概要
- 確認された事象:Ascension は 2024 年 5 月 8 日に異常な活動を検知し、後にこの事象をランサムウェア攻撃と説明しました。そして、病院や施設はダウンタイム手順の下で運営を続けながらも、臨床業務が中断されたと述べました。同社の公開インシデントページには後に、影響を受けたすべてのシステム、臨床機能、EHR アクセスが復旧したと記載されています。(Ascension サイバーセキュリティイベントページ)
- ケア継続性への影響:Ascension 自身の 5 月 9 日の更新では、電子カルテ、MyChart、一部の電話システム、そして検査、処置、投薬のオーダーに使用されるシステムが利用不能になったと発表されました。一部の緊急性のない選択的手術、検査、予約は一時的に停止され、一部の病院では救急医療サービスの受け入れを制限する迂回措置が取られました。(Ascension ネットワーク遮断更新)
- データ記録:2024 年 12 月 19 日、Ascension は完了したデータレビューにより、現在および過去の一部の患者、シニア居住者、従業員の個人情報が関与していたことが判明したと発表しました。データの種類は様々で、医療情報、支払い情報、保険情報、政府発行の ID、その他の個人情報が含まれる可能性がありましたが、EHR や他の臨床システムからデータが取得された証拠はないと付け加えました。HHS OCR 侵害ポータルは、大規模な HIPAA 侵害報告のための公的な連邦リストです。(HHS OCR 侵害ポータル)
- 説明責任の構図:犯罪行為者が悪意のある事象を引き起こしました。Ascension はネットワークアクセス、臨床システムの隔離、ダウンタイムトレーニング、復旧順序、パートナー再接続、患者コミュニケーション、データレビュー、サポートを管理していました。公的機関は法執行、サイバーインテリジェンス、HIPAA 侵害監視、セクターガイダンスを管理していました。患者と臨床医は、システム停止がベッドサイドに達した後、限定的でストレスの多い代替手段しか管理できませんでした。
ランサムウェアはワークフローを通じてベッドサイドに達した
Ascension のインシデントを単に病院ランサムウェア攻撃とだけ表現すると、過小評価しがちです。より適切な表現は、ケアネットワークにおけるシステム全体の継続性テストです。ランサムウェアは、人工呼吸器に触れたり、投薬オーダーを変更したりする必要はありませんでした。ただ、臨床医が患者のストーリーを治療に変えるために使用する共有記録、オーダーチャネル、患者ポータル、電話、薬局経路、管理システムへの通常のアクセスを奪えばよかったのです。
Ascension の 2024 年 5 月 9 日付の最初の公式声明では、5 月 8 日水曜日に特定のテクノロジーネットワークシステムで異常な活動を検知し、それがサイバーセキュリティ事象によるものと考えられると発表しました。一部のシステムへのアクセスが中断され、臨床業務が混乱し、ケアチームは患者ケアの提供を安全かつ最小限の影響に抑えるために訓練された手順を開始したとしています。また、Ascension は Mandiant に協力を依頼し、適切な当局に通知し、どのような情報が影響を受けたか(もしあれば)を調査していると述べました。(Ascension の 5 月 9 日付通知)
その後のイベントページでは、より直接的に、5 月 8 日に Ascension がランサムウェア攻撃を受け、それ以降、影響を受けたすべてのシステム、臨床機能、EHR アクセスを復旧したと述べています。この後の表現は、事象を疑わしいサイバーセキュリティインシデントから確認されたランサムウェア攻撃へと移行させ、同社が主張する復旧の終了点も定義しているため、重要です。(Ascension サイバーセキュリティイベントページ)
継続性の問題は、これら 2 つの状態の間のギャップで始まりました。つまり、システムが中断された後、完全な復旧が信頼できるようになるまでの間です。このギャップの間、Ascension の病院と施設は営業を続けましたが、「営業中」は通常を意味しませんでした。カルテにアクセスできず、オーダーを手動で回さなければならず、処方箋に追加の確認が必要で、ポータルメッセージがキューにたまり、スタッフが紙を運び、一部の施設ではトリアージを安全に保つために救急サービスが迂回される中でも、病院は営業を続けることができます。それは単なるコミュニケーションの不便ではなく、異なる運営モードです。
また、公的記録は過度なドラマ化を避けるべきです。Ascension はすべてのケアが停止したとは述べておらず、むしろその反対で、ダウンタイムプロトコルの下でケアが継続されたと述べています。したがって、説明責任の問題は崩壊ではなく、低下したモードでのケアです。医療システムには現実的なダウンタイム手順があったのか?スタッフには十分なトレーニングと物資があったのか?地域の病院には明確な状況情報が提供されたのか?救急車はどこに行くべきか知っていたのか?薬局は慢性疾患の薬を調剤できたのか?検査や画像診断のオーダーは通常のシステムなしで追跡できたのか?同社は安全でないインフラを再接続することなくシステムを復旧できたのか?これらの質問は修辞的ではなく、運用上のものです。
「営業中」は通常のケアと同じではなかった
Ascension の 5 月 9 日午後 5 時 30 分の更新では、いくつかの利用不能システムが挙げられました。電子カルテ、MyChart、一部の電話システム、そして特定の検査、処置、投薬をオーダーするために使用される様々なシステムです。患者には、予約メモ、薬リスト、処方箋番号、または処方薬のボトルを持参するよう指示し、ケアチームが薬局に投薬の必要性を電話できるようにしました。また、緊急性のない選択的手術、検査、予約は一部のケースで一時的に停止され、複数の病院がダウンタイム手順のために救急医療サービスの迂回措置を取っていると述べました。(Ascension サイバーセキュリティイベントページ)
このリストが本件の核心です。EHR のダウンタイムは、臨床医が病歴、アレルギー、投薬、過去の検査、画像、問題リスト、退院サマリー、専門医の意見を取得する方法を変えます。ポータルのダウンタイムは、患者が医療提供者とコミュニケーションを取り、結果を確認する方法を変えます。電話システムの混乱は、予約、受診トリアージ、リフィル依頼、フォローアップを変えます。オーダーシステムの混乱は、検査、画像、投薬、処置が臨床医の意図から完了したアクションへと移行する流れを変えます。救急車の迂回は、地域の救急能力の割り当てを変えます。
AP 通信は、この攻撃により、約 19 州で約 140 の病院を運営するシステム全体で、救急車の迂回、検査の延期、患者記録のオフライン化が発生したと報じました。また、電子カルテと MyChart の両方が影響を受け、スタッフが手作業の紙の記録に戻ったとも報じました。(AP 通信の Ascension ケア混乱に関する報道)この報道は Ascension 自身の声明と一致しますが、公式情報源は同社が確認した内容については同社のページのままです。
「営業中」と通常の違いは、患者に影響を及ぼします。痛みを抱える患者は、ダウンタイム手順を技術的なイベントとして経験しません。彼らは、待ち時間の増加、繰り返しの質問、古い記録が見えているかどうかの不確実性、検査オーダーが処理されたかどうかの不確実性、ケアチームが通常のコンテキストなしで作業しているのではないかという懸念を経験します。臨床医はトレーニングと判断でケアを安全に保つかもしれませんが、記録システムが通常の調整作業を行わないため、マージンは狭まります。
そのため、「継続性」という言葉には、継続性の質が含まれなければなりません。病院は扉を開けたままでも、薬の照合が遅れたかどうか、検査のターンアラウンドが変化したかどうか、手術のスケジュールが混乱したかどうか、入院や転院が困難になったかどうか、退院患者が処方箋を受け取れたかどうか、交通手段が限られている患者や英語能力が限られている患者が再スケジュールされたケアを乗り切るのがより困難だったかどうかを問うことができます。公的記録はこれらの質問すべてに答えているわけではありませんが、それらが正しい質問であったことを証明しています。
ダウンタイム手順は隠れた安全管理策だった
Ascension は、従業員が確立されたダウンタイムプロトコルと手順について訓練を受けていると述べました。この声明は重要です。なぜなら、ダウンタイム手順はキャビネットの中のバックアップバインダーではないからです。それらは、臨床医が疲れており、患者が不安で、電話が混み合い、管理者が不完全な技術的事実を待っている間にも機能しなければならない安全管理策です。
EHR 停止時には、ダウンタイム手順は、臨床医がどのように文書化するか、オーダーがどのように書かれるか、投薬がどのように確認されるか、アレルギーがどのようにチェックされるか、検査検体がどのようにラベル付けされるか、画像リクエストがどのように追跡されるか、手書きのメモが後でどのように調整されるか、そしてケアチームが情報の重複や喪失をどのように回避するかを定義しなければなりません。停止中に作成された記録は、最終的に永続的な医療記録の一部にならなければなりません。カルテに戻らない紙のメモは、単なるアーカイブの問題ではありません。それは将来のケアに影響を与える可能性があります。
Ascension の 6 月 7 日と 6 月 11 日の更新は、なぜ調整が重要だったかを示しています。EHR アクセスが波状に復旧するにつれて、Ascension は、5 月 8 日から地域の EHR 復旧日までの間の医療記録やその他の情報が、ダウンタイム中に収集された情報がアップロードされる間、アクセスできない可能性があると警告しました。患者には、その期間中の記録の利用可能性について担当臨床医のオフィスに連絡するよう指示し、ポータルメッセージにわずかな遅延が生じる可能性があると警告しました。(Ascension サイバーセキュリティイベントページ)
これは異常に示唆的な一文です。これは、復旧が単に臨床医を EHR に戻すことだけではなかったことを示しています。EHR が利用できなかった間に提供されたケアを EHR に追いつかせることでもありました。ダウンタイムの記録は収集され、検証され、入力またはアップロードされ、検索可能にされなければなりませんでした。それが完了するまで、停止期間中の患者の履歴は部分的に通常のデジタル表示の外にありました。
良好なダウンタイム準備には 2 つの半分があります。前半は、停止中の安全な手動ケアです。後半は、その後のクリーンな再統合です。後半は、一般の人々がログインが戻るのを見て復旧が完了したと想定するため、しばしばあまり目に見えません。医療においては、その仮定は危険です。復旧が完了するのは、記録システムが低下モード中に起こったことを正確に反映しており、臨床医が将来の意思決定のために復旧された記録が十分に完全であると信頼できる場合のみです。
EHR の復旧は IT のマイルストーンではなく、臨床上の優先事項だった
Ascension は繰り返し、EHR の復旧を最優先の復旧事項として位置づけました。5 月 29 日には、最初の市場で EHR アクセスが復旧し、ローリング計画が進行中であると述べました。6 月 4 日には、フロリダ、アラバマ、オースティンの市場で EHR アクセスが復旧したと発表しました。6 月 5 日には、テネシー、メリーランド、中央テキサスが追加されました。6 月 7 日には、オクラホマが追加され、ミニストリー全体の EHR 復旧を 6 月 14 日までに完了することを目標としていると述べました。6 月 11 日には、フロリダ、アラバマ、テネシー、メリーランド、中央テキサス、オクラホマ、ウィスコンシン、イリノイ、カンザス、ミシガン州の一部、インディアナ州の一部がリストされ、6 月 14 日までの完了に向けて作業が続けられました。(Ascension サイバーセキュリティイベントページ)
この復旧シーケンスは、臨床ガバナンスとして読まれるべきです。EHR アクセスは単なるデジタルの便宜ではありません。それはケアシステムの共有記憶です。それを最初に復旧することは、組織が安全なケアに最も必要と判断したものについての声明です。しかし、段階的な復旧は説明責任の問題も生み出します。どの市場が最初に復旧され、その理由は?そのシーケンスは、技術的な準備状況、臨床的な緊急度、患者数、地域の代替能力、システムの依存関係、またはフォレンジックの確信度に基づいていたのか?患者や救急サービスには、どの地域の施設がどの状態にあるかがどのように伝えられたのか?
公的記録は答えの一部しか提供していません。ローリングシーケンスと目標を示していますが、その背後にある決定ルールは公開していません。これは、ライブインシデント中には理解できることですが、インシデント後の証拠のギャップでもあります。全国的な医療システムは、規制当局や内部ガバナンス機関に対して、復旧順序が臨床リスクと一致した理由を示すことができるべきです。
復旧の文言は、スピードと安全性の間の緊張も示しています。Ascension は、システムが検証とスクリーニングを経て、安全かつ確実に復旧されると繰り返し述べました。これは正しい基準です。病院が必要だからといって未検証のシステムを再接続すると、攻撃が悪化する可能性があります。復旧を長く待ちすぎると、臨床上の混乱が長引く可能性があります。説明責任のある決定は、これらのプレッシャーの間で下されます。
将来の事象のためには、より強力な公開慣行として、臨床復旧マトリックスが考えられます。ネットワーク図を開示する必要はありません。EHR 利用不可、EHR 読み取り専用、EHR 新規文書化用に復旧、ダウンタイム記録のアップロード保留中、ポータル利用可能、薬局送信復旧、検査オーダー復旧、電話システム復旧、パートナー接続検証済み、といったサービス状態を特定することができます。患者と臨床医が必要とするのは、ファイアウォールルールではなく、サービス状態です。
薬局の継続性は実用的なケアのテストだった
投薬アクセスは、ランサムウェアがどのようにデータセンターを離れて日常生活に入り込むかを示す最も明確な例の 1 つでした。Ascension は患者に対し、処方薬のボトル、処方箋番号、薬リストを持参するよう指示し、ケアチームが薬局に投薬の必要性を電話できるようにしました。その後、Ascension は、Ascension Rx の小売り、宅配、専門薬局のサイトが営業しており、処方箋のニーズに対応できること、そして医療提供者は Ascension Rx 薬局に電子的に処方箋を送信できることを発表しました。(Ascension サイバーセキュリティイベントページ)
この一連の流れが重要なのは、薬局の継続性がオプションではないからです。慢性薬の場合、遅延は健康上の結果をもたらす可能性があります。抗生物質、抗凝固薬、インスリン、発作薬、移植薬、精神科薬、または処置後の疼痛管理では、ワークフローの摩擦が臨床リスクになる可能性があります。ケアチームは手動で薬局に電話することができますが、手動の経路では、最新の投薬知識、正確な患者識別、明確な投与量、保険または支払いの処理、薬剤師の確認、そして行われたことを文書化する方法が必要です。
Spectrum News は、ウィスコンシン州の地元薬局が Ascension のサイバー攻撃に対処し、患者を慢性薬で維持する必要性について報じました。(Spectrum News の薬局レポート)この地域の視点は、薬局の混乱がしばしば分散しているため有用です。それは必ずしも劇的な病院の失敗として現れるわけではありません。それは、患者、薬剤師、処方者が治療を継続するために十分な情報を再構築しようとする姿として現れます。
したがって、投薬のダウンタイム計画は、患者安全の管理策として扱われるべきです。計画では、どの薬リストにオフラインでアクセスできるか、アレルギーをどのようにチェックするか、規制薬物のワークフローをどのように処理するか、リフィルをどのように承認するか、緊急の投薬ニーズにどのように優先順位を付けるか、そして手動処方が復旧後に EHR とどのように調整されるかを定義する必要があります。また、患者に何を伝えるかも定義する必要があります。患者に薬のボトルを持参するよう依頼するのは賢明ですが、それは、病気であったり、高齢であったり、恐怖を感じていたり、低所得であったり、交通手段がなかったり、きちんと整理された処方箋を持っていなかったりする人々に負担を移すことにもなります。
公的記録は、Ascension が薬局の問題を認識していたことを示しています。残る説明責任の問題は、それらの回避策が州やケアサイト全体でどれほど均一に機能したかです。
パートナーの再接続はそれ自体がリスク面だった
Ascension の 5 月 21 日と 5 月 24 日の更新では、別の過小評価された復旧問題が特定されました。パートナーとベンダーがネットワークに再接続しなければならなかったのです。Ascension は、重要なパートナーやベンダーとの定期的なタッチポイントを開始し、彼らが Ascension ネットワークへの接続を復旧するのを支援する情報を提供したと述べました。5 月 24 日には、多くのベンダーやパートナーが再接続とサービスの再開を開始し、それが復旧を加速させるはずだと述べました。(Ascension サイバーセキュリティイベントページ)
パートナーの再接続は、スケジュールの詳細ではありません。それはセキュリティと継続性の決定です。病院は、ラボ、画像ベンダー、薬局、収益サイクルパートナー、デバイスベンダー、クラウドシステム、専門サービスプロバイダー、救急車パートナー、人員配置システム、サプライヤー、サポート組織に依存しています。ランサムウェア対応では、これらのリンクを切断または制限する必要がある場合があります。復旧には、どのリンクを復旧しても安全か、どの順序で、どのような監視の下で、そして各側からのどのような証拠をもって復旧するかを決定する必要があります。
ここで、公共セクターの継続性とデータの局所性が交わります。医療データは 1 つの整った場所に保持されているわけではありません。それは、臨床システム、ファイルサーバー、患者ポータル、請求ワークフロー、ラボインターフェース、薬局経路、保険会社チャネル、ベンダー環境を流れます。Ascension は後に、攻撃者が約 25,000 台のサーバーのうち 7 台から、主にアソシエイトが日常的および定型的なタスクに使用するファイルを取得し、一部のファイルには PHI や PII が含まれている可能性があると述べました。また、EHR や他の臨床システムからデータが取得された証拠はないと述べました。(Ascension サイバーセキュリティイベントページ)
これらの声明は有用な境界線を引きますが、物理的な局所性よりもアクセスの局所性がなぜ重要かを浮き彫りにします。記録は、米国の非営利医療システムによって合法的に保持されていても、侵害されたワークフロー、日常的なファイルサーバー、またはパートナー経路を介して到達可能であれば、露出する可能性があります。医療におけるデータ主権とは、データが存在する場所だけではなく、誰がそれに触れ、コピーし、送信し、エクスポートし、閲覧し、あるいは侵害後に再接続できるかということです。
したがって、重要なインシデント後の証拠は、「システムが復旧した」ということだけではありません。「接続が検証を経て復旧した」ということです。医療システムは、パートナーの再接続が、侵害された資格情報、古い信頼関係、未レビューのリモートアクセス、監視されていないデータ経路を再導入しなかったことを示すことができるべきです。
データ侵害は臨床停止とは同じではなかった
Ascension の 12 月 19 日の更新は、記録の別の部分を完了しました。サードパーティの専門家と協力して、潜在的に影響を受けたデータをレビューした後、Ascension は、個人情報が関与した個人への通知を開始し、無料のクレジットモニタリングと個人情報保護サービスを提供すると発表しました。情報には、診療記録番号、サービス日、臨床検査の種類や処置コードなどの医療情報、支払い情報、保険情報、政府発行の ID、生年月日や住所などのその他の個人情報が含まれる可能性があります。(Ascension サイバーセキュリティイベントページ)
このデータ記録は、ケア継続性の記録に統合されるべきではありません。停止は 5 月と 6 月に発生しました。データ通知は、ファイルレビューの後、数ヶ月にわたって展開されました。どちらも同じ攻撃の結果ですが、異なる義務を生み出します。臨床停止には、即時の代替ケア、迂回決定、安全チェック、患者コミュニケーション、復旧が必要です。データ侵害には、母集団分析、フィールドマッピング、法的通知、ID サポート、規制当局への報告、長期的な詐欺に対する警戒が必要です。
HHS 侵害通知規則のページは、保護されていない保護対象医療情報に関する連邦通知の枠組みを説明しており、500 人以上の個人に影響を与える侵害のタイミング義務も含まれています。(HHS 侵害通知規則)HHS はまた、長官への通知の提出に関するガイダンスを公開しています。(HHS 侵害報告ページ)OCR の公開侵害ポータルには、調査中の大規模侵害報告がリストされています。(HHS OCR 侵害ポータル)
Ascension の声明における境界は重要です。患者データが関与していましたが、Ascension は、完全な患者記録が保存されている EHR や他の臨床システムからデータが取得された証拠は依然としてないと述べました。これは意味のある保証ですが、害の完全な消去ではありません。サービス日、臨床検査の種類、処置コード、保険番号、政府発行の ID は依然として機密情報です。Ascension の公的記録上、完全な EHR 記録が取得されたことは示されていないという事実は、日常的なファイルサーバーのデータが無害であることを意味しません。
また、影響を受けたすべての人が同じリスクを経験したことを証明するものでもありません。Ascension は、データは個人によって異なり、一般的な公式声明では個人ごとに確認できなかったと述べました。良好な通知記録は、各人に可能な限り具体的な利用可能なフィールドカテゴリとサポート手順を提供するべきです。大規模な医療システムは、データタイプによって個人リスクが異なる場合に、単一の広範なリストに依存すべきではありません。
州および業界の報告は、プライバシー記録がどのように消費者保護記録に変わったかを示しています。ミシガン州司法長官 Dana Nessel 氏は、Ascension が一部の個人情報が関与した可能性があると警告した後、Ascension の患者とアソシエイトに無料のクレジットモニタリングを検討するよう促しました。(ミシガン州司法長官通知)Healthcare Dive は後に、公的な侵害通知の文脈で、連邦侵害規模を 560 万人と報じました。(Healthcare Dive の侵害レポート)これらの情報源は Ascension の通知や HHS ポータルを置き換えるものではありませんが、インシデントのプライバシーへの影響が臨床復旧後も続いていたことを示しています。
悪意のあるファイルの説明は説明責任の終わりではない
6 月 12 日、Ascension は攻撃者がどのようにアクセスしたかを特定したと発表しました。施設で働く個人が、正当なものと思って悪意のあるファイルを誤ってダウンロードしたのです。Ascension は、これが単なる正直なミスである以外の理由があると信じる理由はないと述べました。(Ascension サイバーセキュリティイベントページ)
これは有用な事実ですが、便利な結末にしてはいけません。現代のセキュリティは、一部の従業員がクリックすることを前提とすべきです。説明責任のある管理策は、クリックの前後にあります。メールセキュリティ、ブラウザ分離、添付ファイルの無害化、エンドポイント検出、最小権限、アプリケーション制御、セグメンテーション、ラテラルムーブメントの検出、ファイルサーバーのアクセス制御、バックアップの分離、インシデント対応、臨床ダウンタイムの準備です。
HHS のセキュリティ規則ページは、電子保護対象医療情報の機密性、完全性、可用性を保護するために、管理上、物理的、技術的なセーフガードが必要であると一般的に規定しています。(HHS セキュリティ規則)HHS はまた、HIPAA 対象事業者およびビジネスアソシエイト向けのサイバーセキュリティガイダンス資料を維持しています。(HHS サイバーセキュリティガイダンス資料)CISA の StopRansomware ガイドも、準備、予防、対応計画、バックアップ、コミュニケーションを強調しています。(CISA StopRansomware ガイド)
これらの一般的な情報源は、Ascension が規則に違反したという認定ではありません。それらは重要な管理カテゴリを定義しています。中核的な説明責任の原則は、合理的な階層が爆発半径を制限できるのであれば、1 回の偶発的なダウンロードがシステム全体の臨床混乱になることを許してはならないということです。もしそれがシステム全体になる場合、組織は、なぜそうなったのか、何が失敗したのか、何が機能したのか、何が変わったのかを説明できなければなりません。
「正直なミス」という表現は人道的です。個人の従業員をスケープゴートにするのを避けています。しかし、人道的な表現は、組織的な学習と組み合わされるべきです。従業員を非難するのは弱い説明責任です。従業員の行動をより大きな管理システムの一つのシグナルとして扱う方が強力です。
財務回復は患者の負担を測定しなかった
Ascension の財務開示は、この事象がインシデントページを超えて運用上の影響を及ぼしたことを示しています。2024 年 9 月、Ascension は、5 月と 6 月の事業がサイバーセキュリティインシデントの影響を受け、事業中断による収益の減少、問題修復のためのコスト、その他の事業費用が発生したと述べました。また、バランスシートと流動性の水準は依然として強固であり、ケアを提供し続けるのに十分な流動性があると述べました。(Ascension FY24 第 4 四半期決算)
2025 年 2 月、Ascension は、FY24 第 4 四半期の事業が 5 月のサイバー攻撃の影響を受けたが、FY25 の患者数は回復を続けており、サイバー事象以降、同一施設の患者数が約 5〜6%改善し、主要な運用 KPI が通常の運用状態に戻りつつあると述べました。(Ascension FY25 第 2 四半期決算)
これらの声明は組織のレジリエンスにとっては有用ですが、完全な患者被害の説明ではありません。収益の回復と患者数の回復は、予約の遅延、患者の不満、薬局のストレス、臨床医の残業、地域的な迂回、繰り返される病歴聴取、手作業の文書化、信頼の喪失と共存する可能性があります。システムは財務的に回復する一方で、一部の患者は自分の記録が利用できなかった日をまだ覚えているかもしれません。
インシデント後の報告が少なくとも 4 つの復旧指標を分離すれば、説明責任の記録はより強力になります。第一に、技術的復旧:どのシステムがクリーンで利用可能か。第二に、臨床的復旧:どのケア機能が通常のワークフローに戻ったか。第三に、記録の復旧:ダウンタイムの文書化がどのように調整されたか。第四に、患者サポート:どのような遅延、迂回、再スケジュール、データ通知にフォローアップが必要だったか。
Ascension の財務ページは、大規模な組織が事象を吸収したことを示しています。それは、患者、臨床医、薬局、救急サービス、地域コミュニティ全体にわたる不便とリスクの全分布を示してはいません。これは Ascension に固有の欠陥ではありません。サイバーインシデント報告におけるより広範な問題です。バランスシートは、ケアの摩擦よりも要約しやすいのです。
セクターは病院ランサムウェアを公共の機能として扱った
Ascension は、FBI、CISA、HHS、米国病院協会などの法執行機関や政府パートナーに通知し、関連する脅威インテリジェンスを H-ISAC と共有して、業界パートナーや同業者が自らを保護できるようにしたと述べました。(Ascension サイバーセキュリティイベントページ)この複数機関の枠組みは重要です。なぜなら、病院ランサムウェアイベントは、被害者と攻撃者の間の単なる私的な問題ではないからです。
病院は地域の救急能力の一部です。複数の病院がダウンタイム手順や迂回に入ると、周辺の病院、EMS 機関、公衆衛生当局、患者がその変化を感じます。これは実践における公共セクターの継続性です。政府は Ascension の EHR を運営しているわけではありませんが、大規模な医療システムが混乱したときに、救急医療、公共警告、法執行、脅威インテリジェンス、HIPAA 監視が機能し続けるかどうかに関心を持っています。
米国病院協会のサイバーセキュリティ作業は、病院に対するランサムウェアを患者安全の問題として繰り返し位置づけてきました。そのサイバーセキュリティページは、病院や医療システムのサイバーレジリエンスの準備を強調しています。(AHA サイバーセキュリティリソースセンター)AHA はまた、Ascension の社長が、5 月の攻撃が Ascension の病院全体で業務を混乱させ、数千のコンピュータシステムを暗号化し、電子カルテを利用不能にしたと共有した国連安全保障理事会の議論を要約しました。(AHA 国連安保理ランサムウェア要約)
これらのセクター情報源は慎重に使用されるべきです。それらは Ascension 自身のインシデント時系列に取って代わるものではありません。それらは、病院のサイバーレジリエンスが今や国家安全保障、公衆衛生、緊急管理の議論の一部であることを示しています。医療のデジタル化が進むほど、ランサムウェアをバックオフィスの IT 問題として扱うことは信頼性が低くなります。
患者のコントロールは狭く、エクスポージャーは高かった
Ascension が患者に与えた指示は実用的でした。症状、薬リスト、処方箋番号またはボトルを持参すること、最新情報を監視すること、懸念がある場合はクレジットモニタリングを利用すること、ダウンタイム中の記録の利用可能性について担当臨床医オフィスに連絡すること、緊急時は 911 に電話することです。これらの手順は、人々が困難な状況を乗り切るのに役立ちました。それらはまた、不均衡を示しています。
患者はボトルを持参することができましたが、EHR を復旧することはできませんでした。自分の病歴を繰り返すことはできましたが、以前のメモが見えているかどうかはわかりませんでした。再スケジュールを受け入れることはできましたが、復旧順序を選択することはできませんでした。クレジットモニタリングに登録することはできましたが、処置コード、保険番号、サービス日を露出解除することはできませんでした。詐欺に警戒することはできましたが、自分のデータがコピーされている可能性のあるすべての場所を知ることはできませんでした。
この不均衡こそが、警戒の言葉が組織的な説明責任の代わりになるべきではない理由です。患者に何をすべきかを伝えることは適切ですが、患者の行動が欠落した管理策を補うことができると示唆するのは不十分です。医療においては、下流の被害に最もさらされる人は、しばしば運用上の力が最も少ない人です。
脆弱性の次元は特に重要です。なぜなら、Ascension の使命は貧しく脆弱な人々へのケアを強調しており、そのメディアリソースは、救急外来受診、出産、手術、退院、コミュニティベネフィットプログラムを伴う大規模なシステムを説明しているからです。(Ascension メディアリソース)ランサムウェア停止は均等に着地しません。交通手段のない患者、有給休暇のない患者、慢性疾患を持つ患者、不安定な住居の患者、言語の壁のある患者、メンタルヘルスのニーズがある患者、複雑な投薬計画の患者は、摩擦の余地が少なくなります。
したがって、説明責任のある継続性計画は、患者に課せられた負担を測定すべきです。何件の予約が一時停止または再スケジュールされたか?何人の患者が投薬の回避策サポートを必要としたか?通知にはどの言語が使用されたか?信頼できるインターネットや電話アクセスがない患者にはどのように連絡したか?救急迂回は地域の EMS とどのように調整されたか?継続的なケアを必要とする患者のために、ダウンタイムの文書化はどのように調整されたか?これらの質問は、単一の復旧日よりもベッドサイドの説明責任をよりよく定義します。
データ主権は到達可能性に関するものだった
マニフェストトピック「データ主権と局所性」は、サーバーが物理的にどこにあったかという狭い問題ではありません。Ascension のケースは、より関連性の高い医療の質問を示しています。通常の作業中に、どのデータがどのアクセス経路を通じて到達可能だったか?
Ascension は、攻撃者が約 25,000 台のサーバーのうち 7 台から、主にアソシエイトが日常的および定型的なタスクに使用するファイルを取得したと述べました。また、それらのファイルには PHI や PII が含まれている可能性があると述べました。この組み合わせは示唆的です。機密データは、日常的なワークスペース、エクスポート、添付ファイル、共有フォルダ、作業キュー、レポートファイル、スキャンされた文書、一時的な運用ストアに存在する可能性があります。EHR は完全な患者記録かもしれませんが、患者情報が現れる唯一の場所ではありません。
現在の Ascension One のページは、請求書の支払い、検査およびラボ結果の表示、医師との連絡維持、家族の予約のスケジュールと管理のための患者デジタル体験を説明しています。(Ascension One)この公開製品の文言はインシデントの情報源ではありません。これは読者が通常の期待を理解するのに役立ちます。患者と臨床医は現在、接続されたアカウント、ポータル、記録、ワークフローを通じてケアを体験しています。ランサムウェア対応がそのエコシステムの一部を無効にすると、局所性は機能的になります。データとケアは、それらが必要とされた瞬間にそれらにアクセスできるシステムにとってローカルです。
データ最小化とアクセスガバナンスの質問が続きます。なぜ日常的なファイルサーバーは、それが保持していたフィールドを保持していたのか?機密性の高いエクスポートは期間限定だったのか?ファイルは分類され監視されていたのか?日常的なアソシエイトサーバーは臨床システムからセグメント化されていたのか?ダウンロードされたファイルはエンドポイント制御によって制限されていたのか?古い日常的なファイルはアーカイブまたは削除されていたのか?パートナーのアクセス経路は十分に狭かったのか?公的記録はこれらの質問に答えていません。それらを必要とさせています。
正しい教訓は、EHR システムを他のシステムに決して接続すべきではないということではありません。医療はそのようには運営できません。教訓は、患者データのすべての二次コピーが臨床的およびプライバシーの爆発半径の一部になるということです。
より良い証拠はどのようなものか
医療システムの成熟した公開インシデント後記録は、機密性の高いセキュリティ詳細を公開することなく、いくつかの質問に答えるべきです。
第一に、サービス状態のタイムラインを提供すべきです。EHR アクセス、ポータルアクセス、電話システム、投薬オーダー、ラボオーダー、処置スケジュール、薬局送信、請求システム、パートナー接続、地域の迂回状態がいつ変化したかを特定すべきです。Ascension のイベントページは多くの更新を提供しましたが、統合されたタイムラインがあれば、記録の監査が容易になります。
第二に、臨床ダウンタイムの説明を提供すべきです。その説明では、どのダウンタイム手順が起動されたか、スタッフがどのようにサポートされたか、手動文書化がどのように調整されたか、投薬とラボの安全チェックがどのように維持されたか、インシデント固有の安全レビューが行われたかどうかを説明すべきです。個人の患者の出来事を明らかにすべきではありませんが、管理システムを示すべきです。
第三に、カテゴリ別のデータマップを提供すべきです。Ascension の 12 月の通知は可能性のあるカテゴリをリストしましたが、より強力な基準は、可能な場合にフィールドレベルの通知です。診療記録番号、サービス日、処置コード、ラボテストの種類、保険識別子、支払いフィールド、政府 ID、住所、生年月日、従業員データは、各人により具体的に伝えることができるのであれば、ブレンドされるべきではありません。
第四に、アクセス経路と封じ込めを高いレベルで説明すべきです。悪意のあるファイルの説明は有用です。完全な記録は、その後に変更された組織的管理策、例えばメールフィルタリング、エンドポイントポリシー、ファイルサーバーアクセスレビュー、セグメンテーション、ロギング、バックアップ分離、特権アクセス制御を追加するでしょうが、攻撃者にプレイブックを与えることはありません。
第五に、集計された患者影響指標を公開すべきです。予約の一時停止、再スケジュール、地域別の迂回期間、薬局の回避策の量、ポータルのバックログ、サポートラインの活動。公開情報はプライバシーを保護し、かつ意味のあるものにすることができます。
最後に、未解決の問題を明確にすべきです。訴訟、規制当局のレビュー、セキュリティリスクのために詳細が制限される場合は、その旨を明記します。患者は、境界が明示されている場合の不確実性にうまく対処できます。
教訓はベッドサイドのレジリエンス
Ascension は犯罪の被害者でした。この事実は率直に述べられるべきです。犯罪行為者がランサムウェア攻撃を引き起こしました。法執行機関とサイバー機関は、調査、インテリジェンス、抑止という公的な役割を担っています。病院がすべての悪意のある試みをインシデントなしに撃退することを期待されるべきではありません。
しかし、医療における説明責任は被害者性で止まりません。医療システムは、ランサムウェアが管理可能な停止になるか、それともベッドサイドの混乱になるかを決定するアーキテクチャ、トレーニング、ダウンタイム手順、パートナーの依存関係、データストア、復旧シーケンス、患者コミュニケーションを管理しています。Ascension の公的記録は、レジリエンスと負担の両方を示しています。病院は営業を続け、臨床医はケアを続け、EHR の復旧が優先され、薬局はオンラインに戻り、システムは最終的に復旧し、通知が送られました。同時に、救急の迂回、ケアの一時停止、通常の記録アクセスの欠如、ポータルの完全性の遅延、数ヶ月にわたるデータ分析、重大な財務的影響も示しています。
永続的な教訓は、医療におけるランサムウェア復旧は臨床の分野であるということです。それは、取締役会の監督、看護業務、薬局のリーダーシップ、救急管理、収益サイクル計画、プライバシーコンプライアンス、ベンダーガバナンス、患者コミュニケーションに属し、セキュリティ運用だけに属するのではありません。カルテはケアの一部です。オーダーシステムはケアの一部です。ポータルはケアの一部です。ダウンタイムパケットはケアの一部です。これらのシステムが故障したとき、説明責任は、デジタル基盤が再び信頼できることを証明しながら、組織が安全に人々の治療を続けられるかどうかによって測定されます。

