと医療機関に基準に従うようにインセンティブを与えることだ。


名前: superfudging
>>xenontechs
まぁでも古いシステムだと、逆にネットを介さずCDとかでデータやりとりである意味安全だけどね。


名前: xenontechs
>>superfudging
たしかにそうだけど、誰か管理する人間は必要で、その人間が悪いことを考えないためにも相応の報酬が必要なのには変わりない。
オフラインだから安全とはならない。


名前: kag0
>>xenontechs
国としてはHIPAA(米国の医療関係個人情報保護法)を持っているし、違反には罰則も設定されている。


名前: xenontechs
>>kag0
HIPAAに具体的なサイバーセキュリティ措置の基準が設定されているの?それはちゃんと最新の状態に更新されているの?


名前: TheIronMark
>>xenontechs
HIPAA自体はそういうものに具体的な基準を設定しているわけではないが、HIPAAの個人情報保護基準に準拠するためには必然的な十分なサイバー対策を講じる必要が出てくる。
ただ、HIPAAに準拠できているかどうかとかチェックがないから、問題が起きて始めて準拠できていなかったことに気づくという場合もある。


名前: nDQ9UeOr
現在医療機関はサイバーセキュリティ強化のためにゼロトラストモデルへの移行を進めているが
たくさんのそして複雑なエンドポイントの存在が厄介で、そのどれかを少しいじっただけで、患者の治療に悪影響を及ぼしかねないから
とにかくしっかりと計画性をもってゆっくりゆっくり変更していくしかない。


名前: Darklighter10
>>nDQ9UeOr
そうだね。一方では内外の患者情報の行き来を容易にして情報を共有したいという要請と
一方ではセキュリティの向上の要請と、これは中々両立が厄介な問題だ。


名前: chingu_not_gogi
2010年頃に病院で働いてたんだけど、まだDOSで動いてる機器を見てショックを受けたなぁ。
その後病院はシステムをアップグレードしたけど、それでもそのシステム自体が既に5年ぐらい前のもの。
彼らはシステムの更新よりも、古いシステムを動かし続けることを技術者に求めることのほうが好きなようだ。


名前: Darklighter10
>>chingu_not_gogi
面白いことに、古いゆえにかえって新しいOSにおいて生じる脆弱性から守られてはるかに安全になっているという側面もある。


著者抜粋翻訳・引用元:Reddit

サイト内関連記事