コンテンツ
出典:Paket / iStockphoto
取り除く:
個人を特定できる情報(PII)に影響を与えるデータ侵害は、誰かの生活を台無しにする可能性がありますが、重要な健康インフラへの攻撃は実際にそれを終わらせることができます。医療業界がサイバー攻撃からどのように防御できるかをご覧ください。
昨年、主要な政府および産業団体に対するサイバー攻撃が大幅に増加したことを考えると、世界は、その重要なITインフラストラクチャがどれほど脆弱かを痛感しています。しかし、ほとんどの侵害は財務記録やその他の個人識別情報(PII)の盗難に焦点を当てる傾向がありますが、医療提供者を標的とするインシデントが増えています。
悪意のあるコードや、ランサムウェアと同じくらい一般的なものでさえも、重要な医療インフラを標的にすると患者の命を危険にさらす可能性があるため、これはセキュリティ戦争における深刻なエスカレーションを表しています。現在まで、サイバー攻撃に直接起因する死亡はありませんでしたが、行動を起こす前に考えられないことが起こるまで待つことは、確かに業界の最善の利益にはなりません。 (この分野での攻撃の詳細については、ヘルスケア産業の成長するサイバーセキュリティ戦争を参照してください。)
厳しい年
おそらく、過去1年間で最も深刻な攻撃は、英国国民保健サービスを含む世界中の数千台のコンピューターに感染したWannaCryウイルスであり、その後すぐにメルクやニュアンスなどの主要な組織をシャットダウンするNotPetya攻撃が続きました。システムが数週間オンラインに戻らない。サイバーセキュリティ企業CynergistekのCEOであるMac McMillanがModern Healthcareに指摘したように、これらの攻撃は、「脅威アクター」が犯罪を犯すために患者の安全を危険にさらす意思があることを示しました。
これらの種類の攻撃の主要な脆弱性の1つはです。トロイの木馬プログラムは、多くの場合、受信者をだまして偽のWebリンクを開くことでITファイアウォールに侵入します。内部に入ると、データネットワーク内を自由にローミングし、データを盗んだり、コードを書き換えて、特定の時間または特定のプロンプトで重要なシステムをシャットダウンできます。実際、多くの組織は、不正なものの特定を支援するために設計された新しい従業員トレーニングプロトコルを実装しています。
しかし、潜在的にさらに深刻な脅威は、ヘルスケア業界が患者の転帰を改善しコストを管理する手段として最先端のテクノロジーを展開するという大きなプレッシャーにさらされているという事実にあります。残念ながら、これにより多くの組織は、セキュリティの脆弱性を完全に吟味する前に新しい機能を追加することになり、プロバイダーが認識していない攻撃ベクトルに対してオープンになります。 (新しいテクノロジーは常に新しい脅威を生み出します。詳細については、「サイバーセキュリティ:新しい進歩が新しい脅威をもたらす方法-およびその逆」を参照してください。)
その一例が、モノのインターネット(IoT)の出現です。これは、すでに病院やその他のプロバイダーに、大量の接続された救命装置であふれています。テックライターのZehra Ali氏によると、健康関連のIoTは、患者のケア、データ分析、コスト管理を確実に改善しますが、患者データを危険にさらしたり、デバイスの通信機能を妨害したりする悪意のある侵入の影響も受けやすくなります。これに対抗するには、プロバイダーはネットワークシステムへのアクセスを確認および承認し、IoTトラフィックフローに高度なデータ暗号化を実装するように細心の注意を払う必要があります。
自動予防
HIT InfrastructureのElizabeth O’Dowdによると、ヘルスケアのセキュリティを高めるのに役立つもう1つの効果的なツールは自動化です。重要な医療システムの保護に関しては、損害が発生した後に侵害を閉鎖することは選択肢ではありません。プロバイダーは、重要な段階に到達する前に異常を追跡および分離するために、詳細な可視性と高速データ分析によってのみ達成できる、より積極的な防御姿勢を採用する必要があります。自動化が成功するための重要な領域はネットワーク検証です。これにより、ヘルスケアネットワークと対話するすべてのエンティティがそのようにクリアされていることを継続的に確認できます。
同時に、人工知能(AI)と機械学習(ML)は、進化する脅威に直面してセキュリティ体制を適応させ、検出されなかった可能性のある隠れた脆弱性を識別する能力を大幅に向上させることができます。完全に自律的なセキュリティ環境という考え方はまだ少し先行きの悪いものですが、比較的近い将来、より少ないコストで、人間の関与が少なく、セキュリティが大幅に向上すると期待することは合理的です。
バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド
誰もソフトウェアの品質に関心がない場合、プログラミングスキルを向上させることはできません。
ただし、テクノロジーだけでは重要なシステムを保護することはできません。医療業界は、違反のリスクとそれが引き起こす可能性のある損害の両方を減らすために、幅広いベストプラクティスを採用する必要があります。 Campus Safety MagazineのZach Winnによれば、HiTrust Alliance、U.S。Computer Emergency Readiness Team(US-CERT)、さらにはFBIなどのグループはすべて、医療グループやその他の組織がサイバー対応を維持するのに役立つリソースを提供しています。しかし、おそらく最も詳細なプログラムは、リスク分析、記録保持、モバイルデバイス管理、およびその他の多くの要因に関するガイダンスを提供するAmerican Health Information Management Association(AHIMA)によるものです。覚えておくべき重要なことは、この戦いに単独で参加できる組織はないということです。同僚、専門家組織、法執行機関とのコミュニケーションを維持することに熱心であればあるほど、あなたは良くなるでしょう。
サイバー犯罪は現代の企業の現実であり、最も先を行くセキュリティ体制でさえも有効期間が限られていることは、今では明らかです。企業を防御するために使用できるのと同じ基本技術を使用して攻撃できます。また、量子コンピューティングでさえも高度な機能が公共の領域に入る速度は、今日の可能性を防ぐだけでなく、IT幹部が警戒し続ける必要があることを意味します脅威ですが、明日もそうです。
信用、身元、さらには誰かの命を救うことができます。健康関連システムがダウンした場合、損失はかけがえのないものになる可能性があります。