英国の保健当局は「コンピューターを保護するための簡単な措置を講じていれば」WannaCryを阻止できたはずだが、事件が起きる1年前にサイバー攻撃の被害に遭うかもしれないという警告に耳を傾けなかった。
これは、英国会計検査院による調査結果の一部であり、同院は本日、「WannaCryサイバー攻撃とイングランドのNHS」という報告書を発表し、英国の医療サービスとその患者への影響、NHSの一部がなぜ影響を受けたのか、そして対応の有効性に焦点を当てている。
WannaCryはイングランドの医療機関の34%に被害を与えましたが、その混乱と経済的影響の全容は不明です。数千件の予約や手術がキャンセルされ、英国の5つの地域では患者が救急外来まで遠くまで行かなければなりませんでした。
監視機関は、保健当局が2016年初頭から2017年7月までサイバー攻撃の警告に正式に対応していなかったことを明らかにした。
公会計委員会のメグ・ヒリアー委員長は次のように述べた。
NHSがコンピューターと医療機器を保護するための簡単な対策を講じていれば、今回の攻撃を防げたはずだ。ところが実際には、患者とNHS職員は広範囲にわたる混乱に見舞われ、数千件もの予約や手術がキャンセルされた。
「保健省はサイバー攻撃に対処するための計画についてNHSと地元で合意できなかったため、NHSの対応は遅すぎた。」
「NHSと保健省はサイバーセキュリティに真剣に取り組む必要がある。さもないと次の事件はさらにひどいものになる可能性がある。」
WannaCry に感染した NHS 組織はすべて、パッチが適用されていないかサポートされていない Windows オペレーティング システムを使用していたため、ランサムウェアの影響を受ける可能性がありました。
しかし、組織がシステムにパッチを適用していたかどうかにかかわらず、インターネットに面したファイアウォールを管理する措置を講じていれば、組織は感染から守られていたはずだと報告書は述べている。
NHS Digitalによると、感染したNHSデバイスの大部分はパッチが適用されておらず、サポートされているMicrosoft Windows 7オペレーティングシステム上で動作していたという。
サポートされていないデバイス (XP 上のデバイス) は、特定された問題の中では少数でした。
サイバー攻撃の阻止はテロ対策と同じくらい重要だとGCHQの新長官が語る
続きを読む
NHSデジタルはまた、ランサムウェアがインターネット経由で拡散したことも確認した。これには、イングランドのNHS全拠点を結ぶブロードバンドネットワークであるN3ネットワークも含まれる。NHSのメールシステムであるNHSmail経由で拡散した事例は確認されていない。
2014年に保健省と内閣府は各信託会社に対し、2015年4月までにWindows XPなどの古いソフトウェアから移行するための「堅牢な計画」を用意することが不可欠であるとの書簡を送った。
2017年3月と4月、NHSデジタルは、WannaCry対策としてシステムにパッチを適用するよう組織に警告する重要なアラートを発令しました。しかし、5月12日以前には、NHSの地方組織がガイダンスを遵守し、サイバー攻撃への備えができているかどうかを評価するための正式なメカニズムがNHSには存在していませんでした。
国家監査局長エイミアス・モース氏は本日、次のように述べた。
「WannaCryによるサイバー攻撃は、NHSとその患者へのケア提供能力に深刻な影響を及ぼす可能性がありました。これは比較的単純な攻撃であり、NHSが基本的なITセキュリティのベストプラクティスに従っていれば防ぐことができたはずです。」
「WannaCryよりも洗練されたサイバー脅威が存在するため、保健省とNHSは協力して、NHSが将来の攻撃からより適切に保護されるようにする必要がある。」
リスクを軽減するために、NHS は WannaCry から学ぶことを約束し、対策を講じています。
これらには、サイバー攻撃が発生した場合に NHS が取るべき対応策を定めた対応計画の策定、組織が重要な CareCERT アラート (NHS Digital から送信される情報提供や対応を求める電子メール) を確実に実装すること、組織がサイバー脅威を真剣に受け止めていることを確実にすることなどが含まれます。®
