英国保健社会福祉省は今週、NHSのITシステムの欠陥に対処するためらいがちな取り組みの進捗状況に関する最新情報を発表した。
NHSの技術チーム?WannaCryの醜い事後調査に涙、保健省が計画を概説し笑顔
続きを読む
まず悪いニュースから。2017年のWannaCry攻撃により、NHSは9,200万ポンド(PDF)の損害を被った。この数字には、NHSのサービス提供の1%が中断されたと仮定した場合の1,900万ポンドの生産損失と、被害直後に実際に発生したシステムの修復に要した7,300万ポンドという途方もないITコストが含まれている。
予約がキャンセルされた19,000人の患者にとって、バックアップを探し出して復旧させるためのコンサルタントに大金がつぎ込まれていたことは大きな慰めになったに違いない。
よく知られているように、この攻撃によりNHSはついに決断を下し、老朽化したITシステムをアップグレードしました。システムをWindows 10(ただし、あまり最新ではないことを祈ります)にアップデートするため、Microsoftと3年間1億5000万ポンドの契約を締結しました。報告書によると、Advanced Threat Protection(ATP)は現在130以上の組織に導入されています。これにはかなりの時間がかかりました。
「NHSの大規模なメンタルヘルストラスト」はATPに「非常に感銘を受けた」と伝えられているが、スタッフが喜んでマルウェアをダウンロードしたりフィッシングメールを開いたりしていることを考えると、何らかのトレーニングを行っても無駄ではないようだ。
IBMはNHSデジタルの寛大な援助の受領者でもあり、NHSデジタルのサイバーセキュリティオペレーションセンター(CSOC)を拡張するための3年間の戦略的パートナーシップに3000万ポンドを投じている。
しかし、MicrosoftとIBMへの資金投入は間違いなく税金の有効活用と言えるでしょう。しかし、報告書は、2月の教訓報告書(PDF)で推奨されているように、NHSが2021年6月にサイバーエッセンシャルズプラス基準を達成するという約束を撤回しました。トラストや財団トラストが2019年までに基準達成に向けた計画を提示するという安心感を与える約束は数多くありますが、来年3月に基準達成を「目指す」のはわずか10機関です。2021年6月の期限が刻々と迫る中、次の進捗報告書は興味深い読み物となるでしょう。
先週のヘルスサービスジャーナル(HSJ)で報じられた問題は、基準を満たすにはNHSに8億ポンドから10億ポンドの費用がかかり、NHSデジタル社は「費用に見合わない」と考えていることだ。これは情報公開法に基づいて公開されたサイバーセキュリティ委員会の会議に提出された文書で明らかになった。
これは、WannaCry 攻撃によって不便を被った人々にとって大きな慰めとなるだろう。特に NHS は悪意のある人物による継続的な攻撃を受け続けている (公平に言えば、すべての公的機関がそうであるように)。
資金面では、マイクロソフトが受け取る予定の1億5,000万ポンドに加え、2017年10月に地方のITインフラ強化のために2,100万ポンド、今年2月にはさらに2,500万ポンドが発表されました。さらに1,500万ポンドが未支出の資金から捻出され、2017/2018年度のNHS地方ITシステムのセキュリティ確保への総投資額は6,100万ポンドとなりました。2021年までに、Windows関連資金に加えて2億5,000万ポンド以上が支出される見込みです。これは、HSJが提示した8億ポンドという数字をはるかに下回る額です。
そして良いニュースは?2019年にまたチェックしてください。®
