重要インフラのサイバーセキュリティを強化するための EU 指令 (NIS2) の改訂により、多くの医療施設でサイバーセキュリティの問題がさらにクローズアップされています。彼らは特に保護に値すると考えられているからです。
データの機密性、完全性、可用性は、医療分野において最も重要です。ここには、治療計画を含む健康プロセス全体と診断が文書化されます。あらゆるセキュリティ上のギャップには、投薬計画が改ざんされたり、情報が第三者の手に渡ったりするリスクが伴うため、サイバー セキュリティは不可欠です。ゾーストの病院に対する最近の攻撃が示したように、機密データは犯罪者にとって非常に人気のある標的です。業界の課題: デジタル化の進展により、医療機器はますますネットワーク化され、データは電子的に保存および送信されることが増えています。これにより、サイバー犯罪者にとって潜在的な攻撃対象領域が増加します。議会は、企業におけるサイバーセキュリティの要件を強化することで、NIS2 を通じてこの発展に対処しています。 Axians IT-Security のセールス兼特殊オペレーション OT および IT セキュリティ部門責任者である Ingoschulenberg 氏は、指令の影響を受ける医療施設がどのように進めるべきかについて XNUMX つのヒントを示しています。
サイバーセキュリティ評価
病院の機器在庫は時間の経過とともに増加することが多く、相互接続がますます進んでいます。 IT セキュリティを効率的に強化するには、既存のセキュリティ予防策を評価することが最適な出発点となります。ここでは、専門家がインストールされている環境のセキュリティをチェックし、既存のデバイスの脆弱性と、新しいデバイスにどのようなセキュリティ要件があるかを特定します。社内のどの領域が相互に通信する必要があるかを判断することも重要です。特に医療施設では、たとえば、すべてを同じネットワーク上にドッキングすべきではない重要なマシンやデバイスが存在することがよくあります。サイバーセキュリティ評価では、組織はセキュリティ戦略において優先順位を付けて適切に保護するために、どの資産が特に重要で保護する価値があるかを検討します。セキュリティ評価では、Axians などの経験豊富な ICT サービス プロバイダーが、IT インフラストラクチャのセキュリティ レベルを正しく評価し、総合的なセキュリティ戦略を導き出すのを支援します。
サイバーセキュリティトレーニング
他の業界と同様、医療業界における最大の安全リスクは人です。依然としてハッカーの人気の標的となっています。巧妙に作成されたフィッシング攻撃により、サイバー犯罪者は従業員をだましてログイン情報を漏らしたり、インターネットからマルウェアをダウンロードさせたりすることができます。たとえば、従業員が所有者を見つけるために USB スティックを職場の PC に接続するなど、見当違いの支援意欲が大きな損害を引き起こすことがよくあります。 USB ポートを備えた医療機器で個人の携帯電話を充電することも、機器の侵害を通じて医療施設に潜在的なリスクをもたらします。企業は、すべての従業員がセキュリティ リスクに対するより良い認識を持てるようにトレーニングすることで、これを防ぐ必要があります。医療施設の従業員は時間のプレッシャーにさらされ、仕事量が多いことが多いため、これは重要です。ストレスの多い日常生活の中で標的型フィッシング攻撃の被害に遭わないためには、定期的なセキュリティトレーニングと意識向上トレーニングが不可欠です。
サイバーセキュリティのベスト プラクティス
効果的なサイバーセキュリティを構築するには、各機関はまず技術的な基本を実装することから始める必要があります。ヘルスケア分野では、これには内部ファイアウォールによるネットワークのセグメント化が含まれます。ネットワークのセグメント化により、医療機器をメインネットワークから分離することが可能になります。多くの場合、マシンやデバイスには古いオペレーティング システムが搭載されており、その脆弱性にはパッチを適用することができません。パッチを適用しないと、承認を失うことになります。再認証がオプションでない場合は、これらのデバイスを安全なネットワーク セグメントにロックし、これらのデバイスとの通信を IPS 経由で規制および監視できます。基本的な保護は、予算内でモジュラー原則に従って継続的に拡張できます。脅威の状況はますます複雑になっているため、予防策を継続的に強化する必要があります。
SOC と ISMS で基本を拡張する
緊急時に即座に対応できるようにするには、脅威を 24 時間リアルタイムで特定する必要があります。このため、病院などの医療機関はセキュリティ オペレーション センター (SOC) を設置することが推奨されます。すべてのサイバー セキュリティ スレッドは SOC にまとめられます。SOC では、病院の IT セキュリティ インフラストラクチャが最新のテクノロジーを使用して専門家によって 24 時間監視され、攻撃が即座に特定され、防御が開始されます。得られた経験により、防御戦略を永続的に適応させることが可能になります。医療施設は独自に SOC を運用する必要はありませんが、マネージド サービス プロバイダーからのサポートを受けることができます。
セキュリティの基本に加えて、情報セキュリティ管理システム (ISMS) を確立することをお勧めします。これは物理的なシステムではなく、企業内の情報セキュリティを永続的に定義、制御、管理、維持し、継続的に改善するためのガイドラインによって定義された手順です。 ISMSは企業ごとに個別に導入・導入されます。
段階的にセキュリティを強化する
医療分野の企業や機関をサイバー攻撃から適切に保護するには、ハードウェアやソフトウェアに投資するだけでは不十分です。目標は、段階的に実装できる包括的なサイバー セキュリティ戦略である必要があります。組織はまずセキュリティ監査を実行することから始め、次にこれに基づいて、内部および外部のファイアウォール、侵入防止、ネットワーク セグメンテーション、ISMS、SOC などの技術ソリューションを導入できます。同時に、従業員の意識を高めるための意識向上トレーニングも効果を発揮します。企業がこれらのベスト プラクティスに従っている限り、システムのセキュリティ、ひいては患者データのセキュリティが継続的に強化されます。外部パートナーと協力し、マネージド サービスを使用すると、医療施設の IT 部門にさらなる負担がかかることを回避できます。
詳細については、Axians.com をご覧ください
アクシアンズについて
ドイツの Axians グループは、VINCI Energies の ICT ソリューションのグローバル ブランド ネットワークの一部です。当グループは、包括的な ICT ポートフォリオにより、企業、地方自治体、公共機関、ネットワーク オペレーター、サービス プロバイダーのデジタル インフラストラクチャとソリューションの最新化をサポートしています。
トピックに関連する記事