サマリー
- 確認された事象:Ascension は2024年5月8日に異常な活動を検知し、後にこの事象をランサムウェア攻撃と表現、臨床業務は混乱したが病院と施設はダウンタイム手順の下で営業を継続したと述べた。同社の公開インシデントページは後に、影響を受けたすべてのシステム、臨床機能、EHR アクセスが復旧したと発表した。(Ascension サイバーセキュリティイベントページ)
- ケア継続性への影響:Ascension の5月9日更新によると、電子健康記録、MyChart、一部の電話システム、検査・処置・投薬のオーダーに使用されるシステムが利用不能になった。一部の非緊急の選択的手術、検査、予約は一時的に延期され、複数の病院が救急医療サービスの搬送を迂回した。(Ascension ネットワーク障害アップデート)
- データ記録:2024年12月19日、Ascension は、完了したデータレビューにより、一部の現在および過去の患者、高齢者居住施設入居者、従業員の個人情報が関与したと発表した。データの種類は様々で、医療情報、支払情報、保険情報、政府発行 ID、その他の個人情報が含まれる可能性があるとしつつ、EHR やその他の臨床システムからデータが持ち出された証拠はないとも述べた。HHS OCR 侵害ポータルは、大規模 HIPAA 侵害報告の公的な連邦リストである。(HHS OCR 侵害ポータル)
- 説明責任マップ:犯罪行為者が悪意ある事象を引き起こした。Ascension は、ネットワークアクセス、臨床システム隔離、ダウンタイム訓練、復旧順序、パートナー再接続、患者コミュニケーション、データレビュー、サポートを管理した。公的機関は、法執行、サイバーインテリジェンス、HIPAA 侵害監督、セクターガイダンスを管理した。患者と臨床医は、システム停止がベッドサイドに達した後、限定的でストレスの多い代替手順しか管理できなかった。
ランサムウェアはワークフローを通じてベッドサイドに到達した
Ascension のインシデントは、単なる病院ランサムウェア攻撃と説明すると過小評価されがちだ。より正確な説明は、ケアネットワークにおけるシステム全体の継続性試験である。ランサムウェアは、人工呼吸器に触れたり投薬指示を変更したりしなくても、ケアに影響を及ぼしうる。臨床医が患者の話を治療に変えるために使用する、共有記録、オーダーチャネル、患者ポータル、電話、薬局経路、管理システムへの通常のアクセスを奪うだけで十分だった。
Ascension の2024年5月9日付の最初の公式声明は、5月8日水曜日に特定のテクノロジーネットワークシステムで異常な活動を検知し、これはサイバーセキュリティ事象によるものと考えていると述べた。一部のシステムへのアクセスが中断され、臨床業務が混乱し、ケアチームは患者ケアの提供を安全かつ最小限の影響に抑えるため、訓練された手順を開始したとしている。また、Ascension は Mandiant を関与させ、関係当局に通知し、もし影響があった場合にはどの情報が影響を受けたか調査中であるとも述べた。(Ascension 5月9日通知)
その後のインシデントページはより直接的だ。それによると、Ascension は5月8日にランサムウェア攻撃を受け、以来、影響を受けたすべてのシステム、臨床機能、EHR アクセスを復旧したとしている。この後の表現は重要である。事象をサイバーセキュリティインシデントの疑いからランサムウェア攻撃の確認へと移行させるとともに、同社が主張する復旧の到達点を定義しているからだ。(Ascension サイバーセキュリティイベントページ)
継続性の問題は、これら二つの状態の間のギャップで始まった。システムが中断された後、完全な復旧が信頼できるようになるまでの間である。このギャップの間、Ascension の病院と施設は営業を続けたが、「営業」とは通常を意味しなかった。カルテにアクセスできない状態、オーダーが手動で処理されなければならない状態、処方箋に追加の検証が必要な状態、ポータルメッセージが滞留する状態、スタッフが紙を持ち歩く状態、そして一部の施設でトリアージを安全に保つため救急サービスが迂回された状態でも、病院は開いていられる。これはコミュニケーション上の不便ではなく、異なる運用モードである。
公開記録はまた、過剰な悲劇化を避けるべきだ。Ascension はすべてのケアが停止したとは述べなかった。反対に、ケアはダウンタイムプロトコルの下で継続されたと述べた。したがって、説明責任の問題は崩壊ではない。それは低下したモードでのケアである。医療システムは現実的なダウンタイム手順を持っていたのか?スタッフは十分な訓練と物資を与えられていたのか?地域の病院は明確な状況情報を与えられていたのか?救急車はどこに行けばよいか知っていたのか?薬局は慢性疾患の薬を調剤できたのか?検査や画像診断の指示は通常のシステムなしで追跡できたのか?同社は安全でないインフラを再接続することなくシステムを復旧できたのか?これらの問いは運用上のものであり、修辞的なものではない。
「営業」は通常のケアと同じではなかった
Ascension の5月9日午後5時30分の更新は、利用不能となったシステムをいくつか挙げた:電子健康記録、MyChart、一部の電話システム、特定の検査、処置、投薬をオーダーするために使用される様々なシステム。患者には、予約ノート、服薬リスト、処方箋番号または処方薬瓶を持参するよう求め、ケアチームが薬局に投薬の必要性を電話で伝えられるようにした。非緊急の選択的手術、検査、予約は一時的に延期された場合があるとし、また、ダウンタイム手順のため複数の病院が救急医療サービスの搬送を迂回していると述べた。(Ascension サイバーセキュリティイベントページ)
このリストは本事案の核心である。EHR の停止は、臨床医が病歴、アレルギー、投薬歴、過去の検査、画像、問題リスト、退院サマリー、専門医の意見を検索する方法を変える。ポータルの停止は、患者が医療提供者とコミュニケーションを取り、結果を閲覧する方法を変える。電話システムの混乱は、スケジュール管理、電話トリアージ、リフィル依頼、フォローアップを変える。オーダーシステムの混乱は、検査、画像、投薬、処置が臨床医の意図から完了した行為に至るまでの流れを変える。救急車の迂回は、地域の緊急対応能力の配分を変える。
AP 通信は、この攻撃により、約19州で約140の病院を運営するシステム全体で、救急車の迂回、検査の延期、患者記録のオフライン化が発生し、電子記録と MyChart の両方が影響を受け、スタッフは手書きの紙記録に戻ったと報じた。(Ascension ケア混乱に関する AP レポート) この報道は Ascension 自身の声明と一致するが、公式の情報源は同社自身が確認した内容についての同社ページである。
営業と通常の違いは、患者にとって結果をもたらす。痛みを抱える患者は、ダウンタイム手順を技術的な事象として経験しない。より長い待ち時間、繰り返しの質問、古い記録が見えるのかどうかの不確実性、検査指示が進んだかどうかの不確実性、そしてケアチームが通常のコンテキストなしで作業しているのではないかという懸念を経験する。臨床医は訓練と判断によってケアを安全に保つかもしれないが、記録システムが通常の調整作業を行っていないため、余裕はより狭くなる。
だからこそ、「継続性」という言葉にはその質を含めなければならない。病院はドアを開け続けることができるが、それでも、薬の照合が遅れたり、検査の所要時間が変わったり、手術のスケジュールが乱れたり、入院や転院が難しくなったり、退院患者が処方箋を入手できたりしたか、移動手段が限られている患者や英語力が限られている患者が再スケジュールされたケアの調整により苦労したかどうかを問うことはできる。公開記録はこれらの疑問のすべてに答えるわけではないが、それらが正しい疑問であったことを証明している。
ダウンタイム手順は隠れた安全策だった
Ascension は、その従業員が確立されたダウンタイムプロトコルと手順について訓練を受けていると述べた。この声明は重要である。なぜなら、ダウンタイム手順は戸棚の中のバックアップバインダーではないからだ。むしろ、臨床医が疲れ、患者が不安を感じ、電話が鳴りやまず、管理者が不完全な技術的事実を待っている間にも機能しなければならない安全策なのだ。
EHR 停止中、ダウンタイム手順は、臨床医がどのように記録し、オーダーがどのように書かれ、投薬がどのように検証され、アレルギーがどのようにチェックされ、検体がどのようにラベル付けされ、画像リクエストがどのように追跡され、手書きのメモが後でどのように調整され、ケアチームが情報の重複や喪失をどのように回避するかを定義しなければならない。停止中に作成された記録は、最終的に恒久的な医療記録の一部にならなければならない。カルテに戻らない紙のメモは、単なるアーカイブの問題ではない。将来のケアに影響を与えうる。
Ascension の6月7日と6月11日の更新は、なぜ調整が重要だったかを示している。EHR アクセスが段階的に復旧する中、Ascension は、5月8日から地域の EHR 復旧日までの医療記録やその他の情報は、ダウンタイム中に収集された情報がアップロードされている間、アクセスできない可能性があると警告した。患者には、その期間の記録の利用可能性について臨床医のオフィスに問い合わせるよう指示し、ポータルメッセージには若干の遅延が生じる可能性があると警告した。(Ascension サイバーセキュリティイベントページ)
これは非常に示唆的な一文である。これは、復旧が単に臨床医を EHR に戻すことだけではなかったことを示している。EHR が利用できなかった間に提供されたケアを EHR に追いつかせることも含まれていたのだ。ダウンタイム記録は、収集され、検証され、入力またはアップロードされ、検索可能にされなければならなかった。それが完了するまで、停止期間中の患者の履歴は、通常のデジタルビューの一部外にあったのである。
したがって、優れたダウンタイム準備には二つの側面がある。第一は、停止中の安全な手動ケアである。第二は、その後のクリーンな再統合である。第二の側面は、一般の人々がログインが戻ったのを見て復旧が完了したと想定するため、見過ごされがちである。医療において、その想定は危険だ。復旧が完了するのは、記録システムが低下モード中に起こったことを正確に反映し、臨床医が復旧された記録が将来の判断に十分に完全であると信頼できるようになった時だけである。
EHR 復旧は IT のマイルストーンではなく、臨床上の優先事項だった
Ascension は繰り返し、EHR 復旧を最優先の復旧目標と位置づけた。5月29日には、最初の市場で EHR アクセスが復旧し、段階的な計画が進行中であると述べた。6月4日には、フロリダ、アラバマ、オースティン市場で EHR アクセスが復旧したと述べた。6月5日には、テネシー、メリーランド、セントラルテキサスが追加された。6月7日にはオクラホマが追加され、目標は6月14日までに全省庁的な EHR 復旧とされた。6月11日には、フロリダ、アラバマ、テネシー、メリーランド、セントラルテキサス、オクラホマ、ウィスコンシン、イリノイ、カンザス、ミシガン州の一部、インディアナ州の一部がリストされ、依然として6月14日までの完了を目指していた。(Ascension サイバーセキュリティイベントページ)
この復旧シーケンスは、臨床ガバナンスとして読むべきである。EHR アクセスは単なるデジタル上の利便性ではない。それはケアシステムの共有記憶である。それを最初に復旧することは、組織が安全なケアにとって最も必要と判断したものについての声明である。しかし、段階的な復旧は説明責任の問いも生む。どの市場が最初に復旧され、それはなぜか?その順序は、技術的準備、臨床的緊急度、患者数、地域の代替能力、システム依存関係、フォレンジック上の確信に基づいたものか?患者や救急サービスには、どの地域の施設がどの状態にあるかがどのように伝えられたか?
公開記録は部分的にしか答えていない。段階的な順序と目標は示されているが、順序の背後にある決定ルールは公表されていない。それは進行中のインシデントの間は理解できる。しかし、それはインシデント後の証拠ギャップでもある。全国的な医療システムは、復旧順序が臨床リスクと一致した理由を規制当局や内部ガバナンス機関に示せるべきである。
復旧に関する文言はまた、スピードと安全性の間の緊張を示している。Ascension は、検証とスクリーニングの後、安全かつセキュアにシステムが復旧されると繰り返し述べた。これは正しい基準だ。病院が必要とするために未検証のシステムを再接続すれば、攻撃を悪化させる可能性がある。あまりに長く待てば、臨床の混乱を長引かせる可能性がある。説明責任のある決定は、これらの圧力の間に位置する。
将来の事象に備えて、より強力な公共慣行は、臨床復旧マトリックスだろう。ネットワーク図を開示する必要はない。サービス状態を特定できればよい:EHR 利用不可、EHR 読み取り専用、EHR 新規文書作成用に復旧、ダウンタイム記録アップロード待ち、ポータル利用可能、薬局伝送復旧、検査オーダー復旧、電話システム復旧、パートナー接続検証済み。患者と臨床医が必要とするのは、ファイアウォールルールではなく、サービス状態である。
薬局の継続性は実践的なケアの試金石だった
投薬アクセスは、ランサムウェアがデータセンターを離れて日常生活に入り込む最も明確な例の一つだった。Ascension は患者に、処方薬瓶、処方箋番号、服薬リストを持参するよう求め、ケアチームが薬局に投薬の必要性を電話で伝えられるようにした。後に、Ascension は、Ascension Rx の小売、宅配、専門薬局が営業中で処方箋のニーズに対応できること、医療提供者は Ascension Rx 薬局に電子的に処方箋を送信できること、を述べた。(Ascension サイバーセキュリティイベントページ)
この順序が重要である。なぜなら、薬局の継続性は任意ではないからだ。慢性疾患の薬では、遅れは健康上の結果を生みかねない。抗生物質、抗凝固薬、インスリン、抗てんかん薬、移植薬、精神科薬、あるいは施術後の疼痛管理では、ワークフローの摩擦が臨床リスクになりうる。ケアチームは手動で薬局に電話できるが、手動経路には、現在の投薬知識、正しい患者識別、明確な用量、保険または支払いの処理、薬剤師による検証、そして実行されたことを文書化する方法が必要となる。
Spectrum News は、ウィスコンシン州で地域の薬局が Ascension のサイバー攻撃に対処し、慢性疾患の薬を患者に届け続ける必要性について報じた。(Spectrum News 薬局レポート) この地元の視点は有用である。薬局の混乱はしばしば分散して発生するためだ。それはしばしば、劇的な病院の機能不全として現れず、治療を継続するのに十分な情報を再構築しようとする患者、薬剤師、処方者の姿として現れる。
したがって、投薬のダウンタイム計画は、患者安全策として扱われるべきである。計画は、どの投薬リストにオフラインでアクセスできるか、アレルギーがどのようにチェックされるか、規制薬物のワークフローがどのように処理されるか、リフィルがどのように承認されるか、緊急の投薬ニーズがどのように優先順位付けされるか、そして手動処方が復旧後にどのように EHR と調整されるかを定義すべきである。また、患者に何を伝えるかも定義すべきである。患者に薬瓶を持参するよう求めるのは賢明だが、それは、病気であったり、高齢であったり、怖がっていたり、低所得であったり、移動手段がなかったり、整理された処方箋を持っていなかったりする人々にも作業をシフトしている。
公開記録は、Ascension が薬局の問題を認識していたことを示している。残る説明責任の問いは、それらの暫定対策が各州および各ケアサイトでどれほど均一に機能したかである。
パートナーの再接続はそれ自体がリスク面だった
Ascension の5月21日と5月24日の更新は、別の過小評価されている復旧問題を特定した:パートナーとベンダーがネットワークに再接続する必要があった。Ascension は、重要なパートナーやベンダーとの定期的な接点を開始し、彼らの Ascension ネットワークへの接続復旧を支援する情報を提供したと述べた。5月24日には、多くのベンダーとパートナーが再接続とサービス再開を開始し、これが復旧を加速させるはずだと述べた。(Ascension サイバーセキュリティイベントページ)
パートナー再接続はスケジュールの詳細ではない。それはセキュリティと継続性の決定である。病院は、ラボ、画像ベンダー、薬局、収益サイクルパートナー、デバイスベンダー、クラウドシステム、専門サービスプロバイダー、救急パートナー、人員配置システム、サプライヤー、サポート組織に依存している。ランサムウェア対応では、これらのリンクを切断または制限することが必要な場合がある。その後の復旧では、どのリンクを、どの順序で、どの監視の下で、各側からのどの証拠を持って安全に復旧するかを決定する必要がある。
ここで公共部門の継続性とデータの局所性が交わる。医療データは一箇所に整然と保持されているわけではない。臨床システム、ファイルサーバー、患者ポータル、請求ワークフロー、ラボインターフェース、薬局経路、保険者チャネル、ベンダー環境を流れる。Ascension は後に、攻撃者が約25,000台のサーバーのうち7台からファイルを取得し、それらは主に日常業務に使用されるサーバーであり、一部のファイルに PHI と PII が含まれている可能性があると述べた。また、EHR やその他の臨床システムからデータが持ち出された証拠はないとも述べた。(Ascension サイバーセキュリティイベントページ)
これらの声明は有用な境界を描くが、アクセスの局所性が物理的な局所性よりも重要である理由も浮き彫りにする。記録は、米国の非営利医療システムが法的に保持している場合でも、侵害されたワークフロー、日常的なファイルサーバー、またはパートナー経路を介して到達可能であれば、露出しうる。医療におけるデータ主権は、データがどこに存在するかだけではない。誰がそれに触れ、コピーし、送信し、エクスポートし、閲覧し、侵害後に再接続できるかである。
したがって、インシデント後の重要な証拠は「システムが復旧した」だけではない。「接続が検証付きで復旧した」ことである。医療システムは、パートナー再接続が侵害された認証情報、古い信頼関係、未レビューのリモートアクセス、監視されていないデータ経路を再導入しなかったことを示せるべきである。
データ侵害は臨床停止と同じではなかった
Ascension の12月19日の更新は、記録の別の部分を完了した。第三者専門家と協力して、潜在的に関与したデータをレビューした後、Ascension は、個人情報が関与した個人への通知を開始し、無料のクレジットモニタリングと個人情報保護サービスを提供すると述べた。情報には、診療記録番号、サービス提供日、臨床検査の種類または処置コードなどの医療情報、支払情報、保険情報、政府発行 ID、生年月日や住所などのその他の個人情報が含まれる可能性があるとしている。(Ascension サイバーセキュリティイベントページ)
このデータ記録をケア継続性の記録に組み入れてはならない。停止は5月と6月に起こった。データ通知はファイルレビューの後、数ヶ月かけて進展した。両方とも同じ攻撃の結果だが、異なる義務を生み出す。臨床停止には、即時の代替ケア、迂回判断、安全確認、患者コミュニケーション、復旧が必要だ。データ侵害には、対象集団分析、フィールドマッピング、法的通知、身元サポート、規制当局への報告、長期的な詐欺警戒が必要だ。
HHS 侵害通知規則ページは、500人以上に影響する侵害のタイミング義務を含め、保護されていない保護対象健康情報の連邦通知枠組みを説明している。(HHS 侵害通知規則) HHS はまた、長官への通知提出に関するガイダンスを公開している。(HHS 侵害報告ページ) OCR 侵害ポータルは、調査中の大規模侵害報告を公開している。(HHS OCR 侵害ポータル)
Ascension の声明における境界は重要だ:患者データが関与したが、完全な患者記録が保存されている EHR やその他の臨床システムからデータが持ち出された証拠は依然としてないと同社は述べた。これは有意義な保証だが、害を完全に消し去るものではない。サービス提供日、臨床検査の種類、処置コード、保険番号、政府 ID は依然としてセンシティブでありうる。公開記録上、完全な EHR 記録が持ち出されたことが示されていないからといって、日常的なファイルサーバーのデータが無害になるわけではない。
また、影響を受けたすべての人が同じリスクを経験したことを証明するものでもない。Ascension は、データは個人によって異なり、一般的な公開声明では個人ごとに確認できなかったと述べた。優れた通知記録は、各人に可能な限り具体的なフィールドカテゴリとサポート手順を提供すべきである。大規模医療システムは、データの種類によって個人リスクが異なる場合に、単一の広範なリストに頼るべきではない。
州および業界の報告は、プライバシー記録が消費者保護記録に変わったことを示している。ミシガン州司法長官 Dana Nessel は、一部の個人情報が関与した可能性があるとの Ascension の警告を受け、Ascension の患者と関係者に無料のクレジットモニタリングを検討するよう促した。(ミシガン州司法長官通知) Healthcare Dive は後に、連邦侵害通知の文脈で影響規模を560万人と報じた。(Healthcare Dive 侵害報道) これらの情報源は Ascension の通知や HHS ポータルに取って代わるものではないが、インシデントのプライバシーへの影響が臨床復旧後も続いていたことを示している。
悪意あるファイルの説明は説明責任の終わりではない
6月12日、Ascension は攻撃者がどのようにアクセスしたかを特定したと発表した:同社の施設で働く個人が、正規のものと思われる悪意あるファイルを誤ってダウンロードした。Ascension は、これが単なる正直なミスであると信じる理由がないと述べた。(Ascension サイバーセキュリティイベントページ)
これは有用な事実だが、便利な結末にすべきではない。現代のセキュリティは、一部の従業員がクリックすることを前提とすべきである。説明責任を果たすべき管理策は、クリックの前後にあるものだ:メールセキュリティ、ブラウザ分離、添付ファイルの無害化、エンドポイント検知、最小特権、アプリケーション制御、セグメンテーション、ラテラルムーブメント検知、ファイルサーバーアクセス制御、バックアップ分離、インシデント対応、そして臨床ダウンタイム準備である。
HHS のセキュリティ規則ページは、電子保護健康情報の機密性、完全性、可用性を保護するために、管理的、物理的、技術的保護手段が必要であると一般的に定めている。(HHS セキュリティ規則) HHS はまた、HIPAA 対象事業者とビジネスアソシエイト向けのサイバーセキュリティガイダンス資料を維持している。(HHS サイバーセキュリティガイダンス資料) CISA の StopRansomware ガイドも同様に、準備、予防、対応計画、バックアップ、コミュニケーションを強調している。(CISA StopRansomware ガイド)
これらの一般的な情報源のいずれも、Ascension が規則に違反したという認定ではない。これらは、重要な管理カテゴリを定義している。説明責任の中核原則は、合理的な階層化が被害の拡大を抑えられるならば、単一の誤ったダウンロードがシステム全体の臨床混乱になることは許されるべきではないということだ。もしシステム全体に及んでしまったならば、組織はその理由、何が失敗し、何が機能し、何が変わったのかを説明できなければならない。
「正直なミス」という表現は人道的だ。個人の従業員をスケープゴートにすることを避けている。しかし、人道的な表現は組織学習と対にされるべきだ。一人の従業員を責めるのは弱い説明責任である。従業員の行動を、より大きな管理システムの中の一つの信号として扱う方がより強力だ。
財務回復は患者の負担を測定しなかった
Ascension の財務開示は、この事象がインシデントページを超えた業務上の影響を与えたことを示している。2024年9月、Ascension は、5月と6月の事業がサイバーセキュリティインシデントの影響を受け、事業中断による収益減少と問題修復のためのコスト、その他事業費用が発生したと発表した。また、バランスシートと流動性の水準は依然として強固であり、ケアを継続するのに十分な流動性があるとも述べた。(Ascension 2024年度第4四半期財務結果)
2025年2月、Ascension は、2024年度第4四半期の事業が5月のサイバー攻撃の影響を受けたが、2025年度の患者ボリューム回復は継続しており、同施設患者ボリュームはサイバー事象以降約5~6%改善し、主要な業務 KPI が通常の事業状態に戻りつつあると発表した。(Ascension 2025年度第2四半期財務結果)
これらの声明は組織のレジリエンスにとって有用だが、完全な患者被害の説明ではない。収益回復とボリューム回復は、予約の遅れ、患者の不満、薬局のストレス、臨床医の残業、地域的な搬送迂回、繰り返しの病歴聴取、手動文書作成、信頼喪失と共存しうる。システムは財務的に回復する一方で、一部の患者は自分の記録が利用できなかった日のことを覚えているかもしれない。
インシデント後の報告が少なくとも四つの回復指標を分離していれば、説明責任の記録はより強力になるだろう。第一に、技術的復旧:どのシステムがクリーンで利用可能になったか。第二に、臨床的復旧:どのケア機能が通常のワークフローに戻ったか。第三に、記録復旧:ダウンタイム文書がどのように調整されたか。第四に、患者サポート:どのような遅延、迂回、再スケジュール、データ通知がフォローアップを必要としたか。
Ascension の財務ページは、事象を吸収する大規模組織を示している。患者、臨床医、薬局、救急サービス、地域コミュニティ全体にわたる不便とリスクの完全な分布を示してはいない。これは Ascension に固有の欠陥ではない。サイバーインシデント報告におけるより広範な問題である。貸借対照表は、ケアの摩擦よりも要約しやすいのだ。
セクターは病院ランサムウェアを公共機能として扱った
Ascension は、FBI、CISA、HHS、米国病院協会を含む法執行機関と政府パートナーに通知し、業界パートナーとピアが自らを保護できるよう、H-ISAC と関連する脅威インテリジェンスを共有したと述べた。(Ascension サイバーセキュリティイベントページ) この複数機関の枠組みは重要である。なぜなら、病院ランサムウェアイベントは、被害者と攻撃者の間の私的な問題だけではないからだ。
病院は地域の緊急対応能力の一部である。複数の病院がダウンタイム手順や搬送迂回に入ると、周辺の病院、EMS 機関、公衆衛生当局、患者がその変化を感じる。これは実践上の公共部門の継続性である。政府は Ascension の EHR を運営しないが、大規模な医療システムが混乱した際に、緊急医療、公共警告、法執行、脅威インテリジェンス、HIPAA 監督が機能し続けるかどうかに関心を持っている。
米国病院協会のサイバーセキュリティ活動は、病院に対するランサムウェアを患者安全問題として繰り返し位置づけてきた。同協会のサイバーセキュリティページは、病院と医療システムのサイバー耐性準備を強調している。(AHA サイバーセキュリティリソースセンター) AHA はまた、Ascension の社長が、5月の攻撃により Ascension の病院全体で業務が混乱し、数千のコンピュータシステムが暗号化され、電子健康記録がアクセス不能になったことを共有した国連安全保障理事会の議論を要約した。(AHA 国連安保理ランサムウェア概要)
これらのセクター情報源は慎重に使用すべきである。これらは Ascension 自身のインシデント時系列に取って代わるものではない。しかし、これらは、病院のサイバー耐性が今や国家安全保障、公衆衛生、緊急管理の議論の一部であることを示している。医療がデジタル化すればするほど、ランサムウェアをバックオフィスの IT 問題として扱うことはますます信憑性が低くなる。
患者は狭い管理力と高い露出を持っていた
Ascension の患者への指示は実践的だった:症状、服薬リスト、処方箋番号または薬瓶を持参すること、最新情報を確認すること、懸念があればクレジットモニタリングを利用すること、ダウンタイム期間中の記録の利用可能性については臨床医のオフィスに連絡すること、緊急時には911に電話すること。これらのステップは人々が困難な状況を乗り切るのに役立った。それらは不均衡も示している。
患者は薬瓶を持参できたが、EHR を復旧することはできなかった。病歴を繰り返すことはできたが、以前のメモが見えるかどうかは知ることができなかった。再スケジュールを受け入れることはできたが、復旧順序を選ぶことはできなかった。クレジットモニタリングに登録できたが、処置コード、保険番号、サービス提供日を露出解除することはできなかった。詐欺に警戒することはできたが、自分のデータがコピーされた可能性のあるすべての場所を知ることはできなかった。
この不均衡が、警戒文言が組織の説明責任の代用に決してなるべきではない理由である。患者に何をすべきかを伝えるのは適切である。欠けている管理策を患者の行動が補えると暗示するのは不十分である。医療において、下流の被害に最もさらされている人々は、しばしば運用上の力が最も少ない人々である。
脆弱性の次元は特に重要である。なぜなら、Ascension の使命は貧しく脆弱な人々へのケアを強調しており、同社のメディアリソースは、救急受診、出産、手術、退院、地域貢献プログラムを備えた大規模システムについて説明しているからだ。(Ascension メディアリソース) ランサムウェアによる停止は均一に着地しない。移動手段のない患者、有給休暇のない患者、慢性的な病気を持つ患者、不安定な住居の患者、言語の壁がある患者、メンタルヘルスのニーズがある患者、複雑な投薬計画を持つ患者は、摩擦に対する余裕が少ない。
したがって、説明責任のある継続性計画は、患者にかかる負担を測定すべきである。何件の予約が一時停止または再スケジュールされたか?何人の患者が投薬の暫定対応サポートを必要としたか?通知はどの言語で行われたか?信頼できるインターネットや電話アクセスを持たない患者にはどのように連絡したか?緊急搬送迂回は地域 EMS とどのように調整されたか?継続的なケアを必要とする患者のために、ダウンタイム文書はどのように調整されたか?これらの質問が、単一の復旧日よりも臨床現場の説明責任をより良く定義する。
データ主権は到達可能性の問題だった
マニフェストのトピック「データ主権と局所性」は、サーバーが物理的にどこにあったかという狭い問題ではない。Ascension の事例は、より関連性の高い医療の問いを示している:日常業務中にどのデータがどのアクセス経路を通じて到達可能だったか?
Ascension は、攻撃者が約25,000台のサーバーのうち7台からファイルを取得し、それらは主に日常業務の従業員が使用するサーバーであり、それらのファイルに PHI と PII が含まれている可能性があると述べた。この組み合わせは示唆的だ。センシティブデータは、日常的なワークスペース、エクスポート、添付ファイル、共有フォルダ、作業キュー、レポートファイル、スキャン文書、一時的な業務用ストアに存在しうる。EHR は完全な患者記録かもしれないが、患者情報が現れる唯一の場所ではない。
現在の Ascension One ページは、請求書の支払い、検査・ラボ結果の閲覧、医師とのつながり維持、家族の予約のスケジュールと管理のための患者デジタル体験を説明している。(Ascension One) この公開製品説明はインシデントの情報源ではない。読者が通常の期待を理解するのに役立つ:患者と臨床医は今や、接続されたアカウント、ポータル、記録、ワークフローを通じてケアを体験している。ランサムウェア対応がそのエコシステムの一部を無効にすると、局所性は機能的になる。データとケアは、必要とされる瞬間にそれらにアクセスできるシステムにとってローカルである。
データ最小化とアクセス管理の問いが続く。なぜ日常的なファイルサーバーはそれらのフィールドを保持していたのか?センシティブなエクスポートは時間制限されていたか?ファイルは分類され監視されていたか?日常的な従業員サーバーは臨床システムからセグメント化されていたか?ダウンロードされたファイルはエンドポイント制御によって制限されていたか?古い日常ファイルはアーカイブまたは削除されていたか?パートナーアクセス経路は十分に狭かったか?公開記録はこれらの問いに答えていない;それらを必要なものにしている。
正しい教訓は、EHR システムは決して他のシステムに接続すべきではないということではない。医療はそのようには運営できない。教訓は、患者データのすべての二次コピーが臨床的およびプライバシーの爆発範囲の一部になるということである。
より良い証拠とはどのようなものか
医療システムの成熟した公開インシデント後記録は、センシティブなセキュリティ詳細を公開することなく、いくつかの質問に答えるべきである。
第一に、サービス状態のタイムラインを提供すべきである。EHR アクセス、ポータルアクセス、電話システム、投薬オーダー、検査オーダー、処置スケジューリング、薬局伝送、請求システム、パートナー接続、地域の搬送迂回状況がいつ変化したかを特定すべきである。Ascension のイベントページは多くの更新を提供したが、統合されたタイムラインがあれば、記録の監査がより容易になるだろう。
第二に、臨床ダウンタイムの説明を提供すべきである。その説明では、どのダウンタイム手順が起動され、スタッフがどのようにサポートされ、手動文書がどのように調整され、投薬とラボの安全確認がどのように維持され、インシデント固有の安全レビューが行われたかどうかを説明すべきである。個々の患者事象を明らかにすべきではないが、管理システムを示すべきである。
第三に、カテゴリ別のデータマップを提供すべきである。Ascension の12月の通知では可能性のあるカテゴリが列挙されたが、より強力な基準は、可能であればフィールドレベルでの通知である:診療記録番号、サービス提供日、処置コード、ラボテストの種類、保険識別子、支払いフィールド、政府 ID、住所、生年月日、従業員データは、各人がより具体的に通知されるならば、混同されるべきではない。
第四に、アクセス経路と封じ込めを高レベルで説明すべきである。悪意あるファイルの説明は有用である。完全な記録は、その後に変更された組織的管理策を追加するだろう。例えば、メールフィルタリング、エンドポイントポリシー、ファイルサーバーアクセスレビュー、セグメンテーション、ロギング、バックアップ分離、特権アクセス制御などである。攻撃者に手口を教えることなく。
第五に、集約された患者影響指標を公開すべきである:予約の一時停止、再スケジュール、地域別の搬送迂回期間、薬局の暫定対応ボリューム、ポータルの滞留、サポートラインの活動。公開開示はプライバシーを保護しつつも有意義でありうる。
最後に、未解決の問題を明確にすべきである。訴訟、規制当局のレビュー、またはセキュリティリスクが詳細を制限するなら、そう述べるべきだ。患者は境界が示されれば、不確実性によりよく対処できる。
教訓は臨床現場のレジリエンスである
Ascension は犯罪の被害者だった。この事実は率直に述べられるべきである。犯罪行為者がランサムウェア攻撃を引き起こした。法執行機関とサイバー機関は、調査、インテリジェンス、抑止という公的役割を担っている。すべての悪意ある試みをインシデントなしに防ぐことがどの病院にも期待されるべきではない。
しかし、医療の説明責任は被害者であることに留まらない。医療システムは、ランサムウェアが管理可能な停止になるか、臨床現場の混乱になるかを決定するアーキテクチャ、訓練、ダウンタイム手順、パートナー依存関係、データストア、復旧順序、患者コミュニケーションを管理している。Ascension の公開記録は、レジリエンスと緊張の両方を示している:病院は開き続け、臨床医はケアを続け、EHR 復旧が優先され、薬局がオンラインに戻り、システムは最終的に復旧し、通知が送られた。また、緊急搬送迂回、ケアの一時停止、通常の記録アクセスの欠如、ポータル完全性の遅れ、数ヶ月に及ぶデータ分析、重大な財務影響も示している。
持続的な教訓は、医療におけるランサムウェア復旧は臨床の専門分野であるということだ。それはセキュリティ運用だけでなく、取締役会の監督、看護業務、薬局リーダーシップ、救急管理、収益サイクル計画、プライバシーコンプライアンス、ベンダーガバナンス、患者コミュニケーションにも属する。カルテはケアの一部であり、オーダーシステムはケアの一部であり、ポータルはケアの一部であり、ダウンタイムパケットはケアの一部である。これらのシステムが故障したとき、説明責任は、デジタル基盤が再び信頼できることを証明しながら、組織が安全に人々を治療し続けられるかによって測定される。
タイポグラフィ
タイポグラフィとは、書かれた言語を読みやすく、判読しやすく、視覚的に魅力的にするために活字を配置する芸術および技術である。これには書体、ポイントサイズ、行長、行間、文字間隔の選択が含まれる。
- タイポグラフィは15世紀にヨハネス・グーテンベルクによる活版印刷の発明に端を発する。
- 主な要素には、フォント選択、カーニング、トラッキング、リーディングがある。
- 優れたタイポグラフィは可読性を高め、デザインにおいてムードやトーンを伝える。

