今日、病院をはじめとする医療機関は、患者の安全と業務の両方を危険にさらすサイバーセキュリティの脅威に直面しています。本ガイドは、セキュリティ専門家、施設管理者、医療従事者が、サイバーセキュリティの課題とその克服方法について理解を深めることを目的としています。
目次
- 医療サイバーセキュリティとは何か?
- なぜ医療施設と病院の安全確保が重要なのか?
- 注目される病院のサイバー攻撃
- 医療機関のサイバーセキュリティチームが直面する課題
- 推薦の言葉
- ヘルスケア・サイバーセキュリティ・リソース
医療サイバーセキュリティとは何か?
医療サイバーセキュリティとは、病院やその他の医療施設をサイバー攻撃から保護し、患者の安全、事業の継続性、機密データの保護、業界規制の遵守を確保するために、さまざまな予防、検出、対応戦略を適用するプロセスである。
なぜ医療施設の安全確保が重要なのか?
医療施設や病院は重要なインフラに分類されるため、悪意のある者にとって魅力的な標的である。サイバー攻撃は、多くの医療システムが毎年行うハザード脆弱性分析(HVA)において、最大の脅威とされている。
患者や地域住民の健康と安全に直接影響を与える可能性のあるサイバー攻撃から身を守るため、病院や医療施設は、接続されたサイバーフィジカルシステムに予防的な保護対策を導入すべきである。
注目される病院のサイバー攻撃
これらは、2020年以降に病院を狙ったサイバー攻撃のうち、注目すべきものの一部である:
- 2020年3月、ペンシルベニア州に本社を置くフォーチュン500社の医療プロバイダーがマルウェア攻撃を受け、250の病院が3週間にわたりシステムを利用できなくなった。
- 2020年11月、バーモント州にある大学ベースの医療ネットワークがサイバー攻撃の標的にされ、5,000のシステムに障害が発生し、300人の職員が一時帰国した。この攻撃の被害額は1日あたり150万ドルと見積もられている。
- 2021年8月、ウェストバージニア州とオハイオ州の数十の病院がランサムウェア攻撃により数日間業務を停止した。
- 2022年4月、ダラスを拠点とする大手ヘルスケア企業がサイバー攻撃を受け、大幅な機能停止に陥り、1億ドル以上の損失が発生した。
- 2022年10月、140の関連病院を擁する米国第4位の医療システムをランサムウェア攻撃が襲った。この攻撃により、手術やその他の患者の業務に遅れが生じた。
- 2022年12月、フランスの病院でランサムウェア攻撃が発生し、データ流出と業務の中断が生じた。
当社の最新のセキュリティ調査によると、医療は、データの機密性が高く、業務に重要なシステムに依存しているため、2022年に最も標的とされる業界の1つであることが明らかになった。また、最も脆弱な業種トップ5にも入っている。
ランサムウェアやその他のマルウェア攻撃による広範な脅威は別として、2023年には、スキャナを使用して脆弱性を悪用する以外に、脅威行為者がより広範な情報収集のために機器データを集約するために使用される医療システムにアクセスすることが予想される。
調査結果の詳細は、以下のレポートをご覧ください。
ICSの脅威の現状を深く考察する
当社のカスタムハニーポットから、悪意のあるボットネットがモノのインターネット(IoT )にどのようにアクセスしようとしているかについての洞察を得ました。
最も脆弱な業界、脆弱な製品の統計、CWE(Common Weakness Enumeration)の分類に従った最も悪用される脆弱性のタイプ。
医療機関のサイバーセキュリティ・チームが直面する課題とは?
レガシー・テクノロジーズ
多くの病院がレガシー・テクノロジーに依存しているが、これらはリプレース費用が高く、一般に公開されている脆弱性と暴露(CVEs)のリストが増加しているため、サイバー攻撃に対して極めて脆弱である。これらのシステムの多くは、Windows XPやWindows 7のような時代遅れのオペレーティング・ソフトウェアを使用しており、広範囲に分散し、異種混在し、管理されていないデプロイメント全体に重要なパッチやアップデートを適用するためのオプションは限られています。
このようなリスクを軽減するために、サイバーセキュリティチームは、これらのデバイスへのネットワーク接続を可能な限り制限し、レガシーシステムに異常なアクティビティがないかを特定し、ベースライン化して監視し、MFAを含むユーザーベースのコントロールを有効にするなど、強力な予防策を講じる必要がある。
コネクテッド・ファシリティとIoMT
サイバーセキュリティ・チームが脆弱なレガシー・デバイスの保護に苦心しているのと同時に、IoMTデバイス、BASシステム、HVAC、エレベーター、CCTV、物理セキュリティ・システムなど、より新しいIP接続デバイスが登場している。
また、管理されていないこれらの新しいデバイスは、病院の運営を妨害したり、物理的な安全装置を無効にしたり、ネットワークを通じて業務の他の分野に矛先を向けたりする潜在的な侵入口にもなります。サイバーと運用の回復力を確保するために、医療セキュリティ担当者と施設管理者は、このように拡大するデバイスの状況を一元的に把握する必要があります。以下は、最新の病院で患者の体験に貢献するシステムとデバイスの種類の一例です。
IoMTとビルディング・オートメーション・システム(BAS)が、前向きで安全な患者体験を生み出すことは明らかであり、だからこそ、全体的な予防、検知、対応のセキュリティ管理でそれらを保護することが非常に重要なのです。
サイバーセキュリティプロジェクトに対する経営陣の支援を得る
以上のように、医療機関は患者の転帰と施設の効率を改善するためにコネクテッド・テクノロジーを取り入れている。しかし、サイバーセキュリティへの投資や専門知識は、他の業界に比べて遅れています。医療機関の役員や幹部は、サイバーセキュリティをリスク削減のための投資と考えるべきなのに、新たな運用コストと考えることが多い。
ダラスを拠点とするヘルスケア・システムへのサイバー攻撃を例にとると、同社は第 2 四半期の業績報告書で、四半期収益が約 1 億ドル減少し、攻撃による財務的影響を開示していることがわかります。経営幹部レベルでサイバーセキュリティ投資の枠組みを設定する際には、サイバー攻撃の潜在的なコストの具体例を参照し、セキュリティ人材やテクノロジーへの投資と比較することが重要です。
サイバーセキュリティ人材の不足
サイバーセキュリティを経費とみなす考え方は、医療システムが直面するもう1つの課題、セキュリティ人材の不足につながっている。テクノロジー、金融サービス、エネルギーなど、セキュリティ支出を優先するセクターの組織は、人材争奪戦を制する上で有利な立場にある。そうした組織では、最新かつ最高のサイバーセキュリティツールやテクノロジーに携わるチャンスも含め、より魅力的な報酬体系とキャリアアップの機会が提供されています。医療機関はこうした特典を提供しない傾向があるため、有能な求職者が最初に選択することはありません。
複雑なコンプライアンス要件
データのプライバシーとセキュリティに関する規制は、医療分野ではより厳しくなっていますが、これには十分な理由があります。経済的な影響だけでなく、医療機関がサイバー攻撃を受けた場合、患者の安全が危険にさらされる可能性があるため、ミスは許されない。
米国で最もよく知られている規制は、医療保険の 相互運用性と説明責任に関する法律(HIPAA)である。HIPAAは1996年に発効した一連の米国連邦法で、国内の健康情報の開示と保護を規制することを目的としている。HIPAA規則の欠点の一つは、データ漏洩に重点を置いており、サイバー物理的脅威の状況が時間とともにどのように進化してきたかを考慮していないことである。今後、HIPAA規則の適用範囲が拡大されても不思議ではない。
欧州では、2022年に発表されたNIS2指令でも、医療が必須事業体に指定されている。施行レベルや規定管理は国によって異なるが、NIS2指令は、同指令の対象となる全セクターについて、欧州全域でのサイバーセキュリティリスク管理対策と報告義務のベースラインを設定するものである。
医療施設における完全な資産インベントリの作成と管理
Nozomi Networks ' プラットフォームが、医療機関のサイバーセキュリティチームがIoMT、IoT 、ビル管理デバイスを含む完全な資産インベントリを構築・管理し、サイバーおよび運用上の脅威から施設を検出・保護するのに役立つ様子をデモビデオでご覧ください。
ヘルスケア・サイバーセキュリティに関する提言
義務的なコンプライアンス規制の範囲は国によって異なるが、強固なサイバーセキュリティプログラムは、ビルディング・オートメーション・システム、医療機器、IoT 機器、エネルギー・システムなど、あらゆる接続機器やシステムをカバーする必要がある。
私たちは、NISTサイバーセキュリティフレームワークをハイレベルなベストプラクティスガイドとして使用することを推奨する。すべての優れたサイバーセキュリティプログラムは、保護対策(Identify and Protect)、検知方法(Detect)、インシデントレスポンスのプレイブックと計画(Respond and Recover)を含むべきである。
以下では、NISTのCSFの5つの機能のそれぞれに基づき、特にヘルスケア分野に対する提言を示す。
特定する
優れたセキュリティは、優れた可視性から始まります。病院がIoT 、BAS、オペレーション・テクノロジー (OT) デバイスを医療・施設システムに統合する数が増えるにつれ、自動資産インベントリ管理ツールを導入することで、このプロセスがよりシンプルになります。医療エコシステム全体とそのリスクを一元的に把握し、患者の安全と施設の稼働を維持するためのリスク軽減の取り組みに優先順位をつけることができるツールを探しましょう。
プロテクト
ヘルスケアのサイバーセキュリティ・チームは、強力なアイデンティティ&アクセス管理とネットワーク・セグメンテーション、および従業員向けのセキュリティ意識トレーニングに投資する必要があります。サイバーセキュリティの文化を創造することは、取り組みの継続的な成功に不可欠です。
検出
潜在的なサイバーセキュリティ・イベントを検出するには、ネットワークトラフィックとデバイス・ベースラインの両方を監視する必要があります。複数のタイプの脅威検出を組み合わせ、幅広いIT、OT 、IoT プロトコルをサポートする検出ソリューションを選択し、最も広いレベルのカバレッジを実現する。また、Yaraルール、パケット・ルール、STIXインジケータ、脅威定義、脆弱性シグネチャなど、詳細な脅威インジケータを提供する必要があります。
応答する
サイバーセキュリティインシデントに対応するための計画を策定し、実施する。これには、影響を受けるデバイスやシステムを発見して隔離する手順や、インシデントについて関係者に連絡する手順が含まれる。
潜在的なサイバーセキュリティ・イベントが検出された場合、脅威検出ソリューションは、アラートをインシデントにグループ化し、セキュリティ担当者と運用担当者に統合されたビューを提供できる必要があります。また、IR プレイブックやthreat intelligence のような、コンテキストに基づいた実用的な情報を提供し、迅速に対応できるようにする必要があります。
回復する
影響を受けたサービスを復旧するための復旧計画を作成し、実践することで、従業員や一般市民に対して、何が起こり、どのように修復しているかを伝えることができます。資産インベントリ管理ソリューションは、最新の資産プロファイルとデバイスが影響を受けた時間枠を提供することで、影響を受けた業務を復旧するための迅速なフォレンジック分析をサポートする必要があります。
防御訓練を向上させ、現在のパフォーマンス・レベルを評価するために、ペネトレーション・テストやパープル・チームによる演習で、対応プランと復旧プランの両方を継続的にテストすることが重要だ。
ヘルスケア・サイバーセキュリティ・リソース
病院や医療施設のセキュリティ確保は複雑な課題です。そこで私たちは、今日のサイバーセキュリティの課題に対するガイダンスとソリューションを提供するリソース・ライブラリを作成しました。これらのリソースが、貴社の全体的なサイバー回復力戦略を支援するために役立つ情報を提供することを願っています。
サイバーリスクの予測、診断、対応の準備はできていますか?IoT セキュリティソリューションの詳細をご覧ください、Vantageこちら.
