昨日の道新に「病院ハッカーの標的」(電子カルテの引き換えに身代金要求)という記事が掲載された。
人の命に係わる電子カルテなどを暗号化し、人質にして身代金を要求する。まさに命にかかわる犯罪行為だ。
去年の22年は6件という最悪の事態になった。
厚労省も今年の3月に「医療情報システムの安全管理に関するガイドライン第5.2版」を出した。
こちら ⇒
電子カルテなど重要な情報は、ネットから切り離しているシステムが当たり前となっているが、なぜセキュリティが破られるのか。
メール感染の「エモテット」の拡大は、ウィルス(マルウェア)がいかに巧妙に進化しているかの表れであり、対応が難しいということだ。
ネットへ繋げていないから「大丈夫」とはならない。
古くはイランの「スタックスネット」など、USBメモリーからの感染も多い。USB禁止、または管理ができているだろうか。個人のUSBやSDカードの持ち込み禁止は当たり前。スマホも危険である。
またシステムのバージョンアップなどのメンテナンスは、人が出張してきて処理などはしていない。
VPNを通したネットからの遠隔操作によるメンテナンスが当たり前になっている。このVPNの脆弱性を使って侵入された病院もあるとのこと。
セキュリティゲートのUTMもメーカーからネットによってバージョンアップを行っている。
MODEM、ルーターもそうだ。
システムの1台でも感染するとラテラルムーブメントで軒並みやられてしまう。
ネットから切り離していると思っても、実態は繋がっている。
厚労省のガイドライン5・2版にあたっての調査結果には寒気がする。
・VPN装置が存在しているか 66%
・VPN装置へのアクセス元IPアドレスを制限している 83%
・VPN装置へのアクセス記録の定期的検査 41%
これでは狙われ、攻撃されてしまう。
サイバーキルチェーンのおける最初の「偵察」にひっかかてしまう。
記事の最後には「セキュリティシステムへの公的補助」への要請がある。
人の命にかかわる問題である。
こうしたところにこそ予算措置を!