英国でサイバーセキュリティの耐性についてこれまでに評価を受けた200のNHSトラストのすべてが現地評価に不合格だったと、会計委員会の議員らは昨日知らされた。
信託は合計236件あります。残りの36件の調査がいつ行われるかについては、まだ予定が決まっていません。
昨年6月に行われた「NHSへのサイバー攻撃」と題されたWannaCry事件に関する公聴会で、NHSデジタルの副最高責任者ロブ・ショー氏は、合格点を得られなかった機関がサイバーセキュリティに関して何もしていなかったという事実を否定した。
NHSの技術チーム?WannaCryの醜い事後調査に涙、保健省が計画を概説し笑顔
続きを読む
彼はこう述べた。「NHSのサービス提供者が、このように複雑な環境において、私たちが評価するサイバーエッセンシャルプラス基準に到達するには、かなりの労力が必要です。ハードルは非常に高いです。中には、パッチ適用だけで失敗したところもあります。Wannacryの脆弱性はまさにパッチ適用だけでした。」
同氏はさらに、「かなりの量の作業を必要とする人もいるが、そのうちの多くは、その要件を満たすための旅の途中にある」と付け加えた。
ショー氏は、NHSデジタルは「追加資金が得られたので、最もリスクの高い人たちを再検査するかどうか検討する必要があるかもしれない」と述べた。
NHS改善局の最高情報責任者ウィル・スマート氏は、事件以来、サイバーセキュリティの向上に2,100万ポンドが投資され、さらに今後2年間で国家システムと耐性を向上させるために1億5,000万ポンドが計上されていると述べた。
同氏は「サイバーセキュリティに対するさらなる優先順位の変更と追加投資が検討されている」と述べた。
スマート氏はセキュリティ上の懸念を理由に、依然として高リスク状態にある組織の数については言及を避けた。しかし、WannaCryの被害を受けていないものの、対策に甘んじている組織こそが「最も懸念している」と述べた。
スマート氏は先週、ワナクライ事件から得られた教訓を基に22の提言をまとめたレビューを発表した。議員らに対し、NHS全体に適切な基準を設けて回復力を強化し、再発防止のための適切なガバナンスを確立することが「最優先事項」だと述べた。
会計検査院は10月、NHSは「コンピューターを保護するための簡単な手順さえ踏んでいれば」ワナクライを防げたはずだが、事件が起きる1年前にサイバー攻撃の被害に遭う可能性があるというケアサートからの警告を無視したと述べた。
保健省事務次官のクリス・ウォーマルド氏は、サイバー攻撃に対応して国家的な対応戦略がテストされる予定だったが、NHSがそれを試す機会を得る前に事件が発生したと述べた。
WannaCry攻撃以前、保健省はNHSの集中型サイバーセキュリティを強化する作業を進めていた。
NHS Digital の CareCERT には、サイバー脅威に関する警報を放送し、インシデントに対処するためのホットラインを提供し、ベストプラクティスを共有し、将来のサイバー攻撃から保護するためにオンサイト評価を実行するシステムがあります。
NHSイングランドは、2017~18年度のNHS標準契約に10のデータセキュリティ基準を組み込み、サイバー脅威への意識を高めるために理事会と地域チームにトレーニングを提供していると述べた。®
