サイバー攻撃受けた大阪の病院、パスワード使い回し…調査委「危機管理意識が不足」
https://yomidr.yomiuri.co.jp/article/20230329-OYT1T50114/?catname=news-kaisetsu_news
ランサムウェアに攻撃された病院に関するヨミドクターさんの記事からです。
電子カルテに用いるパスワードと同じものが、院内の他のシステムでもパスワードとして使いまわされていた脆弱な情報環境だったとのこと。
もちろん、これは院内全体の危機意識が問われる事案だろうとは思います。
ただ、この手の対策はどこまでやっても「完璧」はないとも思います。
本当に医療施設の情報システムを運営する立場の方は、日ごろからご苦労されているのではないでしょうか。
では、なぜ「完璧」はないのか?
それはサイバーテロサイドが本気になれば、パスワード云々の問題ではなくなるからです。
そして、そのことは今、世間を賑わせている調剤(調製)の一部の外部委託についても同様で、実は「規模制限」の視点を私が求めることにも繋がります。
どんなに大手資本が大掛かりな投資を行ってサイバーセキュリティレベルを上げても、サイバーテロリスクは消すことが出来ない。その答えは本気のテロ集団なら、なにもネットワークに侵入しなくても、当該地域の電力をダウンさせる細工さえ行えるだろうからです。
要するに外部委託センターの電源喪失、ですね。センター施設のネットワークに侵入するよりも手っ取り早い。国外のサイバーテロ集団相手なら、その位のことを想定しておかなければいけない。だから、センター内のネットワークセキュリティでは手に負えなくなるのです。
そんなこと、あり得るのか?
普通はないですよね。でも、そのリスクは規模がナショナルレベルに近付けば近づくほど、高くなります。ダウンした時の混乱が大きくなるから。さらには取り扱うモノが医薬品だからこそ、その影響はより大きくなるので標的になる確率も高くなる。犯罪者や犯罪国家的な集団を意識せずに、医薬品という国民の大切なインフラを検討するのは無責任なのです。
でも、それは県境問題を生み出してしまう「距離制限」とは、本質的に別の問題です。ましてや、「外部委託」自体がNGなことの理由にはなりません。薬剤師さんの対人業務時間を創出する手段として、「適切な外部委託」の形態はきっと存在するでしょう。
サイバーテロをきっかけに、「外部委託の本質」が議論されるようになることを望みます。
comments