1/5付け日本経済新聞の記事です。「病院のサイバー対策強化 厚労省が指針改定へ 攻撃・漏洩恐れあれば報告」というタイトルで、2005年に策定した情報セキュリティのガイドラインを改定すると伝えています。しかし、今頃こんなことやってるのってどうよ、って感じです。
ガイドライン改定のポイント
記事では改定のポイントも4点まとめられているんですが、どれもこれも目新しさがないというか、これまでこの程度のことも盛り込めてなかったのかと驚かされます。攻撃を受けた際の報告や2要素認証の採用、ネットワークの監視システムの導入、標的型攻撃への対策などを求める内容です。
産業界の中でも特に医療界は取組みが遅れているようですね。病院のセキュリティに対する危機感は乏しい、という有識者の言葉も紹介されていました。そのうえ監督官庁である厚労省までがこの始末です。
ランサムウェアを仕込む奴らの目線
海外ではランサムウェアの餌食になる病院が後を絶ちません。日本は大丈夫だろうという意識はもう通用しません。仕掛ける奴らにとっては、身代金を払ってくれそうな相手なら何でもいいわけです。
ただでさえ人の命を預かっている病院。そこへ新型コロナ。。。新型コロナの重症者を受け入れている病院では人工肺などの医療機器がフルに使用されています。こうした医療機器もデジタル化されてるでしょうから、制御装置を停止させることで身代金を要求、なんてことも起こりかねません。
他の病気であっても一緒ではありますが、今は特にコロナ患者を死なせてしまうことはニュース性もあり、つけ込みやすい弱み。同じ日の日経には、「都立病院を重点拠点に」という記事もありました。14の都立病院、公社病院と説明されていて、コロナ患者を受け入れる病院(標的)まで報道され始めています。
今、日本の病院は非常に危険な状況にあると思います。厚労省の動きを待つことなく、サイバー対策を進めてほしいものです。