医療に関する場合、サイバーセキュリティは文字通り生死の差となることがあります。患者のケアを行い、適切な医療スタッフに適切な電子健康記録を提供したり、機密情報を保護したりするために、病院、研究所、およびその他の医療提供者はオンラインで適切に接続されており、保護されている必要があります。
そのため、National Health Service(NHS)のすべてのエンティティに多要素認証(MFA)を実装する新しい 要件 that all entities implement multi-factor authentication (MFA) is such an important milestone. I’m not just saying that on behalf of RSA: this is personal. I’m from the UK and still have family there. By implementing MFA, the NHS will continue to keep its patients’ (my family’s included) highly sensitive health information safe.
An MFA policy outlines the rules and requirements for implementing multi-factor authentication across an organization or system. The goal is to ensure that only authorized users can access systems or data, reducing the risk of unauthorized access, data breaches, and cyber attacks. A well-defined MFA policy specifies which users must authenticate via multiple factors, the methods of authentication to be used, and the circumstances under which MFA will be required, such as for accessing sensitive data or performing high-risk actions. The policy also typically includes guidelines on compliance, enforcement, and regular updates to adapt to emerging security threats.
And while this policy is particular to the NHS, it’s also part of a broader global trend. The new NHS requirement follows mandates in the U.S. to サイバーセキュリティの改善を求める命令に続くものです。同様に、 EUのNIS2 は、すべての加盟国の間で「高い共通レベルのサイバーセキュリティ」を確立することを目指しています。 Log4jや、 ウクライナ、 国家主導のサイバー攻撃 などのインシデントは、世界中でサイバーセキュリティの重要性を前面に押し出しました。すべての組織が防御を強化することに焦点を当てることは今まで以上に重要です。特に医療分野においては非常に重要です。そのため、NHSがサイバーセキュリティを真剣に受け止めていることに非常に感銘を受けています。
しかし、NHSのような大規模かつ複雑なシステムにおいて、2024年2月の実装計画の提出期限や、完全な準拠を示すための2024年6月の期限を守るために、多要素認証を実装するには実際の作業が必要です。したがって、なぜMFAがサイバーセキュリティに重要なのか、NHSのMFAポリシーの要件を確認し、NHS Trust、統合ケア委員会、保健及びソーシャルケアの独立組織、および他の医療提供者が優先すべき機能について見てみましょう。
Multi-factor authentication provides an extra layer of security that helps to ensure a user is who they claim to be. Rather than only requiring an email address and password, MFA requires that users provide an additional factor—such as entering a verification code, responding to a push notification, using a security key, or providing biometric information—to log-in.
その追加のセキュリティレイヤーを導入することは、非常に大きな効果をもたらします。パスワードとメールアドレスだけでは、ほとんどのデータ侵害を防ぐのに十分ではありません: Verizonの2023年のデータ侵害調査レポート found that 74% of all breaches involve either “Error, Privilege Misuse, Use of stolen credentials, or Social Engineering.” The report also found that stolen credentials became the most popular entry point for breaches” over the past five years.
盗まれた、または侵害された資格情報から始まる侵害が増加しているだけでなく、それらの侵害がより大きな影響を持つ傾向にあることも重要です。 IBMの2023年のデータ侵害コストレポート によると、これらの資格情報から始まる侵害は平均して検知および制御に308日かかり、最も多く、最も期間がかかり、最もコストのかかる初期攻撃の1つとなっています。
Implementing a strong multi-factor authentication (MFA) policy is critical in proactively safeguarding sensitive information. With cyber threats becoming increasingly sophisticated, relying on just passwords for authentication is no longer sufficient. A comprehensive MFA policy requires users to verify their identity through multiple factors, which drastically reduces the likelihood of unauthorized access, even if credentials are compromised. By enforcing MFA across all access points, organizations not only enhance their security posture but also align with best practices and compliance requirements, ensuring robust protection against evolving cyber threats and minimizing the impact of potential breaches.
I’d recommend that GPs, hospitals, and labs use the NHS MFA policy as a way to address the very real threat of cyber attacks, and not view it as another “‘tick-the-box’” measure they need to complete. Because the NHS’ digital systems are already under attack:
- In 2023, a cybersecurity firm found that “数百万 の医療機器が...サイバー犯罪団によるランサムウェア攻撃に完全にさらされている」と報告 しました。
- Also in 2023, the BlackCat / ALPHV ransomware syndicate reportedly made off with 患者データ7テラバイトを持ち去ったと報じられました。
- In that same timeframe, the マンチェスター大学 は、「100万人以上の患者のNHSの詳細が侵害された」と発表しました。
- 2022年、NHSのITプロバイダーであるAdvancedは、 ランサムウェア攻撃; that attack forced medical personnel to take care notes “with pen and paper” for weeks, which in turn created “six months to process and inputを手動で行うことになりました。
- アメリカの ナショナルサイバーセキュリティセンター(NCSC) は、州主導の脅威者が「パンデミックの最中にNHSを標的にした」と指摘しています。
I could go on. Whether it’s ransomware attacks, account compromise attacks, social engineering, or plain old phishing, cybercriminals are trying to get their hands on user accounts and patient data, or to disrupt operations to the point that hospitals have to pay. Because peoples’ lives really are on the line: in 2020, threat actors disabled systems at Düsseldorf University Hospital in Germany. During the attack, doctors attempted to transfer a patient to another hospital to receive care. The patient died during the transfer, marking “結果として命を失った報道された最初の事例となりました。
RSAは何十年もの間、医療セクターと協力してきました。今年、私たちは電子健康記録を安全に保つのに役立つ重要な 新機能 をリリースしました。そして、医療システムのセキュリティを確保するには、組織がコンプライアンス要件に対処し、サイバー攻撃に対して自らを強化する必要があると考えています。
私は、NHSイングランドのMFAポリシーが実現可能な目標を優先してうまく取り組んでいると考えています。多要素認証の導入は、サイバーセキュリティにおける最低限の要求事項であり、このポリシーがMFAを「すべてのシステムへのリモートユーザーアクセスに強制する」と「すべての特権ユーザーアクセスを外部ホストされたシステムに強制する」という指針を採用していることで、多くの高リスクなユーザーやユースケースを確実にセキュリティ保護するのに役立つでしょう。
The need for broader MFA implementation
That said, I think the mandate should go further and extend to all users. The NHS defines “privileged user” as “a systems administrator or having security-related functions.” I expect that their intent in securing admins first is to keep their accounts from being compromised and implementing system-wide security changes.
この場合、合理的な第一歩ですが、最後の手段としてはいけません。外部システムにアクセスする特権ユーザーまたはリモートユーザーで止めることは、システムに過度な信頼を置いたままにすることにつながります。サイバー犯罪者はセキュリティシステムの隙間を見つけ出して利用するのが得意であり、セキュリティ関連の機能を持たないユーザーや内部ユーザーを対象外にすることは非常に大きな隙間となります。
Understanding the risk of internal attacks
Organizations tend to put most of their defenses around higher-value accounts and prepare to defend themselves from external attacks; that thinking fails to recognize that many attacks progress internally after compromising a lower-level account. Very few attacks begin by compromising administrative credentials.
Instead, attackers “use a variety of tools to traverse your environment and then pivot, including using phishing and stolen credentials to obtain access and adding backdoors to maintain that access and leverage vulnerabilities to move
laterally,” per the Verizon 2023 Data Breach Investigations Report. While attackers will try to gradually move upwards and escalate their privileges as they go, they start by compromising the lower-level and less secure accounts.
MFA policy disadvantages
Moreover, while MFA is critical, it’s not a silver bullet. Organizations need to move closer to ゼロトラスト and make security a critical component of every business process. Look at the BlackCat / ALPHV hacking group that breached Barts Health Trust: this autumn, that same group managed to evade MFA by socially engineering the IT Help Desk at Caesars Entertainment Group in Las Vegas, which reportedly led to a 1,500万ドル の身代金支払いにつながりました。
誤解しないでいただきたいのですが、NHSイングランドの多要素認証ポリシーには、多くの良い点があります。たとえば、業界標準の使用です。NHSのオフィスが生体認証を実装することを選択した場合、ポリシーでは、 NIST SP 800-63B s5.2.3 また、 NCSC '生体認証と認証システムを見直すことを推奨しています。これらは非常に役立つ文書です。これらを参照することで、NHSの職員はMFAの展開にベストプラクティスを組み込むことができます。
アメリカの NHSイングランドのMFAポリシーガイド は、実用主義と柔軟性を優先し、すべての技術的アプローチが現在許可されていることを指摘しています。組織は「理想的な」解決策を見つけようとしないでください。「代わりに、実現可能なものを実装し、時間とともに改善してください。」NHSは、組織とユーザーの状況に基づいて、1つまたは複数の要素を選択すべきであると述べています。
That approach—to not let the perfect be the enemy of the good and to improve MFA over time—is excellent. More than likely, NHS organizations will need to support multiple user groups working in multiple environments. Moreover, they’ll need an MFA policy that can adapt to new user groups and new environments as the organization’s needs evolve.
To do that, it’s essential that the NHS prioritize solutions that support a range of MFA methods today, and that’s built to extend across on-premises, multi-cloud, and hybrid environments. NHS personnel can 45日間ID Plusを試す ことができます。
