イスラエル サイバー ウィーク第 8 回イスラエル サイバー ウィークで講演した専門家によると、医療規制により、医療機器ベンダーは、現在のサイバー セキュリティの問題に対処するのではなく、次世代の技術の開発に重点を置くことが義務付けられている。
コンサルティング会社BDOサイバーセキュリティセンター・イスラエルのパートナー兼責任者であるオフィール・ジルビガー氏は、病院や診療所が保有する機密データのために、医療分野は深刻なプライバシーリスクを抱えていると述べた。病院は一般的に、限られた予算の中で、医療機器への投資とサイバーセキュリティのニーズのバランスを取るのに苦労している。デジタル記録の利用は現代の医療提供における「礎」であるが、同時にリスクも増大させるとジルビガー氏は指摘した。
「従来のリスク評価方法は実際には機能しません。他の業界では、ITは実際に使用される前に一定レベルまでテストできます。例えば銀行業務では、多少の不具合は許容されますが、人命に関わる問題となると当然ながらそれは許されません。そのため、変更管理、テスト、品質保証に関して非常に厳格な規制が設けられています。」
英国の医療制度がマイクロソフトとWindows 10のインストール協定を締結
続きを読む
医療機器の試験サイクルは、米国FDAなどの規制当局の要件を満たす必要があるため、非常に長い期間を要します。「医療機器が試験され病院に販売されると、ベンダーは開発中の医療機器の将来的な発展に注力するため、サイバーセキュリティにおいて問題が生じます」とジルビガー氏は述べています。「セキュリティ上の理由から、ベンダーは以前販売した医療機器のアップグレードに十分な労力を費やしていません。健康上の問題があればすぐに修正するかもしれませんが、サイバーセキュリティの観点から既存の機器に必要な改善点については、真剣に検討していません。」
「一方、病院は医療機器の設定を変更できないため、手足が縛られている。」
昨年、WannaCryの感染拡大はNHS傘下の多くの病院に大きな打撃を与えました。ジルビガー氏はエル・レグ紙に対し、今回の感染拡大はサイバーセキュリティ全般の重要性に対する「意識を高めた」だけでなく、メーカーとの「対話のきっかけ」にもなったと述べました。
ジルビガー氏は、イスラエルの病院やその他の医療機関は毎週「数百件の攻撃」に直面しており、そのほとんどはスキャン攻撃と偵察だったと付け加えた。
カンファレンスでは、病院がデータ侵害やランサムウェア攻撃による問題の増加に対処するため、保険を活用していることが明らかになった。盗難された医療データに基づく不正な保険請求も、特に米国で深刻な問題となっている。展示会に出席した投資家らは、ヘルスケア分野の分析などの分野がスタートアップ企業のホットスポットであると述べた。他のヘルスケア系スタートアップ企業は、デバイスにエージェントを残さずに機能するセキュリティ技術を開発している。
テルアビブ大学ICRCブラバトニク学際サイバー研究センター所長のアイザック・ベン=イスラエル教授は、イスラエルが1990年代に最初のサイバーセキュリティ戦略を策定した際、重要インフラに不可欠とみなされた28の事業のリストに病院は含まれていなかったと参加者に語った。そのリストには、公益事業、交通機関、そして一部の銀行が含まれていた。
病院は現在、イスラエルでは重要な国家インフラの一部とみなされており、他の地域でも同様の地位を与えられるべきだと、元イスラエル国防軍の上級司令官で現在は学者である人物は主張した。®
