アメリカでも日本と同様に、地方の中小病院は特にサイバーセキュリティの確保に苦労しているという話。(ソース)
レポートの内容
このレポートは、
アメリカの議員が、プライマリケア・救急医療・診断サービスなどの入院・外来ケアサービスを提供する「非都市化」地域にある医療施設向けに、包括的なサイバーセキュリティ人材育成戦略を策定するよう義務付ける法案(地方病院サイバーセキュリティ強化法)を提出したとのこと。
「病院や医療システムに対するランサムウェア攻撃は、機密の医療情報を危険にさらし患者ケアを妨害するものであり、これを阻止する必要がある。残念ながら小規模な地方の病院ではこうした侵害を防ぐためのサイバーセキュリティ防御やスタッフに投資するためのリソースが不足していることが多い」
との内容です。
何しろランサムウェア攻撃を行う犯人側は、ハッキングの侵入窓口を選定する際には、闇サイトに売られている、脆弱な機器のメンテナンスを怠っている病院(を含む企業)のリストを買うだけです。
侵入窓口情報の販売専門の業者を、イニシャル・アクセス・ブローカーと呼びます。
そのリストに含まれてさえいれば、田舎の病院だろうが都会の病院だろうが関係なく同じ確率で狙われる訳です。
しかしながら一方で、田舎の病院には、セキュリティ専門家が居ない、その専門家を雇う金銭的余裕もない、かといって自分たち自身にも十分なセキュリティ知識が無い。
つまり、
金が無い、人が居ない、知識がない。
の三重苦に置かれています。
なので一度狙われると、リカバリー能力の乏しい地方の中小病院の被害は大きくなりがちです。
このあたりの「地方の中小病院はランサムウェア攻撃に特に弱い。」という条件は日米ともに同じみたいです。
感想
このアメリカの法案では特に田舎のセキュリティ人材育成を義務付けることになっていますが、日本でも同じような法案が出てくるのでしょうか。
コメント