概要
- 2021年5月の HSE ランサムウェア攻撃は、封じ込めと復旧の決定が病院、地域サービス、診断、管理、患者コミュニケーションに影響を与えたため、国家的な臨床継続性イベントであった。
- HSE/PwC 独立レビュー、アイルランド NCSC の警告、会計監査院長の財務影響分析、および医療セクターの教訓は、公的報告が技術的なマイルストーンだけでなく、ケアリスクを説明する必要があったことを示している。
- ダウンタイム手順、手動記録、患者連絡、診断の優先順位付け、およびバックログ調整は、復旧証拠の一部であった。なぜなら、復旧したシステムでも臨床的な被害が解決されない可能性があるからである。
- セキュリティ自動化は重要であったが、それはガバナンスと結びついた場合に限る:資産の可視性、エンドポイント監視、ID 管理、セグメント化された復旧、バックアップ検証、および臨床的な優先順位付け。
- 信頼できる説明責任記録は、サービスの影響ごとに復旧を報告すべきである:何が利用できなくなったか、ケアがどのように継続されたか、誰に情報が伝えられたか、復旧がどのように順序付けられたか、どのような患者バックログが残ったか、そして独立レビューが何を見つけたか。
復旧報告はケア管理の問題となった
公的記録は、HSE の公開ページであるConti サイバー攻撃独立事後レビューと、完全なHSE/PwC 独立レビューレポートから始まる。これらの記録は、大規模な国民医療サービスがシステムを隔離し、臨床的および管理的混乱を管理し、公的な圧力の下で再構築することを余儀なくされたランサムウェア攻撃について説明している。今回の主要な説明責任の問題は、単にその後何が変わったかではない。それは、ケアが依然として低下した体制で提供されている間に、復旧がどのように報告されたかである。
医療サービスの復旧報告は、企業の障害報告とは異なる。企業はサービスの低下や復旧を示すステータスページを公開するかもしれない。国家医療サービスは、サービス影響の観点から語らなければならない:どの病院が影響を受けているか、救急部門は開いているか、がんサービスは遅延しているか、検査システムは利用可能か、予約は進めるべきか、臨床医は記録を閲覧できるか、紙の記録は調整中か、脆弱な患者に連絡が行くか。
HSE のインシデントは、これらの質問を避けられないものにした。なぜなら、技術的な封じ込めとケアの継続性は相互依存していたからである。システムを切断する決定は、犯罪者のアクセスを減らす一方で、診断を遅らせる可能性があった。システムを復旧する決定は、サービスを改善する一方で、安全性の保証を必要とした。限られた情報を公開する決定は、セキュリティを保護する一方で、患者に不確実性をもたらす可能性があった。これらはコミュニケーションの後付けではなく、運営上の決定であった。
独立レビューは、このイベントを狭いデバイスクリーニング作業ではなく、全システムの問題として説明しているため有益である。準備、ガバナンス、対応、復旧、および推奨事項について論じている。しかし、国民は事後診断以上のものを必要としていた。障害中および障害後、国民はケアへの影響に関する進行中の説明を必要としていた。これが説明責任のテストである:復旧報告が臨床継続性にとって重要なことを国民に伝えたかどうか。
教訓は、犯罪インシデント中にすべての技術的事実を公開すべきということではない。一部の詳細は攻撃者に役立つだろう。教訓は、医療システムのステータスを患者サービスに基づいて報告すべきということである。「システムを復旧中」では不十分である。「緊急ケアは開いており、選択的活動は臨床的に優先順位付けされ、診断は特定の分野で制限されたままであり、影響を受ける患者は指定されたチャネルを通じて連絡される」という種類の報告が被害を軽減する。
国家規模の隔離が技術的指揮を臨床トリアージに変えた
アイルランドの国家サイバーセキュリティセンター(NCSC)は、2021年5月14日に最初のHSE Conti 警告を発行し、5月16日に更新された警告を発行した。これらの警告は、初期の公共部門の調整記録を示しているため貴重である:指標、ランサムウェアの背景、防御アドバイス、および HSE が危機を管理している間に他の組織が自らの露出を確認する必要性。
同時に、HSE は国家規模の隔離決定を下さなければならなかった。隔離は、医療ネットワークの完全性が不確かな場合に正しい行動となり得る。さらなる拡散を防ぎ、データを保護し、フォレンジック作業のためのスペースを生み出すことができる。しかし、隔離は臨床医や管理者がケア提供に使用するシステムも除去する。医療環境では、ネットワークの切断はサイバー上の決定であると同時に臨床トリアージの決定でもある。
HSE/PwC レポートは、インシデントが医療サービスの多くの部分を混乱させたことを明らかにしている。しかし、公的説明責任の質問はより狭く、より鋭い:誰が復旧順序を管理し、その順序はどのように患者リスクと結びついていたか?放射線科サービス、検査接続、予約システム、メールサービス、給与システム、患者管理システムが特定の時点で復旧した場合、誰かが優先順位の決定を下している。記録は、詳細な復旧計画が機密のままでも、これらの決定の背後にある原則を説明すべきである。
臨床的優先順位付けは復旧報告を導くべきである。緊急ケア、臨界的診断、がん経路、産科サービス、投薬安全性、紹介管理、公衆衛生コミュニケーション、および地域ケアは、異なる緊急性を持つ可能性がある。技術チームはドメインコントローラー、ファイル共有、画像システム、またはエンドポイントクラスを見るかもしれない。患者と臨床医はサービスの影響を見る。復旧報告はこれらの視点間の橋渡しをしなければならない。
初期の NCSC 警告は、外部コミュニケーションが重要である理由も示している。他の公共団体、サプライヤー、および医療パートナーは、最終レビューが存在する前に対応可能な警告を必要としていた。危機の中心にある公共団体は確実性を待つことができなかった。事実がまだ進行中である間に、ケアを保護し防御を調整するために十分な報告をしなければならなかった。
ダウンタイム手順は臨床インフラである
米国保健福祉省の医療セクターサイバーセキュリティ調整センター(HC3)のブリーフ「HSE 攻撃から学んだ教訓」は、このイベントをアイルランド以外の医療機関向けに翻訳した。これは二次的な医療セクターの情報源であるが、攻撃を準備、バックアップ、セグメンテーション、対応計画、リーダーシップの実践的な言葉で位置づけているため有用である。HSE インシデントは、デジタル依存がどれほど迅速にベッドサイドの摩擦になるかを示したため、病院にとっての教訓となった。
ダウンタイム手順は臨床インフラとして理解されるべきである。これらは単なるバインダー、ラミネートカード、または緊急用紙ではない。それらは、電子ツールが利用できない場合に医療サービスが継続するための承認された方法である。これらは、検査がどのように注文され、結果がどのように返され、患者がどのように識別され、投薬情報がどのようにチェックされ、予約がどのように変更され、紹介がどのように移動し、緊急メッセージがどのように送信され、手動メモが後でどのように調整されるかを決定する。
HSE サイバー攻撃の医療影響の学術的分析は、その結果が患者ケアとスタッフの負担に属し、IT 運用だけではないことを強化している。スタッフは圧力下でサービスを動かし続けることができるが、即興にはコストが伴う。紙の記録はケアを維持できるが、調整が必要である。手動トリアージは緊急症例を優先できるが、遅延したサービスを追跡しなければならない。スタッフの努力は衝撃を吸収できるが、疲労とバックログが被害の一部となる。
したがって、復旧報告にはダウンタイムステータスを含めるべきである。どの手動プロセスがアクティブか?どのサービスが安全に進められるか?どのサービスが電子サポートの欠如のために遅延しているか?紙の記録はどのように入力されるか?臨床リスクはどのように優先順位付けされるか?患者は変更についてどのように聞くか?バックログはどのように見直されるか?これらの回答がなければ、復旧報告は臨床的不確実性が残る中で技術的に楽観的に聞こえる可能性がある。
説明責任の問題は、すべての地域の手動プロセスが完璧に機能したかどうかではない。大規模な医療システムが国家ランサムウェアイベント中にそれを約束することはできない。問題は、ダウンタイム慣行がケアレジリエンスの一部として設計、訓練、統治されていたかどうかである。スタッフの英雄的行為に依存するが、手動継続性を記録、テスト、改善しないシステムは、リスクをリーダーシップから最前線のスタッフに移している。
財務影響はサービス影響記録でもある
会計監査院長のサイバーセキュリティ攻撃の財務影響に関する章は、必要な説明責任層を追加する。公金は緊急対応、復旧、セキュリティ改善、外部支援、内部努力、長期修復に支払われた。しかし、コスト記録は単なる財務の脚注ではない。それは、復旧支出が臨床継続性リスクを軽減したかどうかを問う方法である。
財務報告は、請求書を数えてもサービスの影響を無視すれば狭くなりすぎる可能性がある。国民は、システムの復旧にかかったコストを知る必要があるだけでなく、どの活動が遅延し、どのバックログに対処しなければならず、どのスタッフの努力が転用され、再発を防ぐためにどの将来投資が必要かを知る必要がある。国家医療ランサムウェアイベントは、予算、労働力、患者体験、将来の資本計画全体にコストを移動させる。
監査記録はまた、即時復旧と耐久可能な準備を分離するのに役立つ。緊急支出は避けられないかもしれない。説明責任のテストは、その支出がその後により強力なシステムを構築するかどうかである。ID 管理を改善したか?セグメンテーションをサポートしたか?バックアップを改善したか?セキュリティチームにより良い可視性を与えたか?臨床ダウンタイムトレーニングに資金を提供したか?脆弱なシステムの交換をサポートしたか?障害の管理を難しくした地域のばらつきを減らしたか?
国民は、単一の明確なコスト数を要求することに慎重であるべきである。一部のコストは直接的である(外部専門家や交換機器など)。一部は間接的である(遅延作業、時間外、予約逃し、スタッフ時間など)。一部は将来志向である(新しいセキュリティプログラムなど)。ポイントはそれらを平坦化することではない。ポイントは、納税者がインシデントがより良いケアレジリエンスにつながったかどうかを判断できるように十分に報告することである。
推奨事項の実施はここで中心となる。レビューが推奨事項をリストし、監査が後で進捗を追跡すれば、国民は復旧が変革のプログラムになったかどうかを判断できる。推奨事項が広範な願望として残っていれば、ランサムウェアは組織に本来よりも少ない教訓を与えている。公的医療では、推奨事項のクロージャーは統治言語だけでなく運用上の証明に結びつけるべきである。
患者コミュニケーションは復旧システムとして扱うべき
国家医療サイバーインシデント中、コミュニケーションは単なるメディア管理ではない。それは復旧システムである。患者は、予約に出席すべきかどうか、緊急サービスがどのように運営されているか、自分のデータが関与している可能性があるかどうか、どのように連絡されるか、信頼できる最新情報をどこで見つけられるかを知る必要がある。臨床医は一貫した指示を必要とする。病院は矛盾しない地域および国家のメッセージを必要とする。公共団体は自身の緊急時計画をサポートするために十分な詳細を必要とする。
HSE インシデントは、不確実性の下でのコミュニケーションを強制した。ランサムウェアグループはデータ盗難について主張する可能性があり、復旧は不完全である可能性があり、サービスステータスは場所によって異なる可能性がある。初期の声明はすべてを知ることはできない。しかし、既知のこと、未知のこと、患者がすべきこと、次の更新がいつ来るかについて具体的であれば、依然として有用である。
患者コミュニケーションはまた、詐欺から人々を保護しなければならない。犯罪インシデントは、偽の電話、偽のメール、偽の返金メッセージ、悪意のあるリンクの機会を生み出す。FBI の医療および第一応答者ネットワークに影響を与える Conti ランサムウェア攻撃に関する警告は、HSE 固有の患者通知ではないが、医療ランサムウェアが公共安全問題として伝達されなければならない理由を示している。人々はケアやデータについて不安なときに標的にされる可能性がある。
INTERPOL のランサムウェアで重要な医療機関を標的にするサイバー犯罪者に関する警告も、HSE イベントの前にリスク環境が存在していたことを示している。医療は既知の標的であった。これにより、公的コミュニケーションチャネル、緊急メッセージ、連絡確認方法が危機の前に準備されるべきであるという期待が高まる。
良い患者コミュニケーションは、専門家向けにのみ書かれるべきではない。影響を受けるもの、開いているもの、患者にどのように連絡するか、公式メッセージを確認する方法、必要なデータリスク手順、遅延がどのように優先順位付けされるかを説明すべきである。アクセス可能で、繰り返され、更新されるべきである。国家医療システムは、すべての患者が技術的ブリーフィングや政府の更新をフォローすると想定できない。
復旧の観点では、コミュニケーションにも測定可能なバックログがある。何人の患者に連絡が取れたか?どのサービスが更新を発行したか?どの予約グループがまだ再予約を必要としているか?どの脆弱なグループが追加のアウトリーチを必要としているか?どの質問が繰り返されているか?サービスがこれらの項目を追跡すれば、コミュニケーションは証拠になる。そうでなければ、不確実性は患者に残される。
セキュリティ自動化には臨床的文脈が必要
セキュリティ自動化は、しばしばツールを通じて議論される:エンドポイント検出、脆弱性スキャン、ID 監視、ログ記録、バックアップオーケストレーション、対応プラットフォーム。HSE のケースでは、大規模医療サービスが国家インシデント中に手動発見よりも速い可視性を必要とするため、これらの機能が重要である。しかし、自動化は臨床的文脈に結びついている場合にのみ有用である。
サービス依存関係を識別できない自動化された資産リストは不完全である。サーバーが高リスクであると言う脆弱性スキャンは有用であるが、復旧チームはそのサーバーが化学療法スケジューリング、給与、検査報告、地域看護、または日常管理をサポートしているかどうかも知る必要がある。疑わしい活動をフラグする検出アラートは価値があるが、リーダーは技術的深刻度をケアリスクに変換するエスカレーションルールを必要とする。
NIST のコンピュータセキュリティインシデント対応ガイド、サイバーセキュリティイベント復旧ガイド、および緊急時計画ガイドは、一般的な対応と復旧の枠組みを提供する。HSE に適用すると、重要なポイントは統合である:迅速に検出し、慎重に封じ込め、優先順位順に復旧し、復旧を検証し、継続計画を最新に保つ。医療サービスはこれらを患者ケアから切り離された技術的段階として扱うべきではない。
CISA のランサムウェア対策ガイドと重要インフラレジリエンスリソースは、同じ構造を強化する:準備、保護、対応、復旧、適応。繰り返すが、これらはアイルランドのインシデント所見ではない。公的医療システムが生成できるべき証拠のカテゴリを定義するため、有用である。
自動化は、インシデント前の死角を減らすべきであり、インシデント後の復旧を加速するだけではない。露出したシステム、弱い資格情報、欠落したパッチ、異常なトラフィック、バックアップステータス、特権アクセス変更、復旧依存関係を示すべきである。しかし、ケアの影響も示すべきである。理想的な復旧レポートはツールのスクリーンショットではない。それは、自動化された証拠によって裏付けられたサービス中心のビューである:どの臨床および管理機能が低下しているか、なぜか、何が復旧中か、どのリスクが残っているか。
調達とベンダー管理が復旧の境界を形成した
アイルランド NCSC のガイダンスページとサイバーセキュリティ仕様に関するガイドラインは、HSE インシデントを超えて有用である。なぜなら、公共部門のサイバーレジリエンスを購入、要求、管理されるものに結びつけるからである。医療サービスは、重要なシステムが不透明で、サポートされず、ログが不十分で、隔離が難しく、または遅いサプライヤーエスカレーションに依存している場合、ランサムウェアからきれいに復旧できない。
調達は、サイバーインシデントの公的議論中にしばしば見えないが、対応者ができることを形成する。契約がセキュリティ更新、アクセスログ、インシデント協力、バックアップ統合、復旧テストを要求しない場合、医療サービスは危機の際に必要な権利や情報を欠いている可能性がある。地域システムが異なる時期に異なるセキュリティ要件で購入された場合、国家復旧はより困難になる。
ENISA の医療サービスのセキュリティに関するグッドプラクティスは、医療セクターの特有の課題を説明している:機密データ、レガシーテクノロジー、可用性圧力、接続デバイス、複雑なサービス環境。この文脈は重要である。なぜなら、公的医療はすべてを停止してゼロから再構築することができないからである。ケアを提供しながら復旧しなければならない。
HSE の説明責任の問いは、したがって、犯罪侵入がどのように起こったかだけではない。公共調達、サプライヤー管理、および地域技術所有権が医療サービスに封じ込めと復旧に十分な制御を与えたかどうかである。ベンダーは緊急復旧をサポートしたか?サービスの所有者は依存関係を識別できたか?契約はインシデント対応について明確だったか?レガシーシステムは臨床リスクにマッピングされていたか?古いシステムが復旧を安全でなくした場合、代替品に資金が提供されたか?
中小企業のサービス継続性もこの問題の一部である。多くの医療システムは、小規模サプライヤー、地域サービスプロバイダー、専門ベンダーに依存している。これらの組織は重要な知識を保持したり、ニッチシステムをサポートしたりする可能性がある。国家復旧計画は、どのサプライヤーが重要か、どのように連絡するか、どのようなアクセスを保持しているか、利用できない場合の代替手段を知るべきである。
データリスクと臨床継続性は一緒に報告すべき
ランサムウェアは、同時に二つの公的恐怖を生み出す:データが露出する可能性とケアが中断される可能性。公的報告はしばしばこれらの恐怖を別々のトラックに分割する。プライバシーチームはデータを議論する。運用チームはサービスを議論する。セキュリティチームは封じ込めを議論する。患者はすべてを一緒に経験する。HSE インシデントは、同じ犯罪イベントがケアを混乱させ、データ懸念を引き起こす可能性があるため、統合された公的説明を必要とした。
CCDCOE サイバー法ツールキットのアイルランドの HSE ランサムウェア攻撃に関するケーススタディは、インシデントを法的および政策的文脈に位置づけている。これは二次分析だが、インシデントがなぜ内部 IT 問題を超えたのかを示すのに役立つ。国家医療、犯罪ランサムウェア、公共行政、国際協力、データ保護がすべて交差した。
FinCEN の2021年ランサムウェア財務傾向分析は別の文脈レンズを提供する:ランサムウェアは恐喝、支払い、マネーロンダリング防止の影響を伴う主要な犯罪経済であった。医療サービスは支払いの有無だけで測定されるべきではない。犯罪者にタイムテーブルを定義させずにケアを維持し、リスクを伝達できるかどうかで測定されるべきである。
データリスクコミュニケーションは、パニックと過小評価の両方を避けるべきである。犯罪者がデータ盗難を主張する場合、患者は憶測ではなく正確な更新を必要とする。調査に時間がかかる場合、患者はどの保護手順が賢明で、正当な更新がどこから来るかを知る必要がある。ケア遅延も発生している場合、メッセージはプライバシー言語の下にそれらを埋めるべきではない。二つの害は一緒に追跡されるべきである。
臨床継続性はプライバシーにも影響を与える。紙の記録、手動通信、一時的なアクセス取り決め、緊急ファイル転送は、適切に統治されない場合、データ保護リスクを導入する可能性がある。圧力下の医療サービスは、手動プロセスが機密性と完全性をどのように保護するかを依然として知らなければならない。したがって、復旧報告は、デジタルシステムが復旧されるだけでなく、低下したケアプロセスがどのように制御されているかを述べるべきである。
復旧順序は露呈せずに説明可能であるべき
医療サービスは、攻撃者がまだ監視している可能性がある間に、すべての復旧タスクの詳細な順序を公開することはできない。しかし、復旧の背後にある原則を公開することはできる。緊急サービス、高リスク臨床サービス、診断、患者管理、コミュニケーションなどの機能が、患者安全とサービス依存性に従って優先順位付けされていることを国民に伝えることができる。臨床医は、安全な内部チャネルを通じてより詳細な指示を受け取ることができる。監視団体は後により深い証拠を受け取ることができる。
この区別は重要である。なぜなら、秘密性がそうでなければ説明責任に対する盾になり得るからである。「セキュリティ上の理由から何も言えない」というのは、特定の詳細については時には必要だが、サービスの影響をカバーすべきではない。患者はどのサーバーが再構築されているかを知る必要はない。彼らは、予約が進められる可能性が高いかどうか、連絡されるかどうか、緊急症状がケアへの異なるルートを引き起こすべきかどうかを知る必要がある。
復旧順序はまた、事後に監査されるべきである。順序は臨床優先順位と一致したか?以前に理解されていなかった技術的依存関係のために一部のサービスが遅延したか?手動プロセスは十分だったか?地域サイトは明確な情報を与えられたか?脆弱なグループが考慮されたか?復旧報告は部分的な可用性と通常サービスを区別したか?復旧が新しいバックログを生み出したか?
HSE/PwC レビューと公的監査資料は、この種の精査の基盤を提供する。次のステップは持続的な報告である。レビューは弱点を特定できる;公的プログラムはクロージャーを追跡すべきである。国家医療サービスは、数ヶ月から数年にわたって進捗を示すことができるべきである:機密図ではなく、改善された制御、テストされた準備、サービスレジリエンスのカテゴリ。
これが臨床継続性が要求する報告規律である。システムが戻ったと言うだけでは不十分である。レポートは、ケアプロセスが安定していること、バックログが既知であること、手動記録が調整されていること、スタッフがサポートされていること、患者が情報を得ていること、障害を非常に損害的にした条件が軽減されていることを示すべきである。
説明責任の問いは、復旧状況がケアリスクに合致していたかどうか
公的記録にはまだ限界がある。それは、すべての地域インシデントログ、すべての患者レベルの遅延、すべての内部復旧決定、すべてのサプライヤー対応、攻撃前後のすべてのセキュリティ制御、またはすべての臨床調整記録を提供していない。これらのギャップは予想される。重要なのは、利用可能な記録が基準を定義していることである:医療サービスの復旧は、IT ステータスだけでなく、ケアリスクの観点から報告されるべきである。
説明責任の問いは、国家隔離、ダウンタイム手順、患者コミュニケーション、段階的復旧、独立レビュー、およびケアが保護されたという公的証明に対する実質的な制御を誰が持っていたかである。犯罪攻撃者は侵入を制御した。HSE とアイルランド国家は、ガバナンス、資金、復旧優先順位、コミュニケーション、修復を制御した。ベンダーと外部対応者は知識と能力を貢献した。患者、臨床医、病院、納税者は混乱を負担した。
将来のインシデントのために、復旧レポートは明確な質問に答えるべきである。どのサービスが影響を受けているか?ケアはどのように継続しているか?どの患者に連絡が取られているか?どのシステムが最初に戻り、その理由は?どの手動記録を調整しなければならないか?どのデータリスクガイダンスが適用されるか?どの独立レビューが続くか?どの推奨事項が開いているか?どの証拠がクロージャーを示しているか?
これらの質問が回答されれば、復旧報告はケアの一部になる。不安を軽減し、スタッフをサポートし、患者を導き、監視団体を助け、緊急修理を公的学習に変える。回答されなければ、技術的復旧は依然として発生するかもしれないが、国民はケアが保護されたかどうかを推測することになる。
アイルランドの HSE ランサムウェアインシデントは、したがって、臨床継続性の説明責任ケースとして記憶されるべきである。それは、国家医療サービスが復旧を復元されたマシンだけで測定できないことを示した。安全なケアの継続、患者コミュニケーションの明確さ、手動およびデジタル記録の完全性、および復旧決定が臨床リスクに従った公的証拠によって復旧を測定しなければならない。
復旧ダッシュボードは臨床医と患者向けに書かれるべき
医療ランサムウェアインシデントで最も有用な復旧ダッシュボードは、サーバーのリストだけではない。それは、技術的証拠によって裏付けられたサービスダッシュボードであるべきである。緊急ケア、診断、腫瘍学、産科、精神保健、地域サービス、予約、紹介、検査室、給与、調達、患者コミュニケーションはそれぞれ、臨床医が行動でき、患者が理解できるステータスを必要とする。その単純なステータスの背後には、技術的詳細が存在すべきである:復旧したシステム、隔離されたシステム、調整された記録、アクティブな手動手順、開いているデータリスク通知、未解決のサプライヤー依存関係。
このダッシュボードは、低下した可用性と通常サービスを区別すべきである。病院は紙でサービスを運用できるかもしれないが、それはサービスが正常であることを意味しない。遅く、リスクが高く、労働集約的であり、緊急症例に限定される可能性がある。患者向けの更新はこれらの区別を隠すべきではない。臨床医向けの更新はトリアージをサポートするのに十分な詳細を与えるべきである。監視向けの更新は、復旧優先順位がなぜ選ばれたか、そしてその選択が臨床リスクに従ったことを示す証拠を説明すべきである。
HSE の記録はまた、復旧ステータスにスタッフの負担を含めるべき理由を示している。スタッフは、記憶、紙、電話、手動トリアージ、地域の工夫を通じて不足しているシステムを補うことができる。その努力は価値があるが、無料ではない。それは疲労、エラーリスク、バックログ、調整作業を生み出す。復元されたアプリケーションを数えるがスタッフ負荷を無視する復旧レポートは、実際の継続性問題を過小評価する可能性がある。スタッフ負荷は、特に手動プロセスが数週間続く場合、サービス低下の一部として追跡されるべきである。
公的信頼は、医療サービスが何がまだ未知であるかを言うことができるときに向上する。データ露出がまだ評価中であれば、そう言い、保護ガイダンスを与える。予約がまだ優先順位付け中であれば、基準を説明する。サービスが手動で運営されていれば、患者にどのように連絡し、記録をどのように調整するかを説明する。サプライヤーの依存関係が復旧を遅らせていれば、一般的な用語で説明する。正直な不確実性は曖昧な安心よりも有用である。
インシデント後のプログラムは改善の証拠を保存すべき
大規模なランサムウェアインシデントの後、改善の主張は復旧の主張と同様に証拠を必要とする。公的医療サービスは、セキュリティに投資し、専門家を雇い、システムを交換し、監視を改善し、ガバナンスを強化したと言うことができる。これらの声明は重要だが、測定可能なクロージャーに結びつけるべきである:完了した推奨事項、テストされた制御、実施された臨床ダウンタイム演習、引退または隔離された高リスクレガシーシステム、訓練で復元されたバックアップ、より明確なインシデント義務に拘束されたサプライヤー。
証拠は、機密アーキテクチャを露出させないレベルで公開されるべきである。カテゴリ、マイルストーン、独立した保証、未解決のリスクを報告できる。重要なサービスのうちダウンタイム計画をテストした数、例外下の高リスクシステムの数、更新されたセキュリティ条項を持つサプライヤー契約の数、国家演習が実施される頻度を述べることができる。独立レビューおよび公的監査からの推奨事項が開いているか、進行中か、完了しているかを説明できる。それは過剰共有ではなく、公的医療依存のための公的説明責任である。
臨床継続性は組織原理として残るべきである。サイバーチームは自然に検出カバレッジ、エンドポイントヘルス、脆弱性クロージャー、バックアップステータスを測定する。これらは必要である。取締役会と国民はまた、これらの指標がケアにとって何を意味するかを知る必要がある。より良い ID 管理は検査室アクセスを保護するか?改善されたセグメンテーションは地域の混乱が国家の混乱になるのを防ぐか?バックアップテストは診断ダウンタイムを短縮するか?調達改革は重要なアプリケーションを復旧しやすくするか?各技術的改善にはケア継続性の翻訳が必要である。
最終的な証明はリハーサルである。机上演習は技術的封じ込めで終わるべきではない。低下した状態を通して患者の旅を追うべきである。緊急紹介のある患者はどのようにスケジュールされるか?臨床医は以前の結果をどのように見るか?検査室はどのように臨界所見を返すか?病院は地域ケアとどのように通信するか?紙のメモは後でどのように入力されるか?遅延した予約はどのように優先順位付けされるか?リーダーがインシデント前にこれらの質問に答えられなければ、公的圧力の下で答えを学ぶことになる。
それが HSE のランサムウェア記録が残す説明責任基準である。復旧は主張ではなく、ケアを保存する決定の証拠付けられたシーケンスである。国家医療サービスは、次の犯罪キャンペーンが到着する前に、シーケンスが既知で、テストされ、改善されていることを示すことによって信頼を得る。
患者レベルのクロージャーは想定ではなくサンプリングされるべき
国家復旧プログラムは患者レベルの詳細を公開することはできないが、患者レベルのクロージャーが発生したかどうかをテストすることはできる。サンプリングは、遅延した予約が再予約されたか、緊急診断が優先されたか、手動記録が正しく入力されたか、患者が明確なメッセージを受け取ったか、脆弱なグループにリーチされたか、データリスクアドバイスが理解されたかを尋ねることができる。これは圧力下で働いた臨床医を非難することではない。システム復旧がシステムが存在する目的である人々に届いたことを証明することである。
サンプリングには異なるケア設定を含めるべきである。国家病院、地域サービス、地域診療所、診断ユニット、精神保健経路、管理サービスはすべてランサムウェアを異なる形で経験する可能性がある。レビューが中央システムのみを見れば、地域の被害を見逃す可能性がある。地域の話のみを見れば、共通の制御弱さを見逃す可能性がある。成熟した臨床継続性レポートは両方を結合する。
国民はまた、メディアの注目が薄れた後も推奨事項が生きているかどうかを見る方法を必要とする。推奨ダッシュボードは官僚的になる可能性があるが、意味のあるステータスが含まれていれば沈黙よりも優れている。「完了」はテストされ証拠付けられたことを意味し、単にポリシーが書かれたことではない。「進行中」は障壁を含むべきである。「遅延」は所有権を特定すべきである。公的医療サービスは、古い推奨事項が勢いを失ったことを発見するために別のランサムウェアインシデントを必要とするべきではない。
手動継続性には管理された復帰経路が必要
手動医療作業はしばしばフォールバックとして説明されるが、手動作業からの復帰はフォールバック自体と同じくらい重要である。紙のメモ、電話、手書きの紹介、地域のスプレッドシート、一時的な連絡先リスト、即席の予約記録は、サイバー障害中にケアを動かし続けることができる。また、後の調整リスクを生み出す。患者は、通常のシステムがその時点でキャプチャしなかった経路を通じて、診察され、延期され、紹介され、処方され、退院され、アドバイスされた可能性がある。
したがって、HSE の説明責任ファイルは手動継続性を一時的な記録システムとして扱うべきである。必要なフィールド、保管ルール、プライバシー保護、臨床承認、後のデータ入力、例外レビューを定義すべきである。紙の記録が正しく入力されたかどうかを誰がチェックするか、重複や逃した予約を誰が識別するか、緊急結果がフォローアップされたかどうかを誰が確認するか、遅延したケアが解決されたときに誰が患者に伝えるかを問うべきである。手動証拠が安全に再統合されるまで手動運用は完了しない。
この復帰経路は疲れたスタッフ向けに設計されるべきである。ランサムウェア復旧中、臨床医と管理者はすでに追加作業を抱えている可能性がある。完全な記憶や英雄的な時間外労働に依存する調整プロセスは静かに失敗する。フォームはシンプルであるべきである。優先順位付けは明確であるべきである。監督者は、患者リスクが最も高いため、どの記録を最初に調整しなければならないかを知るべきである。国家チームは、すべてのサイトが独自の方法を発明するままにするのではなく、テンプレートを提供すべきである。
同じ復帰経路はプライバシーを保護すべきである。手動作業は、通常の制御外のコピー、メモの運搬、一時ファイル、アクセス取り決めを生み出す可能性がある。これらは緊急時には正当化されるかもしれないが、クロージャーが必要である。医療サービスは、一時的な記録がどこに行ったか、誰が扱ったか、どれが正式なシステムに入力されたか、どれが破棄またはアーカイブされたか、プライバシー通知が必要かどうかを知るべきである。サイバー復旧は、管理されていない機密性リスクを作り出すことで可用性を解決することはできない。
患者はシステムが失敗したことを証明する必要はない
大規模な医療サービス障害の後、一部の患者は自分に何が起こったかを正確に知っているが、他の患者は手紙が届かなかった、予約が消えた、紹介が停滞した、電話回線が混み合っていたことだけを知るだろう。ランサムウェアイベントがギャップを引き起こしたことを証明する負担が完全に患者にのしかかるべきではない。成熟した復旧プログラムは、影響を受けた経路を積極的に検索し、可能な場合は人々に連絡すべきである。
その検索は、予約システム、紹介ログ、通話記録、臨床優先リスト、紙の登録、検査待ち行列、薬局記録、地域サービスレポートを使用できる。目的はすべてのケースで完全な確実性を作り出すことではない。最も粘り強い患者だけがクロージャーを受け取る受動的モデルを避けることである。公的医療には、沈黙の害を探す義務がある。なぜなら、遅延によって最も害を受ける人々はシステムを追いかける能力が最も低い可能性があるからである。
検索はまた、思いやりのあるエラーポリシーを持つべきである。インシデントのために記録が不完全な場合、医療サービスは不確実性を説明し、ケアニーズを解決するために合理的な努力をすべきである。厳格な管理姿勢は害を悪化させる可能性がある。ランサムウェアの場合、機関は自身のシステムが損なわれていたことを知っている。その知識は、自分たちのケアに何が起こったのか尋ねる人々をどのように扱うかを形成すべきである。
資金決定はケア継続性の証拠に結びつけるべき
インシデント後の資金は、サイバー近代化としてのみ説明されると焦点を失う可能性がある。国家医療サービスは技術的近代化を必要とするが、公的説明責任のケースは、各投資がケア継続性の証拠に結びつけられるときにより強力になる。ID 管理は臨床医アクセスを保護すべきである。ネットワークセグメンテーションは、1つの地域の妥協がサービス全体に広がるのを防ぐべきである。バックアップ作業は、スケジューリング、診断、患者管理の復旧を短縮すべきである。監視は、病院が可視性を失う前に低下を識別すべきである。調達改革は、サプライヤーがより迅速に復旧をサポートするようにすべきである。
この翻訳は、大臣、取締役会、臨床医、国民が支出が適切なリスクを軽減しているかどうかを判断するのに役立つ。大きな予算項目は、ケア遅延を生み出すシステムを逃せば、患者を露出したままにする可能性がある。より小さなターゲット投資は、臨床的ボトルネックを除去すれば強力になる可能性がある。したがって、復旧プログラムは使われた金額だけでなく、得られたケア継続性能力を報告すべきである。
同じ証拠は改革疲労を防ぐことができる。インシデントから数年後、推奨事項は通常の圧力と競合する可能性がある。各推奨事項が具体的なケア結果に接続されていれば、それを技術的なハウスキーピングとして扱うことは難しくなる。ランサムウェアリスクは、患者安全および公共サービス問題として可視のままである。それは本来あるべき場所である。

