今年、悲劇的な出来事があった。その悲劇は多岐にわたるが、私たちの分野では、ある悲劇が際立っている。サイバー攻撃に直接関連した最初の死である。
今年初め、私の家から3時間もかからないドイツのデュッセルドルフで、ランサムウェア攻撃が病院のシステムを麻痺させ、すべての救急車を他の救急病院に迂回させた。しかし、1台の救急車が危篤状態の患者を乗せて標的となった病院に到着した。その患者は代替施設に迂回させられたが、助からなかった。
これは悲劇だ。デジタルの世界における脅威は、物理的な世界へと飛び火した。人々にとっての脅威は、もはや理論的なものでも、個人的な不便さでもない。もはや、不正な支払いを拒否するだけでは済まないのだ。残念ながら、脅威はますます増大しているようだ。
デュッセルドルフの病院は意図したターゲットではなかったかもしれないが、病院はかなり脆弱である。2019年には、病院の84%にサイバーセキュリティの専任職員がいないことが報告された。同じ報告書では、2016年から2018年の間に、病院幹部の3分の1が "あまりビジョンや識別力を持たずにやみくもに "サイバーセキュリティ・ツールを購入したと指摘している。一方、医療機関はデータ侵害の回復に他のすべてのセクターよりも多くの費用を費やしている。
インターネットに接続された機器、つまりモノのインターネット(IoT)が医療業界に恩恵をもたらしているのは、複雑な幸運である。医師や従業員はすでにスマートフォン、タブレット、ノートパソコン、デジタルアシスタントを使っている。診断機器や画像診断機器、手術用ロボット、ウェアラブル機器、インテリジェント機器、無数のワイヤレスセンサーなどの接続性が高まっている。がん患者の症状を追跡するブルートゥース対応の体重計や血圧計がある。糖尿病患者の生活の質を向上させるグルコースモニターもある。アップルのResearchKitは、パーキンソン病を患う人々の毎日の日記のプロセスを簡素化し、患者を助けると同時に、研究に役立つ貴重なデータを提供する。スマート冷蔵庫でさえ、食生活に関する関連データを医師に送り返すことができる。
これらの技術革新はすべて、私たちが受ける医療の質にとって正味の利益となっている。IoTセキュリティ・インスティテュートの社長兼創設者であるアラン・ミハリック氏は、「このようなデータがあれば、(医師は)サービスを改善し、サービスを提供するためのコストを下げる方法を検討することができる。しかし、それ以上に、それは反応的な医療モデルから積極的な医療モデルへの移行という問題なのです」。
ITセキュリティの経験があるのかないのかわからないスマートな医療専門家によって、さまざまなメーカーから提供されたこれらの新しいデバイスがインストールされ、運用されているのだから、病院の攻撃対象がここ数年で計り知れないほど大きくなったとしても不思議ではない。2017年から2019年にかけてのデータセキュリティに関する購買決定の92%はCレベルで行われ、影響を受ける部門管理者やそのような決定によって影響を受けるユーザーを含んでいない。結局のところ、病院の緊急性は、緊急治療室の医師に関連情報をオンデマンドで提供するシステムを必要としている。 さらに、病院は予算の制約に悩まされていることで有名です。レガシー・ソフトウェアのリプレースやアップグレードには、次のようなとんでもない統計につながるような値段がつきがちだ:医療機関の56%がいまだにWindows 7を使用している!ITのための予算は、通常、セキュリティには充てられない。90%の医療機関が、2016年以降セキュリティ予算は横ばいか減少していると報告している。
しかし、それに対して何ができるのだろうか?現在のベストプラクティスを知っておくことは不可欠である。
2019年、米国国立技術標準研究所(NIST)は「モノのインターネットのサイバーセキュリティとプライバシーリスクを管理するための考慮事項」を詳述した報告書NISTIR 8828を発表した。その中で、3つのハイレベルな緩和方法が強調されている。簡単に言えば、以下の3つだ:
- デバイスのセキュリティを守る。
- データのセキュリティを守る。
- 個人のプライバシーを守る。
病院のITインフラを整備・管理する責任者は、コネクテッド・デバイスを組み込む方法について熟慮する必要がある。サイバー・リスクの軽減はどの業界にとっても極めて重要だが、医療にミスは許されない。今年、リモートワークへの急速なシフトにより、ハッカーが悪用できる脆弱性が大幅に増加した。残念なことに、脆弱性を修正することは、特に病院のような常時稼動型の業務にとっては、想像以上に難しい。
しかし、最初から始めることは可能だ。認証(デバイスや記録への特権的なアクセスを得るためのプロセス)は、安全で、摩擦がなく、他のデバイスと相互運用可能で、業界で試行錯誤され、テストされた標準に基づくものであれば、これらの脆弱性のギャップを埋め始めることができる。残念ながら、それには現状に挑戦することが必要である。
しかし、人命が危険にさらされている以上、現状では不十分であり、異議を唱える必要があることは、これまで以上に明らかである。
今月はサイバーセキュリティ啓発月間であるため、私たちは皆、自分たちの根本的な仮定と、それを改善できる可能性のある場所について、少し考えてみよう。医療におけるIoTデバイスは、患者の治療方法や研究方法に大きな改善をもたらす可能性がある。しかし、それは保護される必要があり、過去の「十分な」セキュリティはもはや十分ではありません。少なくとも、デュッセルドルフの患者にとってはそうではなかった。