医療に関する場合、サイバーセキュリティは文字通り生死の差となることがあります。患者のケアを行い、適切な医療スタッフに適切な電子健康記録を提供したり、機密情報を保護したりするために、病院、研究所、およびその他の医療提供者はオンラインで適切に接続されており、保護されている必要があります。
そのため、National Health Service(NHS)のすべてのエンティティに多要素認証(MFA)を実装する新しい 要件 は、非常に重要なマイルストーンです。私は単にRSAを代表してそう言っているのではありません:これは個人的な問題です。私はイギリス出身で、まだ家族がそこにいます。MFAを実装することで、NHSは患者の(私の家族も含まれる)非常に機密性の高い健康情報を安全に保ち続けることができます。
そして、このポリシーはNHSに特有のものですが、それはより広範囲なグローバルなトレンドの一部でもあります。新しいNHSの要件は、アメリカでの国家の サイバーセキュリティの改善を求める命令に続くものです。同様に、 EUのNIS2 は、すべての加盟国の間で「高い共通レベルのサイバーセキュリティ」を確立することを目指しています。 Log4jや、 ウクライナ、 国家主導のサイバー攻撃 などのインシデントは、世界中でサイバーセキュリティの重要性を前面に押し出しました。すべての組織が防御を強化することに焦点を当てることは今まで以上に重要です。特に医療分野においては非常に重要です。そのため、NHSがサイバーセキュリティを真剣に受け止めていることに非常に感銘を受けています。
しかし、NHSのような大規模かつ複雑なシステムにおいて、2024年2月の実装計画の提出期限や、完全な準拠を示すための2024年6月の期限を守るために、多要素認証を実装するには実際の作業が必要です。したがって、なぜMFAがサイバーセキュリティに重要なのか、NHSのMFAポリシーの要件を確認し、NHS Trust、統合ケア委員会、保健及びソーシャルケアの独立組織、および他の医療提供者が優先すべき機能について見てみましょう。
多要素認証(MFAとして表記されます)は、ユーザーが自分が本人であることを確認するための追加のセキュリティレイヤーを提供します。メールアドレスとパスワードだけではなく、MFAではユーザーがログインするために追加の要素を提供する必要があります。例えば、認証コードの入力、プッシュ通知への応答、セキュリティキーの使用、または生体認証情報の提供などが含まれます。
その追加のセキュリティレイヤーを導入することは、非常に大きな効果をもたらします。パスワードとメールアドレスだけでは、ほとんどのデータ侵害を防ぐのに十分ではありません: Verizonの2023年のデータ侵害調査レポート によると、すべての侵害の74%が「エラー、権限の誤用、盗まれた資格情報の使用、またはソーシャルエンジニアリング」に関連しています。レポートはまた、「盗まれた資格情報の使用が過去5年間で最も一般的な侵入ポイントになった」とも報告しています。
盗まれた、または侵害された資格情報から始まる侵害が増加しているだけでなく、それらの侵害がより大きな影響を持つ傾向にあることも重要です。 IBMの2023年のデータ侵害コストレポート によると、これらの資格情報から始まる侵害は平均して検知および制御に308日かかり、最も多く、最も期間がかかり、最もコストのかかる初期攻撃の1つとなっています。
私は、一般開業医、病院、および研究所がNHSのMFAポリシーを、サイバー攻撃の非常に現実的な脅威に対処する手段として活用し、単なる「チェックボックス」の措置としてではなく、重要視すべきだと提案します。なぜなら、NHSのデジタルシステムは既に攻撃の標的にされているからです。
- 今年の初めに、あるサイバーセキュリティ企業が「NHS Trust病院の数百万 の医療機器が...サイバー犯罪団によるランサムウェア攻撃に完全にさらされている」と報告 しました。
- 7月に、英国最大の病院グループの1つであるバーツヘルスNHS Trustから、BlackCat / ALPHVランサムウェアシンジケートが 患者データ7テラバイト を持ち去ったと報じられました。
- 今年の6月、 マンチェスター大学 は、「100万人以上の患者のNHSの詳細が侵害された」と発表しました。
- 2022年、NHSのITプロバイダーであるAdvancedは、 ランサムウェア攻撃を受けた後、完全な回復に「3〜4週間かかる」と発表しました。その攻撃により、医療スタッフは数週間にわたって「ペンと紙で」ケアノートを記入する必要があり、さらに結果として 「6か月かかる処理および入力」を手動で行うことになりました。
- アメリカの ナショナルサイバーセキュリティセンター(NCSC) は、州主導の脅威者が「パンデミックの最中にNHSを標的にした」と指摘しています。
さらに続けると、ランサムウェア攻撃、アカウントの侵害攻撃、ソーシャルエンジニアリング、または単なるフィッシングなど、サイバー犯罪者はユーザーアカウントや患者データを手に入れようとしたり、病院が 支払いを余儀なくされる までオペレーションを妨害しようとしています。なぜなら、人々の命が本当に危機にさらされているからです:2020年、脅威者がドイツのデュッセルドルフ大学病院のシステムを無効にしました。攻撃中、医師たちは患者を他の病院に移送して治療を受けさせようとしました。患者は移送中に死亡し、これがランサムウェア攻撃の結果として命を失った報道された最初の事例となりました。
RSAは何十年もの間、医療セクターと協力してきました。今年、私たちは電子健康記録を安全に保つのに役立つ重要な 新機能 をリリースしました。そして、医療システムのセキュリティを確保するには、組織がコンプライアンス要件に対処し、サイバー攻撃に対して自らを強化する必要があると考えています。
私は、NHSイングランドのMFAポリシーが実現可能な目標を優先してうまく取り組んでいると考えています。多要素認証の導入は、サイバーセキュリティにおける最低限の要求事項であり、このポリシーがMFAを「すべてのシステムへのリモートユーザーアクセスに強制する」と「すべての特権ユーザーアクセスを外部ホストされたシステムに強制する」という指針を採用していることで、多くの高リスクなユーザーやユースケースを確実にセキュリティ保護するのに役立つでしょう。
ただし、私はその要求がさらに進むべきであり、 全て のユーザーに拡張されるべきだと考えています。NHSは「特権ユーザー」を「システム管理者またはセキュリティ関連の機能を持つ」と定義しています。管理者を最初に保護することで、アカウントが侵害されることを防ぎ、システム全体のセキュリティ変更を実装することが目的であると思います。
この場合、合理的な第一歩ですが、最後の手段としてはいけません。外部システムにアクセスする特権ユーザーまたはリモートユーザーで止めることは、システムに過度な信頼を置いたままにすることにつながります。サイバー犯罪者はセキュリティシステムの隙間を見つけ出して利用するのが得意であり、セキュリティ関連の機能を持たないユーザーや内部ユーザーを対象外にすることは非常に大きな隙間となります。
組織は、高いレベルのアカウントの周りにほとんどの防御を配置し、 外部 攻撃からの防御を準備する傾向にあります。しかし、その考え方は、多くの攻撃が低いレベルのアカウントを侵害した後に 内部 で進行することを認識していません。ほとんどの攻撃は管理者の資格情報を侵害して始まるわけではありません。
代わりに、攻撃者は、「様々なツールを使用して環境を横断し、その後ピボットし、フィッシングや盗まれた資格情報を使用してアクセスを取得し、バックドアを追加してそのアクセスを維持し、脆弱性を利用して横断的に移動する」と、Verizonの2023年のデータ侵害調査レポートでは述べています。攻撃者は上に向かって徐々に移動し、特権をエスカレートさせようとしますが、最初にセキュリティが低いアカウントを侵害することから始めます。
さらに、MFAが重要である一方で、それは万能の解決策ではありません。組織はゼロトラストに近づき、セキュリティをすべてのビジネスプロセスの重要な要素にする必要があります。バーツヘルストラストを侵害したBlackCat / ALPHVハッキンググループを見てみましょう。この秋、同じグループがラスベガスにあるシーザス・エンターテインメント・グループのITヘルプデスクをソーシャルエンジニアリングで騙し、報道によれば 1,500万ドル の身代金支払いにつながりました。
誤解しないでいただきたいのですが、NHSイングランドの多要素認証ポリシーには、多くの良い点があります。たとえば、業界標準の使用です。NHSのオフィスが生体認証を実装することを選択した場合、ポリシーでは、 NIST SP 800-63B s5.2.3 また、 NCSC '生体認証と認証システムを見直すことを推奨しています。これらは非常に役立つ文書です。これらを参照することで、NHSの職員はMFAの展開にベストプラクティスを組み込むことができます。
アメリカの NHSイングランドのMFAポリシーガイド は、実用主義と柔軟性を優先し、すべての技術的アプローチが現在許可されていることを指摘しています。組織は「理想的な」解決策を見つけようとしないでください。「代わりに、実現可能なものを実装し、時間とともに改善してください。」NHSは、組織とユーザーの状況に基づいて、1つまたは複数の要素を選択すべきであると述べています。
完璧を求めすぎず、常にMFAを改善するこのアプローチは優れています。おそらく、NHS組織は複数の環境で作業する複数のユーザーグループをサポートする必要があります。さらに、組織のニーズが変化するにつれて、新しいユーザーグループや新しい環境に適応できるMFAが必要となります。
実現するために、NHSは今日からさまざまなMFA方法をサポートするソリューションを検討し、オンプレミス、マルチクラウド、ハイブリッド環境にまたがる拡張を行うために構築されたものを優先して導入すべきです。NHSの職員は、それらのソリューションがどのように機能するかを見るために、 45日間ID Plusを試す ことができます。