国会議員の報告によると、前例のないWannaCryサイバー攻撃からほぼ1年が経過したが、英国のNHSは未だ行動計画に合意していない。
昨年6月に2万件の病院の予約と手術がキャンセルされた事件を受けて、NHSのサイバーセキュリティを強化するための22の推奨事項を含む教訓レビューが発表された。
しかし、実施計画はまだ合意に至っておらず、保健省は勧告にどれくらいの費用がかかるのか、いつ実施されるのか正確には把握していないことが会計委員会の報告書で明らかになった。
また、WannaCry の影響を受けた最大規模の NHS 組織のひとつであるバーツ・ヘルス NHS トラストを含む一部の NHS 組織は、サイバーセキュリティの向上に向けてまだ取り組むべきことがたくさんあるとも付け加えた。
国会議員らは以前、200のNHSトラストがサイバーセキュリティ耐性に関する現地評価に不合格だったと聞いている。
これは明らかに、NHSプロバイダーに対して「高いハードル」が設定されたためだが、一部のトラストは単にシステムにパッチを当てていなかったという理由で失敗した。これがNHSがWannaCryに対して脆弱だった主な理由だ。
同委員会のメグ・ヒリアー委員長は「ワナクライによって引き起こされた大規模な混乱は、NHSのサイバーセキュリティと対応計画における深刻な脆弱性を露呈させた」と述べた。
しかし、患者やサービス全般への影響はもっとひどいものになっていた可能性があり、政府は将来のサイバー攻撃への備えに時間を無駄にしてはならない。サイバー攻撃はもはや日常茶飯事であると政府は認めている。
「したがって、WannaCryからほぼ1年が経過したにもかかわらず、そこから得られた教訓を実行する計画がまだ合意に至っていないことは憂慮すべきことだ。」
NHSトラストの大半がサイバーセキュリティ評価に不合格だったと英国議員が報告
続きを読む
彼女はさらにこう付け加えた。「NHSトラストの一部がWannaCryに対していかに準備不足だったかに驚いている。多くの場合、他のIT機器や医療機器への影響が予想されるため、無防備なシステムにパッチを当てるよう警告しても行動を起こさなかったのだ。」
この情報が収集され理解されなければ、サイバーセキュリティへの投資を適切に行うことはできないと彼女は述べた。
「やるべき重要な仕事はたくさんあるので、国務省には6月末までに最新情報を提供するよう強く求めます。」
「一方で、今回の事件は政府全体への警告となる。より悪質で高度な攻撃によってもたらされる可能性のある壊滅的な被害を予感させるものだ。そのような事態が起こった時、英国は備えを怠ってはならない。」
ワナクライ攻撃の直後、保健省は主要な外傷センターや救急車トラストにおける主要な脆弱性に対処するために2,100万ポンドの資金配分を再優先し、さらに2,500万ポンドをサイバーセキュリティリスクに最も脆弱な組織を支援するために2017/18年度に割り当てた。
報告書は、保健省に対し、ワナクライによるNHSへの被害額に関する全国的な推計と、国家機関がサービスと財務リスクに応じてどのように適切な投資を行うべきかについて、6月までに最新情報を提供するよう勧告した。
また、NHSとその独立機関は、NHS組織のセキュリティ対策とIT資産を完全に理解することで、サイバーセキュリティを向上させ、攻撃に備えるために地方組織を支援すべきだとも述べた。
さらに、NHS は、サービスへの中断を最小限に抑えながらローカル システムを更新する方法を確立し、すべての IT サプライヤーが認定されていること、およびサイバー攻撃から NHS を保護するための標準条件がローカルおよび国の契約に含まれていることを確認し、ローカルおよび国の労働力計画に IT およびサイバー スキルに重点を置く必要があります。®
