概況
- CommonSpirit Health の2022年のランサムウェアインシデントは、リスクと説明責任のファイルに属します。確認された公開記録が、ランサムウェア攻撃とシステム封じ込め、ケア継続作業、電子健康記録や患者ポータルへの影響、患者データ通知、法執行機関および HHS への通知、事業中断と是正措置に関連する財務影響を結びつけているためです。
- 病院システムの封じ込め、臨床ダウンタイム手順、患者データの範囲特定、予約・処置の連絡、復旧順序、そして医療提供者が侵害されたシステムを復旧しながらケア継続を保護した証拠について、実際に実務的制御を持っていたのは誰か?
- CommonSpirit のインシデントアップデート(https://www.commonspirit.org/news-articles/commonspirit-update)は、組織が一部の施設に影響を与えるサイバー攻撃に対応しており、システムを保護し、インシデントを封じ込め、調査を開始し、ケアの継続性を維持するために動員したと述べています。影響を受けた施設は、電子健康記録や患者ポータルを含む特定のシステムをオフラインにするなど、既存のプロトコルに従いました。
- CommonSpirit の2023年年次報告書(PDF)は、2022年10月2日の出来事をランサムウェア攻撃と説明し、組織が法執行機関および米国保健福祉省に通知したこと、2023年4月に影響を受ける可能性のある個人への通知を完了したこと、そして推定約1億6000万ドルの悪影響を与える財政的影響を報告しました。
- 本記事は、CommonSpirit の公式アップデート、CommonSpirit の監査済みおよび四半期財務報告、州の情報漏洩通知資料、HHS/OCR の情報漏洩通知資料、NIST のインシデント対応ガイダンス、CISA のヘルスケアおよびランサムウェアガイダンス、AHRQ の患者安全資料を最も強力な公開記録として扱います。ニュース報道は、同時代の時系列と公衆への影響の文脈にのみ使用され、民間の鑑定的証拠としては使用されません。
このケースがリスクと説明責任のファイルに属する理由
CommonSpirit Health がリスクと説明責任のファイルに属するのは、医療システムがエンタープライズネットワークである前にケア提供機関だからです。この種の組織内でのランサムウェア事象は、サーバー、ワークステーション、ポータル、請求ツールに影響を与えるだけではありません。臨床医がカルテを見られるかどうか、看護師が投薬履歴を確認できるかどうか、スケジューラーが患者に連絡できるかどうか、検査結果が利用可能かどうか、患者ポータルが記録を表示できるかどうか、予約が確定されるかどうか、患者が自分の個人情報に何が起こったかを理解できるかどうかに影響を与える可能性があります。したがって、説明責任の問題はマルウェアの語彙ではなく、ケア継続から始まります。
CommonSpirit の公式アップデート(CommonSpirit のインシデントアップデート)は、中核となる公開運用記録を提供しています。それによると、CommonSpirit は一部の施設に影響を与えるサイバー攻撃への対応を管理しており、ケアの提供を優先し、システムを保護し、インシデントを封じ込め、調査を開始し、ケアの継続性を維持するために動員しました。また、影響を受けた施設は、電子健康記録や患者ポータルなどの特定のシステムをオフラインにするなど、既存のプロトコルに従いました。これらの事実は、公開記録自体がシステム保護の決定と臨床ダウンタイム手順を結びつけているため、このケースをケア継続ケースとするのに十分です。
CommonSpirit の2023年年次報告書(CommonSpirit の2023年年次報告書)は、エンタープライズリスク記録を提供しています。2022年10月2日の出来事を特定のシステムに影響を与えたランサムウェア攻撃として特定しています。CommonSpirit はシステムを保護し、インシデントを封じ込め、調査を開始し、ケアの継続性を維持するための即時措置を講じました。CommonSpirit は大手サイバーセキュリティ専門家を起用し、法執行機関および米国保健福祉省(HHS)に通知し、2023年4月に影響を受ける可能性のある個人への通知を完了し、保険回収の可能性を除き、これまでの推定約1億6000万ドルの悪影響を財政的に見積もりました。この提出書類は、インシデントを地域の停止ニュースから正式なガバナンス記録へと移行させます。
患者通知記録はプライバシーの側面を提供します。バージニアメイソンフランシスカンヘルスの通知(https://www.vmfh.org/notice-of-data-security-incident)は、2022年10月2日に検出された活動が後にランサムウェアであると判断されたこと、CommonSpirit が事前に特定のシステムをオフラインにしたこと、調査により2022年9月16日から10月3日までの間に不正な第三者がネットワークの一部にアクセスしていたこと、ファイルに個人情報が含まれていた可能性があることを述べています。マサチューセッツ州の情報漏洩通知 PDF(ダウンロード)は、同じ広範なイベントに関する別の公開通知記録を提供しています。これらの通知は、完全な鑑定的報告書としてではなく、通知証拠として読まれるべきです。
したがって、説明責任の枠組みは明確です。CommonSpirit は、影響を受けたネットワーク対応、鑑定調査、復旧順序、患者通知の内容とタイミング、規制当局や影響を受けたコミュニティが利用できる証拠を管理していました。患者と地元の臨床医はクリニックや病院内での即時の選択肢を管理していましたが、システムアーキテクチャ、調査、影響を受けるファイルのレビュー、エンタープライズ復旧計画を管理していたわけではありません。説明責任はその管理ギャップに従います。
確認された記録はランサムウェアとケア継続から始まる
確認された公開事実には、日付、インシデントタイプ、高レベルの対応が含まれます。CommonSpirit の年次報告書は、2022年10月2日に特定のシステムに影響を与えるランサムウェア攻撃を経験したと述べています。CommonSpirit のアップデートは、組織が一部の施設に影響を与えるサイバー攻撃に対応していると述べています。アップデートと年次報告書の両方が封じ込め、調査、ケア継続を強調しています。この繰り返される表現は重要です。CommonSpirit がインシデントを単なるプライバシーイベントや事業中断としてではなく、医療運用イベントとして説明していたことを示しています。
公式アップデートはまた、組織の影響を受けた部分と受けなかった部分を区別しています。Dignity Health、Virginia Mason Medical Center、TriHealth、Centura Health の施設では、クリニック、患者ケア、および関連システムへの影響はなかったと述べています。この区別は重要です。CommonSpirit は大規模なシステムであり、影響は不均等になり得るからです。一部の施設ではダウンタイム手順が適用される一方、他の施設では通常のワークフローが維持される可能性があります。一部の患者はポータルアクセスを失い、他の患者は失わないかもしれません。一部の臨床医は紙や代替手順で作業し、他の臨床医は通常のアクセスを維持するかもしれません。公開説明責任記録は、ケースを単一の全国的な停止に平準化するのではなく、これらの違いを保持しなければなりません。
CommonSpirit のアップデートは、大部分の市場のプロバイダーが病院やクリニックを含むシステム全体で電子健康記録に再びアクセスできるようになり、ほとんどの患者が患者ポータルを通じて病歴を確認できるようになったと述べています。また、組織はポータルでの予約スケジューリング機能の復旧に取り組んでおり、それまでは患者は直接プロバイダーオフィスに連絡して予約を取るべきだと述べています。これは特に重要な詳細です。多くのユーザーに対してアクセスが戻った後でも、スケジューリング機能は別の復旧トラックであり続ける可能性があることを示しています。
公式記録は、すべての施設の影響、すべてのダウンタイム手順、キャンセルまたは延期された予約の正確な数、完全なアプリケーションインベントリ、初期アクセス方法、ランサムウェアの亜種、完全な復旧タイムライン、すべての患者コミュニケーションを公開しているわけではありません。これらは公開記録上の未知数です。根拠のない主張で埋めるべきではありません。しかし、公開記録は説明責任を評価するのに十分な事実を確認しています。ランサムウェア攻撃、システムのオフライン化、影響を受けた施設での電子健康記録とポータルへの影響、臨床継続プロトコル、外部専門家、法執行機関と HHS への通知、患者通知、財務影響です。
サポートされる推論は、被害範囲が IT 可用性よりも広かったということです。電子健康記録や患者ポータルが封じ込めの一環としてオフラインにされた場合、運用上の結果には手動文書化、代替投薬履歴手順、患者セルフサービスの遅延、直接電話によるスケジューリング、スタッフの作業負荷増加、どの記録が最新かについての不確実性が含まれます。AHRQ の患者安全視点(https://psnet.ahrq.gov/perspective/cybersecurity-and-how-maintain-patient-safety)は、なぜ高影響のランサムウェアが患者安全問題であるかを説明しています。ネットワーク化された技術の喪失は、ケア提供、電子記録、接続された診断技術を混乱させる可能性があります。この情報源は CommonSpirit 固有の証拠ではありません。CommonSpirit 記録を解釈するために必要な医療安全語彙を提供します。
ケア継続が最初の説明責任領域
ケア継続が最初の説明責任領域であるのは、患者がケアの途中で単に病院ネットワークを代替できないからです。予定された処置、アクティブな治療計画、保留中の検査結果、投薬質問、妊娠予約、画像フォローアップ、腫瘍科訪問がある患者は、技術的原因が臨床的結果から分離されていると言われることはできません。技術はエンタープライズインフラかもしれませんが、影響を受ける人はそれをケア経路として経験します。そのため、CommonSpirit 自身の「ケア継続」という表現が中心的な証拠となります。
ダウンタイム手順は二次的な詳細ではありません。通常のデジタル経路が利用できない場合にケアを動かし続ける制御層です。ランサムウェアインシデントでは、臨床医がどのようにケアを文書化するか、オーダーがどのように発行されるか、投薬安全がどのようにチェックされるか、アレルギーがどのように確認されるか、検査や画像結果がどのように要求または配信されるか、入院と退院がどのように管理されるか、紹介がどのように追跡されるか、緊急処置がどのように優先順位付けられるか、システム復旧後に記録がどのように調整されるかを定義する必要があります。公開記録は、影響を受けた施設が既存のプロトコルに従ったと述べています。それらのプロトコルを公開しておらず、運用上機密の手順が完全に公開されることを期待するのは適切ではありません。しかし、説明責任はそれらが存在し、活性化され、人員が配置され、後にレビューされたことを要求します。
患者はまた、ケアの端でのコミュニケーションを必要とします。CommonSpirit のアップデートは、ポータルスケジューリング機能が復旧される間、患者は直接プロバイダーオフィスに連絡して予約を取るよう指示しました。これは実用的な指示ですが、負担の移行も明らかにします。患者ポータルが機能しない場合、医療システムは患者を電話ベースのワークフローに誘導できます。これにより一部のアクセスは維持されますが、通話量の増加、待ち時間の長期化、一貫性のないメッセージ、デジタルスケジューリング、代理アクセス、言語サポート、介護者調整に依存する患者にとって不利になる可能性があります。完全な説明責任ファイルは、地元のクリニックが追加需要をどのように処理したか、患者に何が利用可能であるかをどのように伝えたかを文書化するでしょう。
ケア継続には、復旧されたシステムへの臨床的信頼も含まれます。復旧とは、単に電子健康記録にログインすることだけではありません。ダウンタイム中に入力された記録が調整されたか、スキャンまたは紙のメモが正しく添付されたか、ダウンタイム中に発行されたオーダーが正しい患者チャートに入力されたか、予約変更がキャプチャされたか、延期されたケアの患者に連絡されたか、請求記録が実際に提供されたサービスと一致するかを知ることです。CommonSpirit の公開年次報告書は、財務影響を通じて請求と徴収の効果に言及していますが、患者レベルの調整詳細は提供していません。
サポートされる推論は、CommonSpirit がこれらすべてのタスクで失敗したということではありません。サポートされる推論は、これらのタスクが CommonSpirit が確認した種類のインシデントによって作成された説明責任タスクであるということです。医療提供者でのランサムウェアは二重の義務を生み出します。安全なシステムを復旧し、安全なケアを維持することです。組織は合理的な封じ込め決定を行うことができ、それでも混乱中にケアがどのように保護されたかについて患者に明確な証拠を提供する義務があります。
封じ込め決定はシステムを保護しつつ臨床摩擦を増大させる可能性がある
ランサムウェア対応において封じ込めは必要です。システムをオフラインにすることで拡散を止め、証拠を保存し、データを保護できます。しかし、医療においては、封じ込めは即座に臨床摩擦を増大させる可能性があります。電子健康記録、ポータル、他の接続システムが利用できない場合、臨床医は紙、ローカルキャッシュ、口頭での引き継ぎ、緊急手順、手動調整から作業する可能性があります。これは合理的な緊急態勢ですが、リスクがあります。
CommonSpirit の公開アップデートは、影響を受けた施設で電子健康記録や患者ポータルを含む特定のシステムがオフラインにされたと述べています。VMFH 通知(https://www.vmfh.org/notice-of-data-security-incident)は、CommonSpirit がネットワークを保護するための措置を講じ、特定のシステムを事前にオフラインにしたと述べています。これらの声明は封じ込め行動の証拠として扱われるべきです。それ自体では、すべてのシステムがどのくらい利用できなかったか、どの施設がどのワークフロー影響を受けたかを証明するものではありません。しかし、中心的な説明責任トレードオフを特定します。システム保護の決定が患者サービス決定になるのです。
ヘルスケアランサムウェアケースにおける良い封じ込め証拠は、いくつかの質問に答えるべきです。どのシステムがセキュリティ上の理由でオフラインにされたか?暗号化、劣化、または影響を受けたインフラへの依存により利用できなかったものは?どの臨床システムが利用可能のままだったか?どのダウンタイム手順が活性化されたか?どの患者向け機能が一時停止されたか?どのローカルリーダーが緊急性の低い処置を延期する権限を与えられたか?どのサービスが患者の再誘導を必要としたか?どのコミュニケーションが臨床医、患者、公務員に送られたか?復旧後にどの記録が調整される必要があったか?公開記録はこれらの質問の一部に高レベルで答えていますが、すべてではありません。
NIST SP 800-61 Rev. 3(https://csrc.nist.gov/pubs/sp/800/61/r3/final)は、インシデント対応をより広範なサイバーセキュリティリスク管理の一部として位置づけ、準備、検出、対応、復旧、改善を NIST サイバーセキュリティフレームワークに接続しています。NIST のサイバーセキュリティフレームワーク(https://www.nist.gov/cyberframework)は、特定、保護、検出、対応、復旧、ガバナンスのより広範な語彙を提供します。これらの情報源は CommonSpirit に関する所見ではありません。説明責任のある対応ファイルの形状を定義するのに役立ちます。システムを分離する決定だけでなく、分離、調査、復旧、ガバナンス修復が調整されたという証拠です。
セキュリティ自動化はこのケースにおいて重要です。大規模医療システムは、多くの施設にわたって検出、アイデンティティ制御、エンドポイントテレメトリ、セグメンテーション、ロギング、バックアップ検証、復旧オーケストレーションに依存しています。公開記録は、CommonSpirit が使用した正確な検出ツール、バックアップアーキテクチャ、セグメンテーションモデル、アイデンティティ制御の変更を開示していません。これらの詳細を発明するのは不適切です。説明責任基準はより狭く、より強力です。組織は適切な利害関係者に対して、イベントをどのように検出し、拡散を制限し、証拠を保存し、安全に復旧し、その後制御を変更したかを示すことができるべきです。
患者データの範囲特定はシステム復旧と同じではない
患者データの範囲特定は、運用復旧とは別の説明責任領域です。病院はファイルレビューを完了する前に電子システムを復旧できます。患者は、個人情報が不正な第三者によってアクセスされたファイルに含まれていたかどうかをまだ知らないまま、ポータルアクセスを取り戻すことができます。請求システムは、プライバシーチームが影響を受けるデータフィールドのマッピングを続けている間に再開できます。CommonSpirit の公開記録はその分割を反映しています。
VMFH 通知は、不正な第三者が2022年9月16日から10月3日までの間に CommonSpirit ネットワークの一部にアクセスしたと述べています。その不正な第三者が個人情報を含むファイルにアクセスした可能性があると述べています。CommonSpirit は、インシデントの結果として個人情報が悪用された証拠はないと述べています。これらは慎重な通知声明です。すべての患者記録が露出したとは言っていません。悪用が発生したとは言っていません。完全なファイルインベントリを提供していません。しかし、特定のファイルへのアクセスが可能であり、影響を受ける個人に通知されたと述べています。
CommonSpirit の2023年年次報告書は、組織が法執行機関と HHS に通知し、2023年4月にデータが影響を受ける可能性のある個人への通知を完了したと述べています。HHS の情報漏洩通知ルールページ(https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html)は、対象事業者およびビジネスアソシエイトに対する一般ルールを説明しています。影響を受ける個人、HHS、場合によってはメディアへの通知は、保護されていない保護健康情報の情報漏洩後、特に500人以上の個人に影響を与える情報漏洩の場合に特定のタイミング要件とともに必要です。HHS OCR 情報漏洩ポータル(https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf)は、大規模な健康情報漏洩報告の公開メカニズムであるため関連します。本記事は、公開記録から最終的な OCR 執行結果を主張するものではありません。通知義務を枠組みするために HHS 資料を使用します。
マサチューセッツ州通知 URL(https://www.mass.gov/doc/assigned-data-breach-number-29358-commonspirit-health/download)は、州の情報漏洩ポータルが企業ウェブサイト外の消費者通知アーティファクトを保存するため有用です。州通知記録は、患者が移動したり、複数の施設でケアを受けたり、親システムではなく地元ブランドとやり取りする可能性があるため、大規模医療インシデントにおいて重要です。地元の病院名を認識する患者は、すぐに CommonSpirit を認識しないかもしれません。したがって、通知の質は、親組織がインシデントを地元のサービス関係にどのように接続するかに依存します。
データスコーピングはまたカテゴリを区別すべきです。患者データには、氏名、連絡先情報、生年月日、医療記録番号、健康保険情報、診断および治療情報、請求情報、予約情報、その他の識別子が含まれます。公開通知は影響を受けるカテゴリの主要な情報源であるべきです。特定の通知なしに、特定の患者の完全な医療チャート、社会保障番号、支払いカードデータ、処方履歴が露出したと主張するのは根拠がありません。また、データ問題を抽象的なプライバシー問題として扱うのはあまりにも狭いです。医療において、データ露出は信頼、将来のケアシーク、アイデンティティリスク、保険不安、介護者調整に影響を与える可能性があります。
複数州の医療システムは国内でも地域性と主権問題を生み出す
データ主権と地域性のトピックは、ここで実用的な国内感覚で適用されます。CommonSpirit は複数州の医療システムであり、多くの地元ブランド、施設、クリニック、患者コミュニティがあります。現在の公式コンテキスト(https://www.commonspirit.org/about-us)は、24州に2200以上のケアサイトを持つシステムを説明しています。一方、古いインシデント時代の報告や年次資料は、多くの市場にわたる非常に大規模な全国的健康提供者を説明しています。説明責任にとって、正確な現在のフットプリントはあまり重要ではありません。構造的事実は重要です。患者はローカルでケアを経験し、サイバー対応と鑑定スコーピングはエンタープライズレベルで調整される可能性があります。
地域性はコミュニケーションに影響します。患者は地元の病院、クリニック、医師グループ、ポータルブランドを知っているかもしれません。州規制当局は州情報漏洩法に基づいて通知を受け取る可能性があります。連邦機関は HIPAA 関連報告を受け取る可能性があります。企業年次報告書は財務影響を要約する可能性があります。地元ニュースは遅延や混乱を報告する可能性があります。これらの記録はしばしば異なる語彙で語られます。ケアアクセス、消費者通知、連邦健康プライバシー、エンタープライズファイナンス、サイバーレジリエンスです。説明責任はそれらを混同せずに縫い合わせることを要求します。
地域性はまた継続性に影響します。田舎の病院は都市部のクリニックよりも代替手段が少ないかもしれません。専門部門は日常の訪問よりも再スケジュールが難しいかもしれません。多くの高齢患者がいるクリニックは、デジタルファーストの外来診療とは異なるポータル停止を経験するかもしれません。ある州で延期された処置は、全国的な開示に別のラインアイテムとして表示されないかもしれません。しかし、それぞれのローカルな影響は患者にとって重要です。そのため、システムレベルの声明は、影響を受ける施設のローカル運用証拠と組み合わせるべきです。
医療データも文脈的な地域性を持ちます。検査結果、画像報告、臨床メモは、施設、医師、サービス日、患者コンテキストなしではほとんど意味がありません。データスコーピングが患者に「個人情報」が関与した可能性があるとだけ伝える場合、患者はその情報が特定の訪問、プロバイダー、サービスラインに関連するかどうかを知る必要があるかもしれません。情報漏洩通知はすべての詳細を公開できないことがよくありますが、影響を受ける個人はリスクを評価し合理的な措置を取るために十分な情報を必要とします。
サポートされる推論は、CommonSpirit の規模が対応をより困難にしたということです。大規模医療システムは、エンタープライズリソース、サイバーセキュリティ専門家、法務チーム、コミュニケーションサポート、保険適用範囲を提供できます。また、多くの地元ブランド、アプリケーション環境、歴史的買収、請求経路、患者ポータルからの複雑さに直面する可能性があります。年次報告書の1億6000万ドルの推定悪影響は、イベントがエンタープライズの重要性を持っていたことを示しています。すべてのローカル影響を証明するわけではありませんが、インシデントがマイナーなヘルプデスク問題ではなかったことを示しています。
財務影響は説明責任の証拠であり、投資家のコンテキストだけではない
CommonSpirit は非営利医療システムですが、その財務報告は説明責任にとって重要です。2023年年次報告書は、ランサムウェアインシデントにより、関連する事業中断による収益損失、問題是正のために発生した費用、その他の関連事業費用を含む、これまでの推定約1億6000万ドルの悪影響を報告しました。これは患者影響証拠の代わりにはなりません。イベントが測定可能な運用上および財務上の結果をもたらした証拠です。
財務記録はまた復旧を請求と徴収に接続します。CommonSpirit の2023年年次報告書は、サイバーセキュリティインシデントに関連する実質的にすべての該当する売掛金が報告日までに請求され徴収されたと述べています。これは重要なエンタープライズ詳細です。インシデントが収益サイクル運用に影響を与え、請求復旧が対応の追跡された要素であったことを示唆しています。しかし、患者にとって、請求復旧は別の説明責任質問を提起します。患者はダウンタイム後に正確に請求されたか、保険請求が正しく提出されたか、重複または遅延ステートメントが回避されたか、記録が混乱している場合に患者にサポートが提供されたか?
後の年次報告書や四半期資料は、インシデントを継続的なエンタープライズ記録として示し続けています。後の繰り返しは公開記録をより詳細にするわけではありませんが、インシデントがガバナンスおよび開示項目であり続けたことを示すのに役立ちます。
財務影響は過失の証明として読まれるべきではなく、本記事はその主張をしません。ランサムウェアインシデントは、組織が責任を持って対応した場合でも高コストになる可能性があります。説明責任の問題は異なります。インシデントが大規模な事業中断、是正コスト、通知コスト、請求影響、法的エクスポージャー、保険不確実性を生み出す場合、取締役会と経営幹部は教訓がどのように運用修復に変換されたかを示すことができるべきです。コストが修復証拠なしでは説明責任ではありません。コストと文書化されたレジリエンス改善は、制度的学習のように見え始めます。
公開財務報告はまた、インシデントの狭いプライバシーのみの読み取りを防ぐのに役立ちます。CommonSpirit ケースにはデータ通知が含まれていましたが、システム可用性、ケア継続、患者アクセス、請求、復旧も含まれていました。したがって、ヘルスケアランサムウェア説明責任ファイルはプライバシー証拠と運用証拠の両方を含むべきです。通知書は患者にどのデータが関与した可能性があるかを伝えます。継続性記録は患者にケアが保護されたかどうかを伝えます。財務報告は利害関係者に組織がエンタープライズ規模で影響を測定したことを伝えます。どれも単独では十分ではありません。
コミュニケーションは患者、臨床医、コミュニティに同時に役立たなければならない
ヘルスケアランサムウェアインシデントにおけるコミュニケーションは、制御であり、礼儀ではありません。患者は予約が影響を受けるかどうか、ポータルが利用可能かどうか、プロバイダーに電話すべきかどうか、処置が進むかどうか、処方やラボワークフローが変更されたかどうか、データが関与した可能性があるかどうかを知る必要があります。臨床医はどのシステムが利用可能か、どのダウンタイム手順が適用されるか、どのようにケアを文書化するか、どこにオーダーを送るか、どのように結果を取得するか、どのように記録を調整するかを知る必要があります。規制当局は通知と証拠を必要とします。コミュニティは緊急および必須サービスが安全であるという自信を必要とします。
CommonSpirit の公開アップデートは、複数の聴衆に同時に語ろうとしています。患者、従業員、介護者に対応しています。影響を受けた施設がプロトコルに従い、特定のシステムがオフラインにされたことを説明しています。大部分の市場のプロバイダーが電子健康記録に再びアクセスできるようになり、ほとんどの患者が患者ポータルを通じて病歴を確認でき、ポータルを通じたスケジューリングが一部のケースでまだ復旧中であると述べています。患者に直接プロバイダーオフィスに連絡して予約を取るよう指示しています。これは有用な公開運用コミュニケーションです。
しかし、公開記録はまたコミュニケーションがなぜ難しいかを示しています。全国的な医療システムは、攻撃者を助けたり調査を危険にさらす可能性のある情報の公開を避ける必要があるかもしれません。どのファイルに誰の情報が含まれているかをまだ知らないかもしれません。地元施設、州規制当局、HHS、法執行機関、保険会社、外部鑑定専門家と調整する必要があるかもしれません。注意が必要なのは確かです。それでも、注意はケア決定を下さなければならない患者に対する不透明さになるべきではありません。
このケースでの良いコミュニケーションは、少なくとも5つのトラックを分離するでしょう。第一に、臨床可用性:どのサービスが続くか、どの予約が影響を受けるか、誰に電話するか。第二に、デジタルアクセス:どのポータル、スケジューリング機能、記録、メッセージ機能が利用可能か。第三に、データリスク:どの個人が通知されているか、どのカテゴリの情報が関与した可能性があるか、どの保護措置が提供されているか。第四に、復旧状況:何が復旧され、何がまだ検証中か。第五に、説明責任:組織が調査、被害軽減、再発防止のために何をしているか。
Healthcare Dive(https://www.healthcaredive.com/news/commonspirit-health-security-incident-cybersecurity-tennessee/633228/)、Axios(https://www.axios.com/2022/10/18/health-ransomware-attack-vulnerability)、HIPAA Journal(https://www.hipaajournal.com/more-than-623000-patients-affected-by-commonspirit-health-ransomware-attack/)からのニュース報道は、事実がまだ明らかになっている間にインシデントが公にどのように経験され理解されたかを示すため有用です。これらは CommonSpirit 自身のアップデート、財務報告、通知文書の代わりとして扱われません。それらの価値は時系列と公衆影響コンテキストです。
規制当局と基準が対応語彙を定義する
ヘルスケアランサムウェア対応は、セキュリティ実践、ヘルスケアプライバシー法、患者安全、継続計画の交差点に位置します。HHS 情報漏洩通知資料(https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html)は、保護されていない保護健康情報の通知期待を定義します。HHS 405(d) Health Industry Cybersecurity Practices 文書(https://405d.hhs.gov/Documents/HICP-Main-508.pdf)は、ヘルスケアにおけるサイバーセキュリティを脅威の管理と患者の保護として枠組みします。CISA のヘルスケアサイバーセキュリティページ(https://www.cisa.gov/topics/cybersecurity-best-practices/healthcare)と CISA の Stop Ransomware リソース(https://www.cisa.gov/stopransomware)は、セクターとランサムウェアのガイダンスを提供します。NIST SP 800-61 Rev. 3と NIST サイバーセキュリティフレームワークは、インシデント対応とリスク管理の語彙を提供します。
これらの情報源は CommonSpirit 内部で何が起こったかを証明するものではありません。それらは説明責任のある記録が何を含むべきかを評価するために使用されます。ヘルスケアプロバイダーにとって、強力な記録は準備、検出、封じ込め、コミュニケーション、復旧、改善を示すべきです。また、プライバシー通知が唯一の義務として扱われず、患者安全が後付けとして扱われなかったことを示すべきです。中心的な質問は、組織がシステムとデータを保護しながらケアを動かし続けることができるかどうかです。
規制証拠にも限界があります。HHS/OCR 報告は、情報漏洩通知が公開情報漏洩エコシステムに入ったことを示すことができますが、完全な鑑定ナラティブを自動的に提供するわけではありません。州情報漏洩通知は、影響を受ける住民に何が伝えられたかを示すことができますが、すべての運用影響を明らかにしないかもしれません。年次報告書はコストとリスクガバナンスを示すことができますが、通常は臨床手順を説明するのではなく要約します。NIST と CISA はフレームワークを提供しますが、インシデントを検査しません。説明責任はこれらすべてを一緒に読むことを要求します。
タイミング問題もあります。運用復旧は即座に始まります。鑑定スコーピングは数週間から数ヶ月かかる場合があります。患者通知はファイルレビュー後に行われる可能性があります。財務影響は後で測定される可能性があります。訴訟や保険回収はさらに後まで未解決かもしれません。このタイムラグは、影響を受ける患者にとってインシデントが不完全に感じられるようにする可能性があります。強力な公開記録は、現在何がわかっているか、何がまだレビュー中か、いつ次のアップデートが来るか、患者が待っている間に何をすべきかを説明するべきです。
CommonSpirit 公開記録は、特にアップデートページと後の財務報告を通じて、その一部を行っています。未知数は重要であり続けます。初期アクセスベクトル、CommonSpirit によって公に確認されていない場合の正確なランサムウェアグループ、完全な施設別混乱リスト、正確な予約および処置影響、完全なアプリケーション復旧シーケンス、完全な影響を受けるファイルインベントリ、すべての是正措置、すべての規制当局の結論は完全には公開されていません。これらの未知数を名前指定することは、それ自体で批判ではありません。それは公開安全な説明責任ファイルに必要な規律です。
セキュリティ自動化と耐久性のある修復が長期的なテスト
ランサムウェア復旧はシステムがオンラインに戻ったときに完了しません。長期的なテストは、組織が再発の可能性と影響を減らすかどうかです。医療システムにとって、それはアイデンティティ強化、エンドポイント封じ込め、ネットワークセグメンテーション、特権アクセス制御、ロギング、バックアップ復旧テスト、サードパーティアクセスガバナンス、フィッシング耐性、脆弱性管理、ダウンタイム演習、経営幹部監視を意味します。これらの詳細の一部は機密かもしれませんが、ガバナンス証拠は存在するべきです。
セキュリティ自動化は、人間が大規模医療システム全体ですべてのエンドポイント、アイデンティティイベント、異常なファイルアクセス、横移動経路、バックアップ依存関係を手動で監視できないため、関連します。自動化された検出と対応は責任を取り除くものではありません。それらは責任をタイムリーな証拠に変換するのに役立ちます。説明責任の質問は、CommonSpirit が特定の製品を使用したかどうかではありません。インシデント後のプログラムがより高速な検出、より良い封じ込め、よりクリーンな復旧、よりレジリエントなケアワークフローを実証できるかどうかです。
CommonSpirit 年次報告書は、組織が大手サイバーセキュリティ専門家を起用したと述べています。これは意味のある対応ステップです。外部専門家は、範囲調査、鑑定証拠の保存、活動封じ込め、復旧に関するアドバイス、規制当局とのコミュニケーション支援を支援できます。しかし、外部の助けは医療システムから説明責任を移しません。プロバイダーは患者コミュニケーション、臨床継続性、ガバナンス決定に対する責任を保持します。専門家は調査を支援できます。機関はケアの結果を所有しなければなりません。
耐久性のある修復にはまたダウンタイム学習を含めるべきです。ランサムウェアイベント後、病院はダウンタイムパケットが最新だったか、スタッフが手順を知っていたか、紙の文書が読みやすく調整されていたか、薬局とラボのワークフローが持続したか、患者の転送や迂回が必要だったか、通常のシステムなしでコミュニケーションチャネルが機能したか、脆弱な患者に連絡されたかをレビューするべきです。ヘルスケアにおけるサイバーレジリエンスはファイアウォール改善だけではありません。劣化した技術条件下でのケアの運用準備です。
AHRQ PSNet ディスカッション(https://psnet.ahrq.gov/perspective/cybersecurity-and-how-maintain-patient-safety)はその広い視点を捉えています。サイバーリスクは患者安全リスクです。なぜならヘルスケアはネットワーク接続技術に依存しているからです。HHS 405(d)資料(https://405d.hhs.gov/Documents/HICP-Main-508.pdf)も同様にサイバーセキュリティを患者の保護として枠組みしています。CommonSpirit ケースでは、復旧ファイルはシステム復旧マイルストーンだけでなく、患者サービス成果によっても判断されるべきです。
説明責任のある証拠はどのように見えるか
公開記録は説明責任の質問を確立するのに十分強力ですが、完全な説明責任ファイルは公開資料が可能であるよりも運用上詳細になるでしょう。機密のセキュリティ図や患者レベルの記録を公開する必要はありません。組織がサイバー決定をケア結果に一致させた証拠を保存する必要があります。つまり、影響を受ける施設がダウンタイム手順に移行した日付記録、どの患者向け機能が一時停止されたか、どの臨床サービスが制限されたか、どのコミュニケーションチャネルが利用可能のままだったか、臨床医と患者が再びそれらに依存する前にどのシステムが検証されたかです。
同じ証拠ファイルは危機運用を後の調整から分離するでしょう。インシデント中、重要な質問はケアが続けられるかどうか、患者が医療システムに連絡する方法を知っているかどうかです。初期復旧後、質問は変わります。紙の記録が調整されたか、延期された予約が再スケジュールされたか、保留中のオーダーと結果がチェックされたか、請求記録が修正されたか、患者がデータリスクについて通知されたか、スタッフにセキュリティ制御で何が変わったかの明確な説明が与えられたか?サイバーインシデントは、ポータルが戻ったときに公には終わったように見えるかもしれませんが、記録、請求、患者通知の調整の実際の作業は続きます。
完全なファイルはまた、ガバナンスがローカルバリエーションをどのように処理したかを示すでしょう。CommonSpirit の公開アップデートは一部の施設と市場を他から区別しましたが、これはまさに正しい種類の区別です。次のレベルの証拠は、各影響を受けた市場がどのように指示を受け取ったか、ローカルリーダーがケア継続リスクをどのようにエスカレーションしたか、緊急および非緊急サービスがどのように優先順位付けられたか、患者コミュニケーションがローカルブランドとサービスラインにどのように適応されたかを示すでしょう。大規模医療システムは、患者関係が通常ローカルであるため、親会社レベルでのみランサムウェア説明責任を信頼性高く管理することはできません。
最後に、説明責任のある証拠は学習を示すでしょう。組織は適切な利害関係者に対して、インシデント後に何が改善されたかを実証できるべきです。検出とエスカレーション速度、アイデンティティとアクセス制御、エンドポイントカバレッジ、バックアップ検証、セグメンテーション、ベンダーアクセス、ダウンタイムトレーニング、ポータルコンティンジェンシー、コミュニケーションテンプレート、経営幹部監視です。公開文書は機密設定を開示する必要はありません。それでも、対応がコストのかかるイベントからの復旧だけでなく、耐久性のある修復を生み出したことを示すことができます。
確認された事実、サポートされる推論、未知数
確認された公開事実には、CommonSpirit が2022年10月2日に特定のシステムに影響を与えるランサムウェア攻撃を経験したという声明が含まれます。確認された公開事実には、組織がシステムを保護し、インシデントを封じ込め、調査を開始し、ケアの継続性を維持するための措置を講じたという声明が含まれます。確認された事実には、影響を受けた施設が既存のプロトコルに従い、電子健康記録や患者ポータルを含む特定のシステムがオフラインにされたことが含まれます。確認された事実には、サイバーセキュリティ専門家の起用、法執行機関と HHS への通知、2023年4月にデータが影響を受ける可能性のある個人への通知の完了が含まれます。
確認された公開通知事実には、VMFH の声明が含まれます。不正な第三者が2022年9月16日から10月3日までの間に CommonSpirit ネットワークの一部にアクセスしたこと、特定のファイルに個人情報が含まれていた可能性があることです。確認された財務記録事実には、CommonSpirit の2023年年次報告書における推定約1億6000万ドルの悪影響(関連する事業中断による収益損失、是正費用、その他の関連事業費用を含み、保険回収の可能性を除く)が含まれます。
サポートされる推論は、インシデントが抽象的な IT 可用性以上のものに影響を与えたということです。CommonSpirit 自身のアップデートが電子健康記録、患者ポータル、予約スケジューリング機能、プロバイダーアクセス、ケア継続プロトコルを特定したためです。サポートされる推論は、地元の患者と臨床医が施設、市場、システム依存性、サービスラインに応じて異なる影響を経験したということです。サポートされる推論は、完全な対応ファイルにはダウンタイム手順証拠、患者コミュニケーション証拠、影響を受けるファイルレビュー証拠、復旧順序、請求および徴収調整、耐久性のあるサイバーレジリエンス修復を含めるべきであるということです。
未知数は残ります。公開記録は初期アクセスベクトル、CommonSpirit からの完全なランサムウェア攻撃者属性、完全な施設別影響、延期された予約や処置の正確な数、影響を受けるアプリケーションの完全なリスト、すべてのサイトの正確なダウンタイム期間、影響を受けるすべての個人の完全なデータフィールドインベントリ、完全な規制当局の所見、完全な保険回収、完全な訴訟解決、またはすべての技術的是正措置を提供していません。本記事はこれらのギャップを推測で埋めるものではありません。
説明責任の結論は実用的です。CommonSpirit はシステム、調査、復旧順序、患者通知、エンタープライズ修復を管理していました。患者はこれらを管理していませんでした。したがって、公開安全な記録は、封じ込め中にケア継続が保護されたこと、患者データリスクが範囲特定され伝達されたこと、復旧が臨床ニーズに基づいて順序付けられたこと、医療システムがコストのかかるランサムウェアイベントを耐久性のあるレジリエンス改善に変換したことの証拠によってインシデントを判断するべきです。

