なぜ医療機関には特に強固なランサムウェア耐性戦略が必要なのか!そして、どのような対策を講じるべきか、そしてこれらのプロセスの失敗がいかに生死を分けるかを検証してみます。
ほとんどの企業にとって、ランサムウェア攻撃は金銭的な被害や風評被害をもたらします。それは本当にひどいことですが、生命を絶つことはありません。しかし、ヘルスケア分野では、ランサムウェアは文字通り生死に関わる問題となり得ます。ランサムウェア攻撃が、医療提供者が患者に重要なサービスを提供するために依存しているシステムを混乱させれば、患者が命を落とす可能性があります。
医療機関がクラウド化を急ぐ中、特に強固なランサムウェア耐障害性戦略が必要であることは明らかです。ここでは、医療部門が直面するランサムウェアの脅威の深刻さと、医療従事者がランサムウェアの最も有害な影響から自身と患者の安全を守るためのヒントを紹介します。
目次
ランサムウェア攻撃者が医療セクターを好む理由
脅威の主体から見ると、医療機関はいくつかの理由からランサムウェア攻撃の格好の標的となっています。
機密性の高い医療データ
まず、医療機関は機密性の高い重要なデータを保存していることが多く、攻撃者に暗号化されても簡単に放棄することはできません。例えば、患者の記録を永久に失うことは、ほとんどの場合、考えうる選択肢ではありません。それは、保護された医療情報の適切な管理を義務付けるコンプライアンス法に抵触する可能性があるだけでなく、医療機関が将来提供できる医療の質を著しく低下させることになります。
そのため、医療機関が身代金を支払ってでも情報を回復しようとする可能性が高まります。また、医療機関は、身代金目的で持ち出されたデータが壊滅的な結果を招くことなく帳消しにできることがある他の分野の組織とは一線を画しています。例えば、小売業者が過去の販売記録を含むデータベースを失っても、おそらく営業を続けることができます。しかし医療機関は通常、データ損失に関してこのような柔軟性を享受することはできません。
複雑な医療ITシステム
医療機関がランサムウェアによる侵害の危険にさらされやすい第二の要因は、多くの診療所や病院が特に複雑なITシステムを運用していることです。
医療機関は、従来のデスクトップやサーバに依存するのではなく、さまざまな環境で治療を提供するための特殊なソフトウェアやハードウェアを必要としており、多くの場合、患者の身体からデータを収集するインターネット接続センサーなどの特殊なデジタル機器の助けを借りています。ITが複雑であればあるほど、管理者がセキュリティパッチのインストールを忘れるなどのミスを犯す可能性が高くなるため、こうした複雑なシステムは攻撃者にとって格好の標的となります。
加えて、現代の医療提供においてますます重要性を増している特殊な医療機器は、セキュリティを完全に確保することが困難な場合が少なくありません。従来のソフトウェアパッチツールは通常、IoTデバイスをサポートしていないため、あるいはデバイスが常にネットワークに接続されているわけではない(したがって、リモートで確実にパッチを適用できない)ため、IoT(Internet-of-Things)ハードウェアにアップデートをインストールするのは困難です。このため、他のほとんどの種類の組織にはない、別の特別なサイバーセキュリティ・リスクが発生します。
財務上の課題
その上、財政的な問題が、一部の医療提供者がITセキュリティに十分な投資を行うことを妨げています。資金繰りに屈している病院やその他の医療機関は、明確で即座にROIが得られる他の投資を優先するようプレッシャーを感じているため、サイバーセキュリティへの投資が不足していることが多いということです。
要するに、医療分野はランサムウェア攻撃者にとって、ある意味で狙いやすいターゲットで、 全体的に複雑でセキュリティが不十分な傾向にあるITシステム内で、非常に機密性の高いデータを管理しているのが現状です。
医療分野におけるランサムウェアの現状
上記のような課題を考えると、医療機関に対するランサムウェア攻撃の割合が近年急増しているのも当然と言えます。ランサムウェアは以前から医療にとっての脅威でしたが、この問題はかなり深刻化しており、すぐに改善される気配はありません。 米国のFBIの調査によると、2023年、ヘルスケアは他のどの分野よりもランサムウェアによる影響が大きかったといわれています。米国の医療機関が公表したランサムウェア攻撃の頻度は、2022年から2023年の間に128%急増しました。同期間中、病院システムに対する主要なランサムウェア攻撃はほぼ倍増しました。
なお、ある調査会社によれば、近年はあらゆるセクターでランサムウェア攻撃の頻度が増加しているが、その割合は73パーセントにとどまっています。したがって、このデータは、医療分野がランサムウェア攻撃の特に深刻な増加に直面しており、事案が他のセクターのランサムウェア攻撃の約2倍の割合で加速していることを示しています。
ランサムウェアが医療機関に与える影響
ヘルスケア・セクターにおけるランサムウェア攻撃が、他のセクターで一般的に見られるような金銭的損失と風評被害のみをもたらすのであれば、十分に悪いことです。残念ながら、上記で述べたように、医療におけるランサムウェアの影響は、患者の死につながる可能性があるため、さらに陰湿です。
例えば、ランサムウェアの攻撃によって、ドライバーが配送係と通信するために依存しているシステムが機能しなくなり、緊急時に車両が患者に迅速に到達できなくなることで、救急車サービスの業務が中断されることを想像してみてください。。
あるいは、デジタル医療記録が暗号化され、救命医療を提供する医師が、患者が特定の薬にアレルギーがあるかどうかの情報を調べることができなくなったらどうなるかを考えてみよてください。医療者は、患者によっては安全でない薬を処方してしまうかもしれません。あるいは、医療記録に完全にアクセスできなければ、薬剤師が重要な薬を処方できないため、患者が重要な薬に入手できなくなる可能性も出てきます。
このようなリスクは単なる仮定の話ではありません。ほとんどの場合、ランサムウェアは患者への危害を引き起こす上で間接的な役割を果たしているため、ランサムウェアが特定の死亡を引き起こしたことを証明するのは難しいです。それにもかかわらず、病院におけるランサムウェアのインシデントは、約28%の死亡率の上昇と相関関係があることを示すデータがあります。これは、年に平均1000人の患者が死亡する病院で、ランサムウェア攻撃が起きると1280人が死亡することを意味します。
ランサムウェアは、それほど極端でないケース(命が危険にさらされていないケース)であっても、健康や生活の質に決定的な悪影響を及ぼす可能性があることも注目に値します。例えば、予約システムが攻撃者によって無効化されたため、患者は日常診療の予約を取るのに苦労するかもしれないし、薬局は依存している投薬データが人質に取られたため、処方箋を記入できないかもしれません。これらは生死に関わる問題ではないかもしれませんが、それでも、医療に関係のないデータの盗難だけにつながるランサムウェア攻撃よりも深刻に個人の生活を混乱させます。
医療分野におけるランサムウェアリスクの軽減: サイバーセキュリティだけでは不十分な理由
このようなリスクに直面している医療提供者は、ランサムウェアから自分自身と患者を守るために何ができるでしょうか?
その答えはもちろん、ランサムウェアによる侵害を未然に防ぐためのサイバーセキュリティへの投資から始まります。ソフトウェアの定期的なパッチ適用や攻撃の兆候の継続的な監視などの実践は、医療機関がランサムウェアの脅威に先手を打つのに役立ちます。
しかし、サイバーセキュリティだけでは医療におけるランサムウェアの脅威を解決することはできません。問題は、一部の医療機関にはサイバーセキュリティ投資をサポートするための潤沢な予算がないということだけではありません。サイバーセキュリティの防御がいかに優れていても、ランサムウェア攻撃が起こらないという保証は決してないということです。
実際、別の調査機関が2023年に米国の医療機関650社を対象に実施した調査では、88%が過去1年以内にデータの盗難や損失を伴うサイバー攻撃を経験していることが判りました。この驚異的な数字は、サイバー攻撃が大多数の医療機関にとって避けられるものではないことを強調しています。サイバーセキュリティに投資することで、侵害の発生率を下げることはできるかもしれませんが、完全に防ぐことはできないでしょう。
ランサムウェアを阻止するためのデータバックアップとリカバリの役割
幸いなことに、医療機関がランサムウェアから守るために構築できる第2の防御層があります: データのバックアップとリカバリです。
サイバーセキュリティの侵害が成功した場合、ほとんどの医療機関では避けられないことですが、データのバックアップとリカバリ計画があることで、プロバイダは身代金を支払うことなく、迅速にサービスを復旧することができます。
はっきりさせるべきは、単に定期的なデータバックアップを行うだけではないということです。最高レベルの保護を提供するために、ヘルスケアのバックアップとリカバリ戦略には以下が含まれます:
●RPO(Recovery Point Objective)とRTO(Recovery Time Objective)の目標に沿った頻度で、すべてのデジタルリソースを包括的にバックアップすること
●ネットワークから切り離されたバックアップを意味する “エアギャップ “バックアップにより、攻撃者がバックアップにアクセスして破壊するリスクを最小限に抑えること。バックアップを別のクラウドアカウント、あるいはまったく別のクラウドに保存することで、攻撃から隔離することもできる
●重要なサービスを実現する上で、どのリソースがどの程度重要であるかに基づいて、復旧作業中に優先すべきリソースを特定すること
●これらの優先順位を反映し、技術者がバックアップを使用してサービスを迅速に復旧するために必要なすべての情報を含む復旧計画
●定期的な復旧訓練の実施。チームがバックアップと復旧計画を使用して実際にサービスを復旧できることを検証する
●技術者が復旧中に特別な支援を必要とする場合に備えて、バックアップおよび復旧プラットフォーム・プロバイダによる24時間365日のサポート・サービスを提供すること。人命が危険にさらされている場合、24時間365日の専門家サポートへのアクセスは特に重要
●データの変更を防ぐ、不変のバックアップ・ストレージ。バックアップは必ずしも厳密な不変性(ガバナンス・モード)ではなく、特定のユーザー・ロールによる変更を可能にする必要がある場合もありますが、バックアップされたデータを絶対に誰も変更できない完全な不変性(コンプライアンス・モード)を選択する場合もあります。この違いについて、さらに詳しく見ていきましょう。
医療分野におけるランサムウェア耐性のより健全な未来に向けて
ランサムウェアは依然としてヘルスケア分野で猛威を振るっています。しかし、正面から立ち向かう必要はありません。身代金を支払うことなく迅速にサービスを復旧できるソリューションに戦略的に投資することで、資金に乏しい医療機関でも、ランサムウェアの侵入によって業務が停止し、患者の命が危険にさらされるリスクを最小限に抑えることができます。
クライムは、課題の規模や複雑さに関わらず、それぞれのケースに合ったランサムウェア対策を提供します。オンプレや、複数のクラウドアカウントにまたがるデータのバックアップとリストア、不変のバックアップストレージオプション、即時リストア機能など、高度なデータバックアップと保護機能により、クライムはランサムウェアに襲われた医療機関の迅速な復旧ソリューションを提供します。
(株)クライムは第44回医療情報学連合大会に出展予定です。
2024年11月21日(木)~24日(日)
@福岡国際会議場
医療ダッシュボードの種類、利点、追跡するKPI(Key Performance Indicator「重要業績評価指標」)