ヘルスケアインフラストラクチャに対するサイバー攻撃の数と質はますます高まっており、ますます成功しており、予防と対応の戦略を改善する必要性が前面に出ています。 すぐに注意を払い、予算レベルでも行動を起こす必要がある主な技術的および組織的分野について簡単に説明します。
現在、医療機器はデジタルによって普及しているため、この理由でますます危険な攻撃にさらされています。適切に保護する必要があります。 健康分野では、処理されるデータの大部分は機密として分類され、さまざまなタイプのユーザーによってさまざまな方法で使用されるため、予防および保護措置によって管理および保護する必要があります。 以下では、医療機関がサイバーセキュリティリスクの防止と対応の効果を高めるのに役立つマネージドセキュリティサービスの問題についても取り上げます。高度なスキルは、構造自体に過度の負担をかける影響なしに取得することは困難です。
サイバーリスクの進化と現在の状況
2019年、アラバマ州の女性は、前日にサイバー攻撃を受けたことを彼女に通知しなかったとして、地元の病院を訴えました。 女性によると、出産中、医療スタッフは介入中に必要なデジタルツールを完全に利用できず、これが新生児の死亡前とその後の死亡の原因となったとのことです。 病院によると、発作は出生の前日に起こったという。 検察は、女性が攻撃について知らされていれば、別の構造を選択して、彼女の決定を変えることができたかもしれないと主張した。
2020年XNUMX月に発生した別の重要なエピソードでは、ドイツでのサイバー攻撃による女性の死亡が見られます。 ランサムウェア型の攻撃により、デジタル受信サービスが利用できなくなったため、女性は別の病院に移送されることを余儀なくされました。 遅れは彼の死を引き起こした。
イタリアでは、これまでこの種の事例がなかったとしても、最先端の技術はそれほど有利ではないようです。
正確には、2021年の間に、ヘルスケアの世界に影響を与える30ものインシデント、攻撃、プライバシー違反がありました。Exprivia Cybersecurity Observatory。 今年の初めに多数の攻撃が記録されましたが、インシデント(成功した攻撃)はそれほどではありませんでした。
安全性の面で肯定的なデータにもかかわらず、良いニュースはそこで終わります。 実際、2年第2021四半期と3年第2021四半期の間に、攻撃と事故のギャップは大幅に縮小しました。
データを詳細に分析すると、このセキュリティインシデントの増加は必然的に、ますます高度な攻撃を実行するサイバー犯罪者の注目が高まり、第二に、被害者となるユーザーやオペレーターの注目が低下していることを示しています。
サイバー犯罪に加えて、保証人によって報告されたプライバシーの侵害は非常に重要です。 今年の前半には12件の報告があり、この側面は確かに犯罪活動にまでさかのぼることはできませんが、組織的および構造的な観点から強い反省を示唆しています。
によって収集および分析されたイタリアのデータに関する最後の検討サイバーセキュリティ天文台 di エクスプリビア、それは構造と健康システムに対して使用される攻撃技術に関係します。 既知の脆弱性を悪用し、致命的な結果をもたらすフィッシングキャンペーンを追跡する手法が主流です。
一方では、コミュニティの幸福はヘルスケアへの投資の必要性から切り離すことはできませんが、組織の観点からますます効果的になり、市場で利用可能なテクノロジーを最大限に活用します。一方、これらのメリットが、それに関連するITリスクの継続的な評価を伴う積極的なデジタル化プロセスを経ない可能性があることは考えられません。
デジタルサービスの使用が増えるほど、これらのサービスが攻撃やその結果として発生するインシデントにさらされる可能性が高くなります。
したがって、私たちが所有するデータに照らして、最も注目すべき分野と関連する提案が続きます。
サイバー攻撃に関連するリスクの認識
攻撃者は非常に高度な技術を悪用する機会がありますが、この事件は多くの場合、専門家にとっては非常に些細なフィッシングキャンペーンによって行われた罠の犠牲者になることによって引き起こされますが、職務や専門分野が異なる担当者にとってはそれほど明白ではない可能性があります。 具体的には、ITを専門とするスタッフは、患者と直接または間接的に接触する人(医師、看護師など)の最小割合です。 したがって、フィッシングがヘルスケアで使用される攻撃方法の大部分を占めることは当然のことです。
したがって、意識向上プログラムに投資する必要があります。 人間のファイアウォールは、多くの場合、サイバー犯罪に対する最も効果的な障壁です。
意識度の検証
意識を高め、意識を獲得した後の次のステップは、アプローチの質の管理に投資することです。したがって、さまざまな意識プログラムがどのように改善をもたらしたかを評価します。
認定
スキルの認定は、ヘルスケアの分野でも無視できない業界のベストプラクティスです。 意識向上プログラムに適切なプラットフォーム(たとえば、Open Badge 2.0)で認定を取得させることは、この結果です。
サイバーレンジ
個人の意識がどれほど高く、医療機関がサイバー攻撃を管理する準備ができているかを確認するために、シミュレーションを行い、人口の行動を観察することができます。 サイバーレンジとして知られるこの慣行は、IT環境や、アドホックに開発されたフレームワーク(TIBER-EUなど)を使用できる他の業界では一般的ですが、ヘルスケアの世界に適応させる必要があります。
デバイスの更新とゼロトラスト
ヘルスケア業界で成功した攻撃のほとんどは、既知の脆弱性に追跡可能であるため、回避可能なインシデントです。 ヘルスケアの境界は非常に広範であり、個々のITデバイスが頻繁に使用されるため、物理的な制御を監視することは困難であるため、これは驚くべきことではありません。 提供されるサービスの多様性のために、ポリシーを識別して実施するインフラストラクチャの単一の管理を持つことは、サービスにアクセスするスタッフの異質性が非常に困難で複雑です。
また、デジタル化はサービスとデバイスの強力な相互接続を意味するため、XNUMXつの誤動作は、明らかに事故に関与していない患者に問題を引き起こす可能性があることも付け加えなければなりません。
ドイツでは、患者の死亡は患者受付サービスへの攻撃の結果であり、それは可逆的であるため、明らかに非常に重要ではないように思われるかもしれません。
デジタルヘルスデバイスの保護
ヘルスケアと医学は、より一般的に、患者の診断、治療、および管理をサポートする電子ツールをますます見ています。 インテリジェントデバイス(IoT)の使用はこれの証拠です。
これらのツールは、病院でますます多くなり、多くの場合患者に直接委託されており、一方では医療従事者の仕事を質的および量的に改善する機会を提供し、他方では残念ながら、医療施設をサイバータイプにさらしています。攻撃。これは非常に危険であり、人や物に重大な損害を与える可能性があります。
IoTデバイスは、分散型サービス拒否(DDoS)攻撃の基盤として使用できるため、サイバー犯罪者にとって非常に魅力的です。 それだけでなく、悪意のある人が病棟全体のサービスを中断して、XNUMXつまたは複数の身代金を要求する場合がよくあります(いわゆる二重摘出)。
したがって、これらのリスク要因に応じてITおよびネットワーク構造の設計を開始し、適切な防御手段を予測することは避けられず、必要です。
保護が不十分なデバイスが、セキュリティポリシーが異なる人や他のデバイスと接触するのを防ぐために、ネットワークマイクロセグメンテーション手法も使用したゼロトラストポリシーを採用する必要があります。
プライバシーとデータ保護
サイバーセキュリティについて話すとき、サービスが中断される可能性について言及することがよくあります。 しかし、イタリアでは、健康の世界でのセキュリティインシデントよりも多くのプライバシーに関連するデータ侵害があったことを忘れることはできません。
これに加えて、犯罪者はサービスの中断ではなくデータの盗用に関心を持っていることが多いという事実があります(最近、最初にデータが盗まれ、次にデータベースが暗号化されて恐喝できるようにする二重恐喝技術も開発されました被害者はデータを復元するだけでなく、データを返すこともあります)。
実際、データがサービスの実行の基本である場合、ヘルスケアでは、データは闇市場で非常に重要で魅力的です。 より一般的には、データは機械が患者を生き生きとさせるのに役立つため「重要」ですが、「機密」でもあります。 一方ではデータを悪意のある干渉から保護する必要がある場合、他方では高レベルのプライバシー保護を保証する必要があります。
このため、ストレージと送信の両方で適切な暗号化技術を採用し、それらにアクセスできるユーザー/システムと役割を注意深くプロファイリングし、最終的に識別可能なアクティビティを継続的に制御するなど、さまざまなレベルの保護が必要です。組織の外部および内部の関係者からの不正行為。
医療部門における個人データの特殊性は、特定の管理戦略を示唆しています
健康データは、ユーザーの少なくともXNUMXつのマクロカテゴリと異なるサービスによって同時に処理されることを特徴としています。
- それらは明らかに、診断および治療活動を管理するために医療スタッフを支援するために臨床的観点から使用される可能性があります。
- 同時に、データは、運営、コスト、設備を適切に管理できるようにするために、病院の運営構造をサポートするためにも使用されます。
- 最後に、健康データは、統計的または分析的な目的で研究の対象となることが多く、この場合も特定の使用特性があります。
実際には同じデータに収束するこれらのXNUMXつのアプローチでは、存在する情報のセット全体にアクセスする必要はなく、同じ方法でアクセスする必要もありません。
たとえば、科学的目的の治療は、他の種類の治療に不可欠な人々の個人識別データにアクセスする必要はおそらくないでしょう。逆に、管理および運用上の治療は、一般に、側面について特に詳細に説明する必要はありません。特定の人に関連する情報の医療分析ですが、より一般的には、テスト自体の結果に関係なく、さまざまなテストの数や種類などの定量的要因で停止します。
これらの考慮事項は、これらの使用の違いを考慮し、データとそのアクセスレベルの効率的かつ効果的なセグメンテーションを可能にするデータ保護およびアクセス戦略を直ちに採用することを示唆しています。
このため、データベースの計画段階から、すべての用途ですべての情報が必要になるわけではないため、機密情報を保護するための戦略を検討することをお勧めします。 これは、暗号化のモノリシック管理よりも最初は複雑に見えるかもしれませんが、実際にはデータのライフサイクル全体とアクセス制御の必要性を考慮すると、個々のアクセスプロファイルの保護が容易で、公開するデータが少ないため、そうではありません。 。
暗号マスキングの予防的分離と粒度は、さまざまな用途に応じて独自の保護保持戦略を設計し、使用中の情報を少なくして、すべての制御部分と処理結果の保護を簡素化する上で重要な要素です。
健康安全の組織
ヘルスケア構造は、個人の保護と幸福を目指しているため、主にその地域で広く組織化された組織です。 これは、それらが領域全体に分散され、アジャイルである傾向があることを意味します。
もちろん、この機能は、サイバーセキュリティ管理のコンテキストでいくつかの課題をもたらします。これは主に、役割を果たし、可能な限り最高の効果で保護するために必要なスキルとセキュリティ構造を、小規模から小規模に整理することが難しいためです。領土構造。現在のセキュリティセクターのスキルが本質的に不足しているため、またとりわけ明らかな経済的および組織的考慮事項のために、中規模。
したがって、サイバーセクターにとってより重要な高度に専門化されたスキルの共有と使いやすさを優先する組織戦略の採用を評価して、より多くの構造でより効率的かつ経済的に共有できるようにすることが適切であると考えられます。
したがって、マネージドサービスに基づくアプローチは、過度の経済的負担を負わず、内部の数字を強制することなく、必要に応じて、セキュリティセクターの多くの異なる特定のセクターで最高のスキルにアクセスできるため、大きな関心を集めています。知識とスキルの面で過度のコミットメントのトレーニングコースに。
サイバーセキュリティは構造的に絶えず進化しており、新しいテクノロジーの採用により、新しいアプローチと新しい戦略が採用されています。 IT構造に不可欠なサイバーセキュリティスキルをすべて身に付けることができるのは、病院のようなアジャイル構造であるとは考えられません。
ファビアーノヴィンチェンツォマレルバ (Expriviaセキュリティ研究者)
