BSides マンチェスター今月初め、イギリスのマンチェスターで開催された BSides カンファレンスで、小児科の看護師が病院に対し、コンピューター セキュリティを向上させる方法を指導しました。
エレナ・ミロシェビッチさんは、オランダ各地の複数の病院で当直看護師として働く中で、過去4年間サイバーセキュリティに興味を持つようになった。彼女によると、オランダの病院ではデジタルセキュリティ対策が全般的に不十分だったという。
病院やクリニックにとって、セキュリティとプライバシーはますます重要になっています。老朽化したシステムには、個人情報、医療情報、財務情報が大量に蓄積されており、悪意のある者の手に渡れば容易に金銭化される可能性があります。血液冷蔵庫などの管理に使用されていたWindows XPなどの旧式のプラットフォームや、IoT(モノのインターネット)機器の導入は、医療施設をハッカーやマルウェアの脅威にさらす恐れがあります。
ミロシェビッチ氏は、病院はバックアップ体制が不十分であることや記録の再構築にかかるコストのせいで、他の組織よりもランサムウェアに屈し、金銭を支払う傾向が強いかもしれないと述べた。
彼女はさらに、WannaCryランサムウェアの流行による影響の全容は未だ不明だと付け加えた。この悪質なソフトウェアは昨年、英国の国民保健サービス(NHS)に特に大きな被害を与え、Orangewormなどの類似のマルウェアはヨーロッパの病院に問題を引き起こしている。
WannaCryは英国のみならず世界中の医療機関にとって警鐘となった。ミロシェビッチ氏によると、感染以降、ほとんどの病院のウェブサイトはHTTPからより安全なHTTPSに移行したという。この措置でウイルスの拡散は阻止できなかっただろうが、ITスタッフがセキュリティをより真剣に受け止めていることを示すものだ。
![病院ウェブサイトの基本セキュリティ 2017 [出典: ジェレナ・ミロシェビッチ]](https://image.brawte.com/anejbkmn/b4/18/hospital_ssl.webp)
2017 年のオランダとアメリカの病院のウェブサイトのセキュリティを比較したグラフ…クリックして拡大
病院は、インターネットやネットワークに接続された医療機器がもたらすセキュリティリスクについて、矛盾した情報を受け取っています。メーカーは医療従事者に対し、機器は常に何らかのバックエンドに接続する必要があると伝えていますが、これはセキュリティ情報センターICS-CERTなどのアドバイスに反しています。
ミロシェビッチ氏は、ハードウェアメーカーが「パッチもアップデートもウイルス対策もプロキシも提供していない」、つまり慢性的にセキュリティが脆弱なIoTヘルスケア技術を提供していることを批判した。「インターネットに接続する必要がないなら、接続すべきではない」と彼女はセキュリティ研究者のダン・テントラー氏の言葉を引用し、医療現場ではこのようなデバイスを24時間365日ネットに接続させる必要性はほとんどないと付け加えた。
ミロシェビッチ氏は、医療機関の5分の4にはセキュリティ責任者がいないと主張した。「IT部門はセキュリティ部門ではないのに、医師や看護師はそう考えている」とミロシェビッチ氏は述べた。さらに、病院における情報セキュリティは独立した部門を通して提供されるべきだと付け加えた。独立した部門が設立されれば、他の病院部門や部署にも研修を提供するべきだ。
セキュリティは根本から構築し、啓発プログラムで補完する必要があると彼女は述べた。ミロシェビッチ氏はまた、医師が体の仕組みを理解する必要があるのと同様に、医療従事者もコンピューター機器の仕組みを理解する必要があると主張した。
「基本的な安全のない医療は、滅菌器具のない手術のようなものだ」とミロシェビッチ氏は語った。
ミロシェビッチ氏のプレゼンテーションのビデオ録画は以下にあります。
YouTubeビデオ
ミロシェビッチ氏は1995年からオランダの様々な病院で勤務し、それ以前はベオグラードの大学小児病院の集中治療室で10年間勤務していました。過去4年間は、コミュニティベースの情報セキュリティ擁護団体である「I Am The Cavalry」と「Women in Cybersecurity」のメンバーとして活動しています。®
