専門家のQ&A:医療は増大するサイバー脅威にどのように備えることができますか?

この Q&A はもともと ヘルスケアグローバル.エラ・トンプソンによるインタビュー。

HIPAA Journalによると、医療におけるランサムウェア攻撃は2022年上半期に328%増加しました。また、 IBM Cost of a Breach Report 2022によると、医療における侵害の平均コストは$10.1mであるのに対し、他の業界の平均は$4.35mです。

医療業界はサイバー攻撃の主要な標的ですが、組織はどのように備えればよいのでしょうか?

イルミオのインダストリーソリューションマーケティングディレクターであるトレバーディアリング氏に、医療機関がサイバー脅威に対してどのように積極的に対応できるかについて話し合いました。

4月17日から21日までシカゴで開催されるHIMSS 2023のブース2678でイルミオに参加してください。今すぐ登録してください。

なぜヘルスケアセクターがサイバー攻撃者の標的リストのトップにあるのでしょうか?

医療は、患者の福祉、さらには命を危険にさらす可能性があるため、サイバー攻撃の主な標的となっています。

サイバー犯罪者は、常に報酬のチャンスが最も高い企業を標的にします。彼らは、医療提供者が患者の安全を危険にさらすダウンタイムを許容できないことを知っており、支払いを迅速に行う可能性が高いです。そのため、この分野は、特にここ数年、 ランサムウェア攻撃 の主な被害者となっています。

しかし、組織が注意する必要があるのはランサムウェア攻撃だけではありません。医療提供者は、ダークウェブ市場の商品である患者に関する大量の個人データを保有しています。このデータは、より標的を絞った攻撃、脅迫、詐欺を助長します。

また、コネクテッド医療機器の台頭により攻撃対象領域が拡大したため、この業界はより魅力的なターゲットとなっています。また、経済の不安定さと公共支出の圧力により、多くの医療提供者には、他のセクターのより堅牢なサイバー戦略に匹敵する予算が不足しています。

ランサムウェア攻撃は具体的にどのように展開するのでしょうか?

ほとんどのランサムウェア攻撃は同様のパターンに従います。ランサムウェア攻撃者は、攻撃する前に組織への初期アクセスを取得し、ネットワーク内に(一度に最大数か月間)隠れます。彼らは組織のネットワーク上をこっそり移動し、ランサムウェアを展開する前に貴重なファイルやミッションクリティカルなシステムにアクセスするためのより高いレベルのアクセス権限を取得し、ファイルやアプリケーションを効果的にロックダウンします。組織が感染拡大を食い止めることができない限り、すべての活動がすぐに停止するでしょう。

医療提供者にとって、最悪のシナリオは、患者のバイタルを監視し、治療を自動的に実施するためのセンサーなどの医療機器の切断である可能性があります。あるいは、重要な患者記録や予約管理システムをロックし、組織を事実上麻痺させる可能性があります。

また、データの暗号化と流出を組み合わせた「二重恐喝」戦術を使用した攻撃も増えています。攻撃者はデータのコピーを作成して暗号化し、被害者が身代金を支払ったとしても機密情報を漏洩または販売すると脅迫します。

医療機関はどのようにしてサイバー脅威から身を守ることができますか?

組織は、攻撃の発生を防ぐために多くのリソースを投資するのをやめ、代わりに影響の管理に投資する必要があります。これは、攻撃が発生することを受け入れ、侵害の封じ込めを通じて影響を軽減することを意味します。

サイバーレジリエンスを向上させるための最良のセキュリティモデルの1つは、ゼロトラストです。この戦略は、「決して信頼せず、常に検証する」という信条に基づいており、適切な資格情報を持っているという理由だけで、ファイルやアプリケーションへのアクセスを自動的に信頼されるユーザーは存在しないことを意味します。

通常、ゼロトラストは、ゼロトラストネットワークアクセス(ZTNA)、ゼロトラストデータセキュリティ(ZTDS)、 ゼロトラストセグメンテーション(ZTS)の3つの柱で構成されています。後者は侵害封じ込めに重要であり、ネットワークを複数の密閉されたセクションに分割し、ゼロトラスト原則がゾーン間の移動を管理します。

Enterprise Strategy Group(ESG)の調査によると、ゼロトラスト戦略を採用している組織は、年間平均5回のサイバー災害を回避し、アプリケーションのダウンタイムを平均2,000万ドル節約できることがわかりました。また、 ビショップ・フォックス が実施した攻撃エミュレーションでは、イルミオZTSは10分以内に攻撃者を無効にすることができ、エンドポイントの検出と対応(EDR)のみの4倍の速さであることがわかりました。

なぜ医療業界は、攻撃を防ぐのではなく、隔離することに取り組むことに考え方を変える必要があるのでしょうか?

近年、攻撃の動機は、データの盗みに焦点を当てることから、可用性に影響を与えることへと大きく変化しています。これは、サイバーセキュリティがもはや単なるセキュリティ問題ではないことを意味します。これは、運用上のダウンタイムの延長、経済的および風評上の損害、医療にとっては人命の損失の可能性などの影響を伴う運用上の問題です。

攻撃は現在、最大限の混乱を引き起こすことを目的としており、脅威アクターは防御機関が検出する前に重要なシステムやデータに到達できることを期待しています。攻撃の数も増加しており、サイバー犯罪者はその目的を達成するためにますます洗練された戦術を使用しています。これは、予防だけではもはや実行可能な戦略ではないことを意味します。

ネットワークがどれほど安全であっても、侵害は避けられません。これが「侵害を想定する」メンタリティと呼ばれるものです。これは、セキュリティの専門家にとって非常に敗北主義的な態度のように思えるかもしれません。しかし、この考え方こそが、侵害が深刻な災害になるのを防ぐのです。組織は、攻撃者が防御を突破することを受け入れた場合、脅威を封じ込め、影響を最小限に抑えるための対策を講じることができます。

規模や予算に関係なく、医療機関がセキュリティ体制をすぐに強化するために実行できる手順について教えてください。

組織が取るべき最初のステップは、すべてのシステムの通信をマッピングすることです。攻撃者が組織に侵入すると、最も価値の高い資産に移動しようとします。これは、患者データまたは医療機器である可能性があります。組織は、どのシステムが通信できるか、どの制限を設けるかをどのように通知するかを特定する必要があります。

次に、組織はこの知識を使用して、資産またはアプリケーションが直面するリスクを特定し、定量化する必要があります。これは、各システムの脆弱性と、他のシステムやデバイスに接続する際に直面するエクスポージャーに基づいている可能性があります。

最後の手順は、最小特権に基づいて制御を適用して、リソース間のアクセスを管理および制限することです。不正な通信を阻止することで、攻撃を 1 か所に封じ込めることができ、攻撃者が重要な資産やサービスに到達するのを防ぐことができます。このアプローチは、医療機器、データセンター、クラウド、エンドポイントにも同様に適用できます。

これらの手順に従うことで、医療インフラの侵害に耐性が高まり、組織は攻撃を受けている間でも、サービスを停止したり患者を移動させたりすることなく、サービスを維持できるようになります。

今すぐHIMSS 2023に登録し、ブース2678でイルミオに会いましょう。

イルミオZTSが医療機関の保護にどのように役立つかについて、詳しくはこちらをご覧ください。

無料のデモと相談については、今すぐお問い合わせください。