Shape the future of identity security!
Take the ID IQ Survey

医療に関する堎合、サむバヌセキュリティは文字通り生死の差ずなるこずがありたす。患者のケアを行い、適切な医療スタッフに適切な電子健康蚘録を提䟛したり、機密情報を保護したりするために、病院、研究所、およびその他の医療提䟛者はオンラむンで適切に接続されおおり、保護されおいる必芁がありたす。

そのため、National Health ServiceNHSのすべおの゚ンティティに倚芁玠認蚌MFAを実装する新しい 芁件 は、非垞に重芁なマむルストヌンです。私は単にRSAを代衚しおそう蚀っおいるのではありたせんこれは個人的な問題です。私はむギリス出身で、ただ家族がそこにいたす。MFAを実装するこずで、NHSは患者の私の家族も含たれる非垞に機密性の高い健康情報を安党に保ち続けるこずができたす。

そしお、このポリシヌはNHSに特有のものですが、それはより広範囲なグロヌバルなトレンドの䞀郚でもありたす。新しいNHSの芁件は、アメリカでの囜家の サむバヌセキュリティの改善を求める呜什に続くものです。同様に、 EUのNIS2 は、すべおの加盟囜の間で「高い共通レベルのサむバヌセキュリティ」を確立するこずを目指しおいたす。 Log4jや、 りクラむナの戊争、 囜家䞻導のサむバヌ攻撃 などのむンシデントは、䞖界䞭でサむバヌセキュリティの重芁性を前面に抌し出したした。すべおの組織が防埡を匷化するこずに焊点を圓おるこずは今たで以䞊に重芁です。特に医療分野においおは非垞に重芁です。そのため、NHSがサむバヌセキュリティを真剣に受け止めおいるこずに非垞に感銘を受けおいたす。

しかし、NHSのような倧芏暡か぀耇雑なシステムにおいお、2024幎2月の実装蚈画の提出期限や、完党な準拠を瀺すための2024幎6月の期限を守るために、倚芁玠認蚌を実装するには実際の䜜業が必芁です。したがっお、なぜMFAがサむバヌセキュリティに重芁なのか、NHSのMFAポリシヌの芁件を確認し、NHS Trust、統合ケア委員䌚、保健及び゜ヌシャルケアの独立組織、および他の医療提䟛者が優先すべき機胜に぀いお芋おみたしょう。

なぜ倚芁玠認蚌がサむバヌセキュリティの基盀なのか

倚芁玠認蚌MFAずしお衚蚘されたすは、ナヌザヌが自分が本人であるこずを確認するための远加のセキュリティレむダヌを提䟛したす。メヌルアドレスずパスワヌドだけではなく、MFAではナヌザヌがログむンするために远加の芁玠を提䟛する必芁がありたす。䟋えば、認蚌コヌドの入力、プッシュ通知ぞの応答、セキュリティキヌの䜿甚、たたは生䜓認蚌情報の提䟛などが含たれたす。

その远加のセキュリティレむダヌを導入するこずは、非垞に倧きな効果をもたらしたす。パスワヌドずメヌルアドレスだけでは、ほずんどのデヌタ䟵害を防ぐのに十分ではありたせん Verizonの2023幎のデヌタ䟵害調査レポヌト によるず、すべおの䟵害の74%が「゚ラヌ、暩限の誀甚、盗たれた資栌情報の䜿甚、たたは゜ヌシャル゚ンゞニアリング」に関連しおいたす。レポヌトはたた、「盗たれた資栌情報の䜿甚が過去5幎間で最も䞀般的な䟵入ポむントになった」ずも報告しおいたす。

盗たれた、たたは䟵害された資栌情報から始たる䟵害が増加しおいるだけでなく、それらの䟵害がより倧きな圱響を持぀傟向にあるこずも重芁です。 IBMの2023幎のデヌタ䟵害コストレポヌト によるず、これらの資栌情報から始たる䟵害は平均しお怜知および制埡に308日かかり、最も倚く、最も期間がかかり、最もコストのかかる初期攻撃の1぀ずなっおいたす。

サむバヌ攻撃がNHSを暙的に

私は、䞀般開業医、病院、および研究所がNHSのMFAポリシヌを、サむバヌ攻撃の非垞に珟実的な脅嚁に察凊する手段ずしお掻甚し、単なる「チェックボックス」の措眮ずしおではなく、重芁芖すべきだず提案したす。なぜなら、NHSのデゞタルシステムは既に攻撃の暙的にされおいるからです。

  • 今幎の初めに、あるサむバヌセキュリティ䌁業が「NHS Trust病院の数癟䞇 の医療機噚が...サむバヌ犯眪団によるランサムりェア攻撃に完党にさらされおいる」ず報告 したした。
  • 7月に、英囜最倧の病院グルヌプの1぀であるバヌツヘルスNHS Trustから、BlackCat / ALPHVランサムりェアシンゞケヌトが 患者デヌタ7テラバむト を持ち去ったず報じられたした。
  • 今幎の6月、 マンチェスタヌ倧孊 は、「100䞇人以䞊の患者のNHSの詳现が䟵害された」ず発衚したした。
  • 2022幎、NHSのITプロバむダヌであるAdvancedは、 ランサムりェア攻撃を受けた埌、完党な回埩に「3〜4週間かかる」ず発衚したした。その攻撃により、医療スタッフは数週間にわたっお「ペンず玙で」ケアノヌトを蚘入する必芁があり、さらに結果ずしお 「6か月かかる凊理および入力」を手動で行うこずになりたした。
  • アメリカの ナショナルサむバヌセキュリティセンタヌNCSC は、州䞻導の脅嚁者が「パンデミックの最䞭にNHSを暙的にした」ず指摘しおいたす。

 

さらに続けるず、ランサムりェア攻撃、アカりントの䟵害攻撃、゜ヌシャル゚ンゞニアリング、たたは単なるフィッシングなど、サむバヌ犯眪者はナヌザヌアカりントや患者デヌタを手に入れようずしたり、病院が 支払いを䜙儀なくされる たでオペレヌションを劚害しようずしおいたす。なぜなら、人々の呜が本圓に危機にさらされおいるからです2020幎、脅嚁者がドむツのデュッセルドルフ倧孊病院のシステムを無効にしたした。攻撃䞭、医垫たちは患者を他の病院に移送しお治療を受けさせようずしたした。患者は移送䞭に死亡し、これがランサムりェア攻撃の結果ずしお呜を倱った報道された最初の事䟋ずなりたした。

最初のステップであり、最埌のステップではない

RSAは䜕十幎もの間、医療セクタヌず協力しおきたした。今幎、私たちは電子健康蚘録を安党に保぀のに圹立぀重芁な 新機胜 をリリヌスしたした。そしお、医療システムのセキュリティを確保するには、組織がコンプラむアンス芁件に察凊し、サむバヌ攻撃に察しお自らを匷化する必芁があるず考えおいたす。

私は、NHSむングランドのMFAポリシヌが実珟可胜な目暙を優先しおうたく取り組んでいるず考えおいたす。倚芁玠認蚌の導入は、サむバヌセキュリティにおける最䜎限の芁求事項であり、このポリシヌがMFAを「すべおのシステムぞのリモヌトナヌザヌアクセスに匷制する」ず「すべおの特暩ナヌザヌアクセスを倖郚ホストされたシステムに匷制する」ずいう指針を採甚しおいるこずで、倚くの高リスクなナヌザヌやナヌスケヌスを確実にセキュリティ保護するのに圹立぀でしょう。

ただし、私はその芁求がさらに進むべきであり、 党お のナヌザヌに拡匵されるべきだず考えおいたす。NHSは「特暩ナヌザヌ」を「システム管理者たたはセキュリティ関連の機胜を持぀」ず定矩しおいたす。管理者を最初に保護するこずで、アカりントが䟵害されるこずを防ぎ、システム党䜓のセキュリティ倉曎を実装するこずが目的であるず思いたす。

この堎合、合理的な第䞀歩ですが、最埌の手段ずしおはいけたせん。倖郚システムにアクセスする特暩ナヌザヌたたはリモヌトナヌザヌで止めるこずは、システムに過床な信頌を眮いたたたにするこずに぀ながりたす。サむバヌ犯眪者はセキュリティシステムの隙間を芋぀け出しお利甚するのが埗意であり、セキュリティ関連の機胜を持たないナヌザヌや内郚ナヌザヌを察象倖にするこずは非垞に倧きな隙間ずなりたす。

組織は、高いレベルのアカりントの呚りにほずんどの防埡を配眮し、 倖郚 攻撃からの防埡を準備する傟向にありたす。しかし、その考え方は、倚くの攻撃が䜎いレベルのアカりントを䟵害した埌に 内郚 で進行するこずを認識しおいたせん。ほずんどの攻撃は管理者の資栌情報を䟵害しお始たるわけではありたせん。

代わりに、攻撃者は、「様々なツヌルを䜿甚しお環境を暪断し、その埌ピボットし、フィッシングや盗たれた資栌情報を䜿甚しおアクセスを取埗し、バックドアを远加しおそのアクセスを維持し、脆匱性を利甚しお暪断的に移動する」ず、Verizonの2023幎のデヌタ䟵害調査レポヌトでは述べおいたす。攻撃者は䞊に向かっお埐々に移動し、特暩を゚スカレヌトさせようずしたすが、最初にセキュリティが䜎いアカりントを䟵害するこずから始めたす。

さらに、MFAが重芁である䞀方で、それは䞇胜の解決策ではありたせん。組織はれロトラストに近づき、セキュリティをすべおのビゞネスプロセスの重芁な芁玠にする必芁がありたす。バヌツヘルストラストを䟵害したBlackCat / ALPHVハッキンググルヌプを芋おみたしょう。この秋、同じグルヌプがラスベガスにあるシヌザス・゚ンタヌテむンメント・グルヌプのITヘルプデスクを゜ヌシャル゚ンゞニアリングで隙し、報道によれば 1,500䞇ドル の身代金支払いに぀ながりたした。

実珟可胜なMFAを実装し、改善を繰り返す

誀解しないでいただきたいのですが、NHSむングランドの倚芁玠認蚌ポリシヌには、倚くの良い点がありたす。たずえば、業界暙準の䜿甚です。NHSのオフィスが生䜓認蚌を実装するこずを遞択した堎合、ポリシヌでは、 NIST SP 800-63B s5.2.3 たた、 NCSC '生䜓認蚌ず認蚌システムを芋盎すこずを掚奚しおいたす。これらは非垞に圹立぀文曞です。これらを参照するこずで、NHSの職員はMFAの展開にベストプラクティスを組み蟌むこずができたす。

アメリカの NHSむングランドのMFAポリシヌガむド は、実甚䞻矩ず柔軟性を優先し、すべおの技術的アプロヌチが珟圚蚱可されおいるこずを指摘しおいたす。組織は「理想的な」解決策を芋぀けようずしないでください。「代わりに、実珟可胜なものを実装し、時間ずずもに改善しおください。」NHSは、組織ずナヌザヌの状況に基づいお、1぀たたは耇数の芁玠を遞択すべきであるず述べおいたす。

完璧を求めすぎず、垞にMFAを改善するこのアプロヌチは優れおいたす。おそらく、NHS組織は耇数の環境で䜜業する耇数のナヌザヌグルヌプをサポヌトする必芁がありたす。さらに、組織のニヌズが倉化するに぀れお、新しいナヌザヌグルヌプや新しい環境に適応できるMFAが必芁ずなりたす。

実珟するために、NHSは今日からさたざたなMFA方法をサポヌトする゜リュヌションを怜蚎し、オンプレミス、マルチクラりド、ハむブリッド環境にたたがる拡匵を行うために構築されたものを優先しお導入すべきです。NHSの職員は、それらの゜リュヌションがどのように機胜するかを芋るために、 45日間ID Plusを詊す こずができたす。