<aside>
📢 20211031 ランサムウエア感染 (プラグインBLOG掲載)
【BLOG】半田病院ランサムウエア感染 身代金支払わず電子カルテ再構築
【BLOG】徳島県つるぎ町立半田病院 ランサムウエア感染 調査報告書公表
【BLOG】半田病院 身代金の支払いに応じた疑い
</aside>
20220607 調査報告書公表
<aside>
📢 起きるべくして起きしてしまったインシデント。
⇒既存の事業継続計画を見直し、サイバーセキュリティインシデントも含めた上で、事業継続計画が機能するようにすべき。
⇒システムの正常動作を優先するあまり、提供事業者からセキュリティレベルを下げる指示や対応が行われていないか確認すべき。
⇒電子カルテシステムは完全に閉域網ではなく、間接的にインターネットと接続されたネットワークであることを認識すべき。
⇒今回のインシデントは対岸の火事ではなく、同様の医療機関、自治体などの公的機関、企業規模関係なく全ての事業者、そして政府機関も、今回のインシデントから学び、改善していかなければならない。
</aside>
https://www.handa-hospital.jp/topics/2022/0616/index.html
コンピュータウイルス感染事案有識者会議調査報告書
コンピュータウイルス感染事案有識者会議調査報告書
コンピュータウイルス感染事案有識者会議調査報告書
<メモ>
- 発生から緊急処置、原因調査、再発防止検討まで一覧の流れを時系列に詳細に記載したもの。
- 重要な登場会社⇒ A社:システムベンダー、B社:A社紹介の修復会社、C社:電子カルテ事業者である電子カルテベンダー
- 「3.2 事案対応の姿勢」まず災害対策本部を設置し、「災害」相当と判断したことが功を奏した。
⇒【教訓】ウイルス感染は、事業継続に重大な影響を及ぼす地震等の災害と同等レベルという認識を持つべし。
- 「3.2 事案対応の姿勢」において、最初に病院事業継続のための基本方針を定めた、とあり、この①~④がわかりやすくてよい。優先順位をつけて対応するためには必須。
- 「3.3 事案対応の経緯」において、非常に詳細に活動が記録されている。とても参考になる。
⇒【教訓】「経時活動記録(クロノロジー)」重要。これは、訓練しておくべき。
- 「3.4.3 調査結果 3.4.3.1 初期侵入」消去法的であるが「VPNのみが侵入経路」との結論。FortinetのVPN装置の脆弱性について警告されていたが放置していたとのこと。システムベンダーの対応不備の問題が指摘されている。
⇒【教訓】脆弱性情報の検知、対応は必須。どこが責任を持っているのか?契約に含まれているか確認すべし。
- 「3.4.3 調査結果 3.4.3.2 内部侵入」において、フォレンジックを行う企業(B社)への苦言を呈している。ネットワークに接続してのウイルススキャンを指示するとか…確かに不思議。
- 「3.4.3 調査結果 3.4.3.3 内部侵入(詳細)」Windows7においてランサムウェアの感染が確認された。古いOSの危険性と電子カルテを動かすために必要であったというジレンマ(どこの病院も同じかと)。またPC等の設定について問題多数発覚。
⇒パスワードは最小桁数が5桁。ロックアウト機能なし。アドミニのIDは変更されていない。共通または類似性の高いアカウントやパスワード。
⇒【教訓】ID/パスワードの管理はセキュリティの基本
⇒ウイルス対策ソフトを導入したが不具合があり動作させていなかった。
⇒”閉域網の安全神話、思考停止”と厳しい指摘。
⇒【教訓】閉域網を過信しない。
- 「3.4.3.5 データの復旧」2018年までにオフラインで保管していたバックアップデータが感染を免れており、復旧できた。もしくは、B社が何らかの手段でデータ復元に必要な手段を入手した?(定かではない)
⇒【教訓】バックアップはオフラインが必須。
- 「3.4.5.1 電子カルテシステムに関する双方の意識」A社とC社の責任の押し付け合いが読み取れる。責任を明確にしておく必要あり。
⇒【教訓】責任不明確、どこが責任を持っているのか?契約に含まれているか確認すべし。
- 「3.4.5.2 電子カルテシステムの動作環境」A社とC社双方ともにアンチウイルスソフトの稼働に関するサポートは範疇外とのこと!(なんと)
⇒【教訓】責任不明確、どこが責任を持っているのか?契約に含まれているか確認すべし。