Usenix Enigma ITセキュリティに関して言えば、医療業界はデータセキュリティに関して圧倒的に無能だ。今週サンフランシスコで開催された第1回Usenix Enigmaセキュリティカンファレンスで、トップクラスの研究者たちがそう語った。
「多くの業界で働いてきたテスターとして、ヘルスケア業界はセキュリティの面で絶対的に最悪だ」と、メリーランド州ジョンズ・ホプキンス大学の情報セキュリティ研究所のテクニカルディレクター、アヴィ・ルービン氏はエニグマの参加者に語った。
「本当に心配なのは、私たち全員が医療に関わっているにもかかわらず、医療業界のデータセキュリティ対策が、私たちが目にした他のどの業界よりもはるかに劣っていたことです。」
ルービン氏は、米国東海岸の主要6病院のシステムセキュリティ調査を依頼された。彼は、患者のデータ、そして場合によっては人命を危険にさらすような、数多くの基本的なエラーを発見した。問題の一因は医師のセキュリティ対策のまずさにあるとルービン氏は述べた。「誰も死ななければ、彼らにとってはそれで終わりです」とルービン氏は述べた。しかし、深刻なシステム上の問題もあった。
ある病院では、ユーザーがマシンをアイドル状態にしておくとワークステーションからログアウトされてしまうため、医師は若い看護師に、ユーザーの PC を 1 台ずつ定期的に回ってログイン状態を維持するように指示し、いつでも誰でもシステムにアクセスできるようにしていました。
ある病院では、あらゆるレベルの職員8,000人以上が施設内に保管されているすべての記録にアクセスすることを許可していました。別の病院では、ある医師が、子供たちがゲームやダウンロードに使っているのと同じパソコンから病院のサーバーにログインすることを許可していました。
ルービン氏が目にした最もひどいケースは、患者や医師向けにレントゲン写真のDVDを出力するセキュリティ対策が施されていないコンピューターだった。抜け目のないハッカーなら、すべてのディスクにマルウェアを仕込むことができたはずだ。
病院が直面しているIT問題の多くを、いくつかのシンプルなセキュリティ対策で解決できると彼は述べた。多要素アクセス制御、医療機器上のアプリケーションのホワイトリスト化、データベースアクティビティの監視は、大きな改善をもたらすだろう。
ミシガン大学アルキメデス医療機器セキュリティセンター所長ケビン・フー氏も同意見で、医療提供者が目にする問題の90パーセントは常識を働かせるだけで比較的簡単に解決できると語った。
たとえば、ある病院を調査したところ、使用中のコンピューターの大半は Windows XP で動作しており、購入されてから 7 年間にわたってパッチが適用されていなかったことが判明しました。
ネットワークスキャンを行ったところ、MRIスキャナーが動作しているWindows 95マシンも発見されました。彼がこの件について問い合わせたところ、スキャナー全体を交換しなければ、新しいOSでMRIソフトウェアを動作させることは不可能であることが判明しました。
ケビン・フーとペースメーカー
医療機器のリードタイムが長すぎるため、今日のセキュリティの観点から時代遅れになっていることが問題だと彼は述べた。彼は、心拍を中断できるデバッグルーチンを備え、誰でもアクセスできるペースメーカーを披露した。
医療機器自体が感染源となったケースもありました。ある機器メーカーは、38個のトロイの木馬を含むマルウェアに感染したファームウェアアップデートを出荷し、病院全体に拡散しました。
「状況は改善しつつあります」とフー氏は述べた。「今では、機器メーカーがホワイトボードの段階でセキュリティを考慮した設計を始めています。医療従事者が手洗いで死亡率を低下させることができると認識するまでに100年以上かかりましたが、病院のフロントエンド機器は数年後には大幅に改善されるはずです。」®
