ランサムウェア攻撃が拡大するにつれて、その被害はデータの損失や経済的負担で測定されることがよくあります。しかし、人命が失われることに関してはどうでしょう。患者の命を扱う医療業界ほど、ランサムウェアの脅威が深刻な世界はありません。
2015年以降、医療施設に対するランサムウェア攻撃は驚くほど増加しています。そして、その影響は深刻で、緊急サービスの迂回、重要な治療の遅れ、さらには死亡事故も発生しています。一方、新型コロナウイルス感染症のパンデミック中に、医療従事者への攻撃を避けるという誓約は、一部のランサムウェア・グループによって放棄されました。今では病院も攻撃対象になっていることは明らかです。
医療分野に対するランサムウェア攻撃は、患者に実際の損害を与え、生存率に影響を与え、他の重要ななサービスを脅かします。また、他の重要なインフラストラクチャーを標的としたランサムウェアは、健康と安全に深刻な影響を及ぼします。
病院は患者ケアの管理のためにデジタル・システムに大きく依存しています。ランサムウェア攻撃が発生すると、これらのシステムはオフラインになり、多くの場合悲惨な結果をもたらします。研究はそのリスクを浮き彫りにしており、2015年以来、医療機関へのランサムウェア攻撃は300％増加しています。これにより、サイバー攻撃を受けた施設から転用された患者に圧倒された病院では、脳卒中や心臓停止などの緊急事態が急増しました。
カリフォルニア大学サンディエゴ校の研究によると、病院へのランサムウェア攻撃は波及効果をもたらします。これは、近隣の病院では患者が急増し、心血管疾患の患者が81％増加していることを意味します。心停止事例では、生存率も低下しました。
最近の例としては、ロンドンのNHSに病理サービスを提供しているSynnovis社に対するランサムウェア攻撃があります。この攻撃により血液検査や輸血処置に問題が発生し、いくつかの病院で重要ながん治療や選択的処置に遅れが生じました。これは、医療関連のランサムウェア・インシデントに共通する傾向を示しています。時間的制約のある治療が延期されたり全く受けられなかったりするため、検査や手順の遅れは生命を脅かす事態になりかねません。
攻撃を受けている医療組織に隣接する都市部の2つの救急部門を対象とした別の研究では、研究者たちは、患者数の大幅な増加、待ち時間の延長、患者の「診察されずに放置」された割合の上昇を指摘しました。調査によると、このような遅延は、このようなインシデントに対する災害対応アプローチの必要性を浮き彫りにしています。
医療分野におけるランサムウェアの悲劇的な結果は、法的手続きの中で記録されている場合があります。2020年、ある女性アラバマ州の病院を、ランサムウェア攻撃が生まれたばかりの娘の死につながったとして訴えました。この病院のコンピューター・システムは出産中にオフラインになっていたため、クリティカルな監視ツールにアクセスできず、重度の出産合併症を引き起こしたとされています。この件は解決したものの、同様の出来事が公に知られずに起きていた可能性について疑問を投げかけています。
医療業界のランサムウェアへの脆弱性は比類ない悲惨ですが、クリティカル・インフラストラクチャー部門も増大するリスクに直面しています。2021年に主要な燃料流通業者であるColonial Pipeline社がランサムウェアの被害を受け、東部アメリカ全域で燃料不足が発生しました。直接的な死者は報告されていませんが、その後のパニックは燃料を蓄えるために急いで殺到した人々のせいで少なくとも1件の致命的な自動車事故につながった可能性があります。
クリティカル・インフラストラクチャー部門では、人命の損失や傷害の可能性が重大です。電力網、水道、交通システムに対する攻撃は、深刻な結果をもたらす可能性があります。研究者たちは、例えば、エネルギー・グリッドに対するランサムウェア攻撃が、病院や緊急サービス、脆弱な人々への電力供給を中断し、生命を危険にさらす可能性があると警告しています。医療業界が発するべき教訓としては、クリティカルなインフラストラクチャーへの攻撃による影響は仮定ではなく、差し迫った現実となる可能性があるということです。
医療施設はランサムウェアの魅力的な標的となりますが、その理由にはいくつかあります。まず、医療施設は病歴、個人情報、財務状況の詳細など、豊富な機密患者データを保有しています。医療分野では、ダウンタイムのコストが特に高くなります。ヘルス・センターがランサムウェアによって機能不全に陥ると、人々の生命が危険にさらされるため、病院はすぐに身代金を支払う可能性が高くなります。2024年第2四半期からの最近の調査によると、医療ランサムウェアのインシデントの平均支払額は440万米ドルです。
さらに、医療施設では、さまざまなベンダーやレガシー・システムに依存した複雑で時代遅れのインフラストラクチャーを使用していることが多く、保護が困難な場合があります。ネットワーク全体で一元化されていないサイバーセキュリティーが欠如していると、脆弱性はさらに増加し、ランサムウェア・グループがシステムに侵入して連鎖的な混乱を引き起こす可能性があります。
ランサムウェア攻撃と死亡事故との間に直接的な因果関係を確立するのは複雑な場合があります。しかし、最近のデータは説得力のある洞察を提供しています。ある分析は、2016年から2021年にかけて、42人から67人のメディケア患者がランサムウェア攻撃の結果として死亡したと推定しています。また、これには民間保険会社のデータは含まれていません。研究では、ヘルスの影響を含むケアの質の低下や治療の遅れなど、より広範な健康への影響も浮き彫りになっています。サイバー・インシデントの際、病院は安全チェックや電子カルテの効率性を欠いた手作業でのプロセスに頼ることが多く、誤りや診断ミスのリスクが高まります。
問題は死亡事故だけにとどまりません。ランサムウェアに起因する遅延は健康問題を悪化させる可能性があり、長期的な合併症や医療費の増大をもたらします。心臓病、脳卒中、敗血症などの病気の場合、診断の遅れが生死を分ける可能性があります。したがって、ランサムウェア攻撃は、たとえ間接的なつながりであっても、過剰な死亡につながる可能性があります。
患者ケアに対するランサムウェアの影響を軽減するために、一部の病院では、国立病院の「Code Dark」手順など、ランサムウェア対応プロトコルの導入を開始しています。これらの応答プロトコルは、手動の記録保持、通信プロトコル、患者のトリアージに関する明確な指示など、システムがダウンした場合にケアの継続性を維持するように設計されています。しかし、こうしたステップはそれほどまでに進むわけではありません。真のレジリエンスには、中断を最小限に抑えるための、従業員のトレーニング、多層的なセキュリティー管理、頻繁なシステムバックアップなどの事前対策が必要です。
ランサムウェア攻撃がより巧妙になるにつれ、サイバーセキュリティー業界では、この脅威に対処するための政策変更を主張する者が多くなっています。クリティカルなニーズの1つは、施設、サイバーセキュリティーの専門家、官公庁・自治体間でのデータ共有を改善して、傾向を追跡し、迅速に対応することです。政府はまた、サイバーセキュリティーを国家安全保障の問題として分類し、施設がランサムウェアやその他のサイバー脅威に対するレジリエンスを向上させるための参考情報とサポートを割り当てる必要があります。
医療分野に対する脅威は、ランサムウェアが社会にもたらすより広範なリスクを浮き彫りにしています。医療従事者は特有の脆弱性を抱えていますが、他の重要なインフラストラクチャー分野もますますリスクにさらされています。Colonial Pipeline社のインシデントが示すように、ランサムウェアの波及効果は地域全体で感じられ、燃料、水道、交通機関などの基本的なサービスに影響を与えます。
サイバーセキュリティーの専門家にとって、クリティカルなサービスに対するランサムウェア攻撃の増加により、積極的な防御アプローチが求められています。これには、より強力な業種・業務の標準の提唱、堅牢なサイバーセキュリティー・ツールの使用の奨励、攻撃に備えて対応するための分野を超えたコラボレーションのサポートが含まれます。目的は明らかです。ランサムウェアが直接、または重要なサービスへの遅延アクセスを通じて命を吹き込むリスクを最小限に抑えることです。