スイスでの話。
サイバー攻撃により牛の搾乳ロボットを含むシステムがハッキングされ、身代金を要求されましたが支払われず、最終的に牛が死亡する事態となりました。
事件概要
以下、こちらの記事からの要約です。
- スイスのZugo州Cham市域にある農村Hagendornで発生。
- 70頭以上の牛を飼育する酪農家Vital Bircherさんは、2023年11月のある午後、搾乳ロボットからのデータが届かなくなり、最初はシステム障害を疑った。
- そこでシステムの製造元に連絡した所、専門家の調査でハッキングされたことが判明。
- データはすべて暗号化されており、身代金として1万ドルを要求された。(これは支払わなかった)
- 古いバージョンのソフトウェアを使用して、少なくとも前年のデータ(牛の名前、生年月日など)までは復元できた。
- しかし最新データが無い為、特に重要な牛の妊娠期間の情報が分からなくなってしまった。
- このため胎内死亡した仔牛を宿した母牛への適切な処置が遅れてしまい、最終的にその母牛まで安楽死させざるを得なくなった。
- 復旧費用を含め、農家は約 6,000 フラン(102万円)の損害を受けた。
感想
「病院がハッキングされ患者が死亡」する事態よりはマシではありますが、このような理由で死なねばならなかった牛の運命を考えると切なくなります。
畜産業界と医療業界の類似点
サイバー攻撃でシステムが止まっても、命はそれを待ってくれないという共通点があります。
サイバー攻撃が検知されると、システムを止めてフォレンジック作業を行い、その後バックアップからの復旧作業が標準的な流れとなります。システムの大きさにもよりますが全工程で数ヶ月かかったりすることもあります。
でも作業終了まで命は待ってはくれません。
システム停止下でもそれを代替する何らかの応急対処を現場で続けないと刻々と命が失われていきます。
このことは畜産業界も医療業界も命を扱う業界として共通です。
畜産業界と医療業界の相違点
医療業界の場合、電子カルテが止まった場合は紙カルテで対応するマニュアルになっています。
命が失われないようにするため紙カルテを使った大規模な人海戦術が行われます。
電子カルテに比べ、非効率ですが致し方ありません。
しかし最近の若い人(当院では経験年数16年以下の人)は紙カルテの時代を全く知らないので一抹の不安が残りますが。
人海戦術に投入できる人員の多さという点では、医療業界は畜産業界に優っています。
医療業界は法律で一定以上の人員確保が義務付けられています。
逆に畜産業界では究極的に人員削減してしまうと、このスイスの例のように手が回らなくなって犠牲が出るということになります。
まあ、サイバー攻撃されなくとも、地震などの天災で電気が止まれば各業界とも同じ事態になりますけどね。
またIT機器には最初から大したことをさせすぎない、という選択もありかもしれません。
あるいはミッション・クリティカルな作業は人間を配置して冗長性をもたせておくとか。
まとめ
人員削減のためにITを導入すると、その削減された人員の少なさのせいで、いざという時に人海戦術が効かなくなります。
あるいはITで削減した人数分、サイバーセキュリティの人員を雇わなくてはならなくなり、全然人件費が削減されないとか。
つまり導入は人件費節約にはならないという話に落ち着きそうです。
一方で、このようなサイバーインシデントの場合は近隣の同業者が支援に駆けつけるという体制も必要かもしれません。一種の災害支援として平時から協定を結んでおく訳です。
命を守るためには、多くの命(=人手)が必要でsり、合理化にも限界があるということでしょうか。
しかしハッキングする側の人も、自分が急病や怪我で入院した時のことを考えないのかねえ。
付)サイバーセキュリティチェックリスト
ちなみに以下は、厚生労働省の「医療機関におけるサイバーセキュリティ対策チェックリスト」の要約です。
- 院内の全ての機器の台帳管理
- 業者の保守機器の確認
- 出入り業者の素性を確かめる(MDS/SDSの提出要求)
- アクセス権・アカウント・アクセスログの管理
- 最新パッチ・不要なプロセス停止
- 接続元制限
- 緊急時の連絡体制図
- バックアップ
- BCP策定
命を預かる業界では、少しずつでもこのような対策を取っていく必要がありそうです。
コメント