医療業界でインターネットに接続するデバイスを保護する
トピック: 医療、NCSAM(National CyberSecurity Awareness Month)とECSM(European CyberSecurity Month)
2020年10月20日、Christine Barry
10月はオンラインセキュリティに関する意識を向上するための世界的な取り組みであるNCSAM(米国National CyberSecurity Awareness Month)です。最初の2つのNCSAMブログは下記のとおりです。
- 第1週: インターネットに接続するデバイスを保護する
- 第2週: 自宅とオフィスのデバイスを保護する
今週のNCSAMの重点分野は「医療業界でインターネットに接続するデバイスを保護する」です。セキュアではないシステムは、保険会社から診断システムと患者の記録まで、医療業界のすべての側面で問題になっています。一般的な例は下記のとおりです。
業務の中断: WannaCryが大規模な攻撃で世界中に拡散してから3年が経過し、数日間で約20万台のデバイスがダウンしました。英国のNHS trustの約3分の1が影響を受け、19,000人の患者の医療が遅延しました。マイクロソフトはこのランサムウェアを軽減するためにMS17-010パッチをリリースしましたが、2019年の時点でもWannaCryは1時間あたり約3,500のシステムを攻撃していました。
ドイツのデュッセルドルフ大学病院に対する攻撃で治療の遅延が発生し、患者が死亡した今年、ランサムウェアは新しい領域に入りました。この事件は現在も調査中です。他の最近の攻撃はコロナウィルス(COVID-19)の検査と治療に関する臨床試験の中断、大手病院チェーンの複数のシステムのロックダウンなどです。
データの盗み出し: 多くの政府は患者のプライバシーとデータを保護するための高い基準を設定していますが、それは当然のことです。医療記録は、なりすましなどの詐欺に悪用される可能性があります。完全なカルテの売却価格は、さまざまな報告がありますが、完全なカルテ1枚あたり100ドル前後、データベースの場合は数万ドルに上っていました。HIPAA Journalによると、2019年の時点で2億3100万件近くの医療記録が侵害されていました。この盗み出されたデータがすべてダークWebに流出した結果、個人の医療記録は1件あたり約1ドルにまで下がっています。
医師の個人情報は、患者の個人情報よりはるかに価値があります。犯罪者は、医師免許証、DEA(米国麻薬取締局)の免許証などの文書によって、処方箋を偽造し、保険金を詐取できます。このようなデータはダークWebで約500ドルで売却されていますが、このような価格は常に変動しています。
記録の改ざん: イスラエルの調査担当者が、診断検査の結果を改ざんするマルウェアを開発しました。マルウェアで偽造された癌性結節が画像に追加された実際の肺のCTスキャン(コンピュータ断層撮影)によるブラインドテストでは、放射線技師は99%の確率で癌と診断しました。また、同じテストでは、実際のスキャンから実際の癌性結節を除去するためにマルウェアを使用したところ、放射線技師は94%の確率で患者を健康と診断しました。このテストの目的は、世界の指導者が誤診された場合、セキュアではない病院システムが世界的な影響を及ぼす可能性があると示すことです。
医療業界が攻撃を受ける理由
医療業界は、利害関係者にとってデータが非常に重要なため、価値の高い標的です。Hancock Healthは、8月に攻撃を受けた後、システムのロックを解除するために、55,000ドルを支払いました。Hackensack Meridian Healthは、100件以上の手術が再スケジュールされることになった5日間のシャットダウンの後、システムのロックを解除するために、ランサム(身代金)を支払いました。一部の医療システムは、ランサムの支払いを拒否し、自力で復旧することを選択しています。
医療システムには、データの価値に加えて、魅力的な標的となる基本的な問題があります。
レガシー機器とカスタム機器: 医療業界では、OS(オペレーティングシステム)が組み込まれた珍しい機器が使用されています。MRI(核磁気共鳴画像法)スキャナ、ロボットアームなどの高価な機器は、レガシー状態に老朽化した後も、動作している可能性があります。このようなシステムは、動作している場合、交換が一部の医療機関にとってあまりにも高額であるだけでなく、最新のデバイスと異なり、パッチの適用も簡単ではありません。もう1つの問題は、継続的なサポートが提供されている最新のデバイスでも、デバイスは、デバイス向けに「カスタムメイド」されたソフトウェアを実行しているため、ソフトウェアのセキュリティ更新を待つ必要がある可能性があることです。このコードの更新は、すぐには提供されません。
管理されていないIT: 病院とその周辺にあるすべてのものが潜在的な侵入ポイントになります。適切に管理されていないシステムは、放置され、危険にさらされる可能性があります。ワークステーションと医療機器だけでなく、HVAC(空気調和工学)システムとセキュリティ機器も潜在的な侵入ポイントになります。IT部門は、どのようなデバイスが接続されているか、ワークフローに必要なデジタル通信は何か、および防止する必要があるものは何かを把握する必要があります。このような把握は従来の紙のシステムから現代の医療の標準である新しいデジタルシステムへの移行が進行している環境では困難です。
コンプライアンスによる見落とし: 医療業界には、患者のプライバシー規制があり、違反した場合は、厳しい罰則が科せられるため、ITセキュリティ部門は、このような規制の対象外のシステムのセキュリティを常に優先しているわけではありません。包括的なIT管理が行われていないと、医療機器のワークステーションは不必要にインターネットに接続し、Amazon Alexaデバイスは機密性の高い環境に置かれる可能性があります。コンプライアンスだけを重視していると、このような問題を見落としがちです。
医療業界は、急速に成長しており、DX(デジタルトランスフォーメーション)とセキュリティへの移行には時期尚早です。セキュリティ意識は医療業界が前進するための重要な要因です。
医療業界向けのバラクーダソリューションの詳細については、こちらのWebサイトをご参照ください。
原文はこちら:
Securing internet-connected devices in healthcare
October 20, 2020 Christine Barry
https://blog.barracuda.com/2020/10/20/securing-internet-connected-devices-in-healthcare/