大阪の大阪急性期・総合医療センターがランサムウエアによる被害を受けて、医療界ではセキュリティについての話題が絶えない。
ちょうど一年前、(2021年10月)徳島県のつるぎ町立半田病院が被害にあったが、それに続いて衝撃的な事件である。
当院も他人事ではないと感じており、セキュリティの専門家から話を聞く機会を得た。
最近は「セキュリティ診断」というサービスも展開されており、施設のセキュリティーのレベルはどうなのか?
どこにセキュリティ上の問題が潜んでいるのかを診断してくれる。
変な話だが、保険と同じで『安全』を商売にしたビジネスが注目を浴びている。
世界的に有名なCISCOという企業の人と話す機会を頂いたのだが、専門家に言わせると、『レベルの高いハッカーに狙われると、セキュリティは100%突破される』そうだ。
100%という確率に衝撃を受けた。
その企業はホワイトハッカーのチームを作っており、仮想的にハッキングをやるそうなのだが、どの企業のセキュリティも突破できると言っていた。
セキュリティを高めることに意味があるのか?
と思ってしまいそうだが、セキュリティを高める要素というのはたくさんある中で、できるだけ被害を最小限にできる仕組みづくりが必要であると言われていた。
- 最新のOS(オペレーションシステム)、パッチを当てる
- セキュリティソフトの活用
- ファイアウォール、VPN(Virtual Private Network-一言で言えば、安全にネットワークを使う仕組み)
など、機器にお金をかけるのはもちろんだが、
他にも『スタッフのセキュリティ意識の向上』や、『問題が起こった時の対処スピード』などもセキュリティを高める要素になる。
近年は『医療DX』という言葉が普通に使われるようになっているが、パソコンを使って働く以上、セキュリティの問題は避けられないものであり、日頃から心構えをもって接する必要がある。
私は頭のどこかで他人ごとに考えていた。
ハッカー集団に狙われると防ぐのは難しいだろうが、「何とか防げるのでは?」と安易に考えていた。
繰り返しになるが、技術を持ったハッカーが狙えば、100%突破できるのである。
私たちができることは、万が一に備えることしかできないのかもしれない。
- 面倒でもパスワードを定期的に変える
- ソフトウェアを最新に保つ
- 仕事の影響を最小限にする準備を行う(紙カルテの準備をしておく)
年一回の避難訓練のように、年一回のサイバー攻撃訓練を行う必要があるのかもしれない。
半田病院の報告書はこのサイトにわりやすく書いてあった。
VPNの脆弱性だけでなく、Windows7を搭載する端末の使用、マルウェア対策ソフトンの使用を止めていた・・・など、個人パソコン並みに危険な状態であったことがわかる。
https://xtech.nikkei.com/atcl/nxt/column/18/00001/06927/
大阪急性期・総合医療センターの復旧は1月頃になるとのことである。
10月31日に被害に合い、復旧は1月だそうだ。
半田病院が2021年10月31日未明から止まり、電子カルテを再稼働させたのが2022年1月4日であった。
感染したのがちょうど1年(同じ日)というのが気持ち悪いが、3ヶ月は停止させられてしまうという事は知っておくと良いのかもしれない。
3ヶ月間、別の方法で業務を乗り切る仕組みづくりを考えておくことは、BCP(Business Continuity Planning)を作る上でポイントなのかもしれない。
他人事と思わずに、何かしらの準備を行っておきたい。