概要

  • 確認:WannaCry は2017年5月12日から5月19日にかけて、イングランドの NHS サービスに影響を与えた。英国会計検査院(NAO)の報告によると、236のトラストのうち少なくとも80が感染または混乱し、34のトラストが感染してデバイスからロックアウトされ、46のトラストは感染しなかったが混乱を報告し、さらに603のプライマリケアおよびその他の NHS 組織が感染し、その中には595の GP 診療所が含まれていた。
  • 確認:NHS England は、インシデント対応期間中に6,912件の予約キャンセルを特定し、合計で19,000件を超えるキャンセルがあったと推定した。5つの救急・緊急部門が患者を他の病院へ転送した。NHS Digital は NAO に対し、患者データが侵害されたり盗まれたりしたことはないと伝え、保健省、NHS England、国家犯罪対策庁(NCA)は、いかなる NHS 組織も身代金を支払わなかったと NAO に伝えた。
  • 境界:公開記録は、パッチ適用とアシュアランスの失敗を裏付けているが、Windows XP だけが NHS の停止を引き起こしたという単純な主張は裏付けていない。NHS England の教訓レビューは、この攻撃が Microsoft Windows の脆弱性を悪用したものであり、感染した NHS デバイスの大半はサポート対象だがパッチ未適用の Windows 7を実行しており、サポートが終了した XP デバイスは感染デバイスの少数派であったと述べている。
  • 評価:説明責任のある失敗は、単なる技術的負債ではなかった。それは、資産の可視性、パッチ展開、サポート終了デバイスの管理、地域トラストの自律性、インシデント前のコンプライアンスメカニズムを持たない国の機関、テストされていない地域のサイバー対応、そして紙と手動の調整を余儀なくされたケア継続性プロセスの組み合わせだった。

パッチは発行されても統治されないことがある

NHS WannaCry の最も簡潔なストーリーは、Microsoft のパッチが攻撃前に存在していたにもかかわらず、あまりにも多くの NHS 組織がそれを適用していなかったというものだ。この一文は真実だが、説明責任の問題を覆い隠している。パッチは技術的な成果物である。パッチ適用は統治システムである。それには資産記録、リスク優先順位付け、変更ウィンドウ、臨床システムテスト、サプライヤー調整、現地の運用同意、展開の証明、そして例外の国家的な把握が必要となる。2017年5月時点で、NHS にはガイダンス、警告、テクニカルサポートはあったが、そのガイダンスが保護に転換されたという十分なアシュアランスはなかった。

Microsoft は2017年3月14日にセキュリティ情報 MS17-010を公開した。この情報では問題を「緊急」と評価し、攻撃者が細工したメッセージを Microsoft Server Message Block 1.0サーバーに送信することで、最も深刻な脆弱性がリモートコード実行を許す可能性があるとした。Microsoft はその後、WannaCrypt 顧客向けガイダンスで、3月の更新プログラムが悪用された脆弱性に対処しており、自動更新を有効にしている組織はその脆弱性から保護されていたこと、さらに Microsoft は Windows XP、Windows 8、Windows Server 2003などの古いプラットフォーム向けに異例の措置として更新プログラムを広く提供したと説明している。同社のセキュリティブログでは、WannaCrypt を、既に修正済みの脆弱性を利用し、パッチを適用していないコンピュータに影響を与えるワームだと説明している。(Microsoft セキュリティ ブログ

NHS Digital のアーカイブされたアラートCC-1411は、同じリスクを医療セクターの言葉で位置づけていた。同アラートは、このランサムウェアが MS17-010 でパッチされた SMB の脆弱性を利用していると特定し、それらの脆弱性が将来のマルウェア変種による自己伝播に利用される可能性が高いと警告し、影響を受けるバージョンへのパッチ適用を優先すべきだとしていた。また、SMB 関連ポートのブロック、ポート封鎖の確認、脆弱なプラットフォームの更新、脆弱性スキャナーの使用、キルスイッチドメインの接続維持、感染デバイスの隔離、感染マシンのパッチ適用標準での再構築、身代金の不払いなどの修復手順も列挙していた。

これらの詳細が重要なのは、5月12日までに技術的な答えが不明瞭ではなかったことを示しているからだ。より難しい問いは、国と地域の統制がその答えを運用上不可避なものにしていたかどうかである。英国会計検査院の調査によると、NHS Digital は2017年3月と4月に、WannaCry を防ぐためにシステムにパッチを適用するよう組織に警告する緊急アラートを発行していた。また、攻撃前に保健省には、NHS 組織がその助言とガイダンスに従っているかを評価する正式な仕組みがなかったと報告している。NHS Digital は236のトラストのうち88をオンサイトで評価し、いずれもそのサイバーセキュリティ評価に合格しなかったが、NHS Digital は地域組織に是正措置を取るよう要求することはできなかった。

これが説明責任の要(かなめ)である。中央は警告できた。地域組織は多くの実装選択を管理していた。しかし患者が体験したのは、中央のアラートと地域のパッチウィンドウの境界ではなく、結合されたシステムだったのである。

記録が立証していること

WannaCry は2017年5月12日金曜日に NHS に影響を与え始めた。NAO によると、この世界的なランサムウェア攻撃は少なくとも100か国で20万台以上のコンピュータに影響を与え、NHS は特定の標的ではなかった。同日午後4時、NHS England は重大インシデントを宣言し、医療と患者ケアを維持するための緊急手配を実施した。その夜、セキュリティ研究者がキルスイッチを作動させ、WannaCry が同じ方法でさらなるデバイスをロックするのを阻止した。攻撃は5月12日から19日までの週に NHS サービスに影響を与えた。

イングランドにおける規模は大きかったが、完全に測定可能ではなかった。NAO によれば、イングランド全土の236のトラストのうち少なくとも80が、感染したか、または予防措置としてシステムを停止したために影響を受けた。そのうち34は感染しデバイスからロックアウトされ、25の急性期トラストが含まれていた。さらに46は、感染に分類されなかったが混乱を報告した。一部は予防措置としてメールや他のシステムを停止し、通常電子的に行う業務にペンと紙を使用しなければならなかった。NHS England と NHS Digital はまた、システムが WannaCry ドメインへの接続を試みたがロックアウトされなかった21のトラストと、さらに603のプライマリケアおよびその他の組織が感染しており、595の GP 診療所が含まれていたことも特定した。

公開記録は、不明な点についても同様に明確である。保健省と NHS England は、混乱の全容を把握していなかった。感染したトラストとシステムやデータを共有しているために、記録にアクセスできなくなった NHS 組織の数はわかっていなかった。キャンセルされた GP 予約の数や、一部の患者を治療できなかった5つの救急・緊急部門から何台の救急車と患者が転送されたかもわかっていなかった。NHS England は5月12日から18日までのキャンセル情報を一部収集したが、NAO はそのデータがすべての予約タイプを網羅していないと述べた。したがって、報告された6,912件の特定されたキャンセルと、合計19,000件を超えると推定されるキャンセル数は、完全な患者影響の台帳ではない。

保健・社会福祉担当最高情報責任者が主導したNHS England の教訓レビューは、同じ枠組みを維持しつつ、運用上の具体的な状況を追加している。それによると、NHS は直接の標的ではなく、患者への害や患者データの侵害・盗難の報告はなく、NHS の活動の1%が直接影響を受けた。また、236の病院トラストのうち80が影響を受け、7,454の GP 診療所のうち595と、他8つの NHS および関連組織が感染し、この混乱によって医療サービスの情報技術への依存がより明確になったとも述べている。

この最後の結論が最も重要である。患者データを盗まなかったランサムウェアインシデントでさえ、ケアの継続性を損なった。デジタル病院において、可用性は利便性のレイヤーではない。それは臨床のスループット、コミュニケーション、診断アクセス、予約フロー、そして安全なエスカレーションの一部なのである。

サポートが終了したシステムは話の一部であり、全体ではない

WannaCry は、しばしば Windows XP の教訓物語として語り直される。サポートの切れたソフトウェアは問題だった。それは既知のリスクであり、2014年に保健省と内閣府は、2015年4月までに Windows XP のような古いソフトウェアから移行するための堅牢な計画が必要だとトラストに通達していた。2016年7月に発表された国家データガーディアンのレビューは、新しいデータセキュリティ基準とコンプライアンステストの方法を提案した。同じく2016年7月に発表されたケア品質委員会の「Safe Data, Safe Care」レビューは、もはやサポートできないハードウェアとソフトウェアの緊急交換、より強力な監査と検証、そしてデータセキュリティに対するリーダーシップのオーナーシップを推奨した。

しかし、「サポートが終了したシステム」というスローガンはあまりにも狭い。NHS England の教訓レビューは、影響を受けた80の NHS 組織のいずれも、NHS Digital の CareCERT 速報が2017年4月25日に勧告した Microsoft の更新パッチを適用していなかったと指摘している。また、WannaCry は特定の Microsoft Windows の脆弱性を利用した攻撃であり、サポートが終了したソフトウェアへの攻撃ではないとも述べている。感染した NHS デバイスの大半は、サポート対象だがパッチ未適用の Windows 7を実行していた。サポートが終了した XP デバイスは感染デバイスの少数派であり、XP デバイスの数は2018年1月までに18%から1.8%に減少していた。

この区別は責任の所在にとって重要である。もし失敗が単に「古いオペレーティングシステム」だけだったなら、答えは交換資金とサプライヤーへの圧力になる。特に医療機器や診断デバイスが古いソフトウェアに依存している場合、それらは現実の問題だった。しかし、緊急アラートの後でもサポート対象の Windows 7マシンがパッチ未適用のままだったのなら、答えにはパッチの統治、例外管理、そしてクロージングの証明も含まれる。サポート対象のデバイスであっても、パッチが適用されなければ安全ではない。サポートが終了したデバイスは、隔離したり補償的制御モデルで管理したりできる。ワームが棚卸しを可視化する前に、システムは各重要エンドポイントにどちらの条件が適用されるかを知る必要があった。

教訓レビューはまた、ファイアウォールとネットワーク制御が感染リスクを低減できた可能性があると指摘する。そこでは、パッチが行われていなかった場合でも、N3 ネットワークに面するネットワークファイアウォールのセキュリティを改善する措置が、組織を感染から守ったであろうと述べられている。これも、パッチ適用を単一のスイッチとして扱うべきでないもう一つの理由である。パッチ適用は必要だったが、ネットワークセグメンテーション、境界設定、SMB 露出制御、そしてどのシステムが依然としてレガシープロトコルのサポートを必要としているかの把握も同様に必要だった。

現在は情報が古いために撤回されているNCSC WannaCry ガイダンスは、当時の緊急防御ロジックを捉えている。それは、MS17-010 の展開、パッチ適用が不可能な場合の SMBv1 の無効化、必要に応じた関連ポートのブロック、脆弱なレガシーテクノロジーの隔離、アンチウイルスの更新、キルスイッチドメインのブロック回避を組織に助言していた。言い換えれば、即時の対応には階層化された制御セットが必要だった。明確な資産リスト、ファイアウォールの所有権、ローカル DNS オプション、サプライヤーとの連絡先、テストされた再構築手順を欠いている組織は、緊急時のプレッシャーの下でこの階層化された対応を容易に実行できなかった。

地域の自律性が中央のアシュアランスを困難にした

NHS は一枚岩の IT 資産ではない。地域のトラスト、GP 診療所、臨床コミッショニンググループ、サプライヤー、コミッショニングサポートユニット、その他の組織は、国内の枠組みの中で運営されているが、多くの現場責任を負っている。NAO は、地域の医療組織が情報の安全確保と、サイバー攻撃を含むインシデントや緊急事態の手配に責任を負うと述べた。国の機関はそれらを監督し支援したが、必ずしも特定の技術的行動を強制する権限を持っていたわけではなかった。

この構造は本質的に間違っているわけではない。地域の臨床組織は、自らのケア経路、機器、サプライヤー、変更リスクを理解している。パッチは古い診断インターフェース、患者管理統合、医療機器プロセスを壊す可能性がある。こうした現実を無視した中央の指示は、危険な変更や現場の抵抗を生み出す可能性がある。しかし、中央がどの拠点が露出しており、どこがリスクを受け入れ、どこが補償的制御を有し、どの組織がサプライヤー、予算、臨床依存のために修復できないかを把握できない場合、地域の自律性は危険になる。

したがって、正式なコンプライアンスメカニズムの欠如に関する NAO の指摘は、官僚的な瑣末事ではない。それはなぜ警告がシステム全体のリスク低減に結びつかなかったかを説明する。国のアラートは「すぐにパッチを当てよ」と言うことができる。それ自体では、すべての関連エンドポイントにパッチが存在すること、サポートが終了したデバイスが隔離されていること、本来ブロックされるべき場所で SMB がブロックされていること、例外を必要とするシステムが特定されていること、あるいは経営幹部が患者安全の残留リスクを受け入れたことを証明することはできない。

公共会計委員会の報告書は、同じ弱点を政治的なものにした。2016年に警告があり、2017年3月と4月にもさらなる警告があったが、WannaCry の時点で全トラストの約3分の2でしかパッチ適用が行われておらず、88のトラストのうち NHS Digital の評価に合格したものは一つもなかったと指摘した。また、省と NHS は状況を変える必要があると認識しており、2018年の教訓レビューには22の推奨事項が含まれていたが、委員会が報告した時点では実施計画と費用がまだ合意されていなかったとも報告した。

この証拠は、手厳しい結論を裏付けている。責任は分散されていたが、患者が受けたのは分散されたケアではなかった。もし地域のトラストがパッチを欠き、GP 診療所がシステムにアクセスできず、救急車が転送を余儀なくされれば、被害は単一の公共サービスを通じて人々に及んだ。分散された統治にはより強力な証拠のループが必要なのは、まさに公共サービスが必要の時点で統合されているように見えるからである。

ケア継続性のインシデントであり、単なる IT インシデントではない

WannaCry の目に見える被害は中断だった。一部の組織は感染しロックアウトされた。他はリスクを減らすためにシステムを停止した。紙を使ったところもあった。検査結果を受け取れず、共有記録にアクセスできないところもあった。患者によっては予約や手術がキャンセルされた。5つの地域で救急患者が転送された。NAO はすべてのカテゴリーが完全に数えられたわけではないと慎重に述べており、NHS England のレビューは既知の患者被害はないと報告している。これらの境界は尊重されるべきである。報告された被害がないことは、すべての臨床リスクが存在しなかったことの証明ではないが、公開記録は死者数や隠れた患者データ窃取をでっち上げることを支持しない。

より有用な説明責任のレンズは継続性の能力である。医療サービスは、劣化モードの準備ができている場合にのみ、短いデジタル中断を生き延びることができる。紙による代替手段それ自体は計画ではない。それには、印刷可能で最新の患者リスト、投薬履歴への代替アクセス手段、安全な引き継ぎルート、診断オーダーの回避策、紹介追跡、手術室スケジューリング、検査結果の伝達、手動の予約再予約、そしてシステム復旧後の調整が必要である。それぞれの代替手段には処理能力とエラーのプロファイルがある。手動で20件の例外を処理できるクリニックが、数百件は処理できないかもしれない。1日だけ選択的手術を安全に延期できる病院も、地域全体で診断の可視性が損なわれれば苦戦するかもしれない。

NHS England の教訓レビューは、サイバーインシデントと従来の大規模インシデントの違いを認識している。それによると、NHS England は緊急時準備・レジリエンス・対応フレームワークを使用し、それが堅牢な構造を提供したが、このインシデントはサイバーが他の大規模インシデントとどう異なるかについても教訓をもたらした。サイバーはコミュニケーションツール自体を信頼できなくする可能性がある。複数の拠点に同時に影響を与える可能性がある。最初は拠点が感染しているのか、切断されているのか、防御的に行動しているのかが不明確な場合がある。サービス容量を減らす技術的封じ込め措置が必要になる場合がある。また、共有ネットワークを通じて拡散する可能性があるため、ある組織を支援することが別の組織の行動に依存することもある。

だからこそ、説明責任はパッチを逃したデバイスで終わるべきではない。ケアシステムは、サイバー条件下で基本的な継続性の問いに答えるテスト済みの方法を必要としていた。メールがオフラインでも稼働し続けなければならないサービスはどれか。緊急治療に不可欠な記録はどれか。地域の調整なしにローカルで停止できるシステムはどれか。コミュニケーションを主導する国の機関はどこか。インシデントブリッジに参加しなければならないサプライヤーはどこか。根拠を基に、臨床スループットの低下を受け入れられる地域の幹部は誰か。

NAO は、省が国と地域の役割と責任を含む計画を策定していたが、それを地域レベルでテストしていなかったと報告した。また、NHS が国家的なサイバー攻撃に対するリハーサルを行っていなかったため、誰が対応を主導すべきかがすぐには明らかでなく、コミュニケーション上の問題があったことも判明した。これは小さなプロセス上の溝ではない。サイバー継続性において、リハーサルは、連絡先リストが機能するか、紙のフォームが存在するか、オフラインの患者リストが十分に最近のものか、サプライヤーが応答するか、臨床医がどのシステムを安全に再接続できるかを理解しているかを組織が発見する方法なのである。

相互依存が地域保護を地域全体の混乱に変えた

このインシデントの最も難しい特徴の一つは、他の組織の防御的な動きによって被害を受けた組織があったことだ。トラストは直接感染を免れても、救急車の引き継ぎプロセス、診断画像の転送、化学療法オーダーの経路、血液検査結果の流れ、プライマリケアのケースロードへのアクセスを失う可能性がある。なぜなら、別のプロバイダー、サプライヤー、ネットワークパートナーが自らを守るためにアクセスを閉鎖したからだ。それは合理的な地域封じ込めだが、地域全体のサービスに影響を及ぼす。

NHS England のその後のWannaCry に関する事業継続管理ツールキットのケーススタディは、これを実践的に示している。カウンティ・ダーラム・アンド・ダーリントン NHS ファウンデーショントラストは直接攻撃を受けなかったが、救急サービスがネットワークへのアクセスを閉鎖して保護し、引き継ぎプロセス画面を無効化し、患者搬送予約ポータルが利用不可になった。三次医療センターがアクセスを閉鎖したため、CT や MR スキャンが電子的に転送できず、化学療法オーダーは通常の経路で転送できなくなった。プライマリケア IT プロバイダーがネットワークを保護したところ、自動化された血液検査結果の転送が失敗し、一部の GP は担当患者のケースロードにアクセスできなくなった。

このケーススタディの回避策は、劇的というより具体的で有用である。救急車の事前通知は固定電話や他の無線通信で継続された。患者搬送の予約は電話に移行した。画像は DVD に転送され、タクシーで送られた。化学療法オーダーは紙と FAX に戻った。血液検査結果の転送は紙に移行し、プロセスが遅くなった。一部の GP は緊急治療センターを通じてケースロードにアクセスした。ケーススタディでは、事業継続計画は後日更新され、NHS 組織は相互依存関係を理解し、共有サービスに関する計画を連携させて医療経済への影響を最小限に抑える必要があると結論付けている。

これはまさに、大まかなインシデント件数では見落とされる種類の証拠である。サイバーインシデントは、影響を受けたすべての組織が感染していなくても、ケアの提供能力を低下させることがある。一方の当事者の安全な決定を、他方にとっての停止に変えることがある。小規模では安全だが、大規模では脆弱なアナログ手法を必要とすることがある。タクシーで送られた DVD は、少数の緊急スキャンの診断経路を救うかもしれないが、混雑した地域全体での通常の電子画像交換の代替にはならない。電話による予約ルートは患者搬送を維持するかもしれないが、通話量が急増した場合、優先順位付け、監査、処理量を自動的に保つことはできない。紙の化学療法オーダーは治療を止めないかもしれないが、デジタルプロセスが通常吸収する転記、確認、調整の負荷を生み出す。

これらの例は、小規模組織にとってサプライヤーやパートナーの継続性がなぜ重要かを説明している。GP 診療所、ホスピス、地域医療提供者、地元の診療所、委託サービスは、依存している中央システムを所有していないかもしれない。コミッショニングサポートユニット、ホストされた臨床システム、病理検査インターフェース、診断パートナー、他者によって制御されるネットワークルートに依存しているかもしれない。その依存関係が断たれたとき、小規模組織は依然として患者に対応しなければならない。代替拠点を通じて記録にアクセスできるか、紙の結果が臨床的に許容されるか、紹介の更新がキューイングされているか、デジタル経路が失敗したことを誰が患者に伝える責任があるかを知っていなければならない。

説明責任の目的からすると、相互依存関係は統制テストを変える。各組織が事業継続計画を持っていると言うだけでは不十分である。計画は互いに噛み合わなければならない。もし三次医療センターの防御的シャットダウンが画像転送をブロックするなら、紹介元のトラストの計画は既に代替ルートを知っていなければならない。プライマリケアの IT プロバイダーがアクセスを閉鎖するなら、地域の診療所は緊急記録アクセスのための指定された選択肢が必要である。救急車の引き継ぎ画面が利用不可なら、救急部門と救急サービスはリハーサルされた共有の代替策を必要とする。NHS のケーススタディは範囲が限られているが、システムレベルの真実を示している。サイバー継続性は共同作業であり、テストされていない共同依存は、各参加者が慎重であろうとしているときでさえも失敗し得る。

コストは支払われなかった身代金よりも大きかった

NAO の報告書における保健省、NHS England、国家犯罪対策庁の話によれば、NHS 組織で身代金を支払ったところはなかった。この事実は、よくある誤解を防ぐはずだ。つまり、損失は身代金要求額ではなかった。キャンセルされた業務、時間外労働、IT サポート、復旧、延期されたケア、サプライヤーの労力、その後の事後対策が損失だった。NAO は、調査時点で省がサービス混乱のコストを把握していなかったと述べた。キャンセルされた予約、追加の地域 IT サポート、IT コンサルタント、データとシステムの復旧、週末対応中のスタッフの時間外労働などのコストカテゴリを特定した。

その後の保健・社会福祉省の更新情報「医療とケアにおけるサイバーレジリエンスの確保:2018年10月進捗更新」は、詳細な2018年9月更新 PDFにリンクしていた。この更新情報は、WannaCry が NHS に直接対応と IT 復旧、生産損失を含めて9,200万ポンドの損害を与えたという推定で広く引用されている。この推定は慎重に用いるべきである。これは公共部門のコスト見積もりであり、患者の不安、家族の時間、救急車の移動、地域サプライヤーの負担、すべてのスタッフの時間を完全に計算したものではない。

学術研究も、影響の価格付けが難しい理由を示している。2019年のnpj Digital Medicine の回顧的影響分析は、Hospital Episode Statistics を用いてキャンセル、入院、救急受診、死亡率、財政コストを調べた。WannaCry の週における全トラストの総活動量とベースラインとの間に有意差は見られなかったが、直接感染した病院では緊急入院と選択入院が少なく、研究は感染したトラストでの病院活動損失を590万ポンドと推定した。また、死亡率の増加は見られなかったとしながらも、死亡率は患者の害の粗い指標であると警告している。

感染病院の活動損失590万ポンドという推定と、より広範な公共部門の9,200万ポンドという推定の差は、必ずしも矛盾ではない。これらは異なるものを測定している。一方は病院データを用いて特定期間の感染病院の活動を見ている。他方はより広範な対応、復旧、IT 修正を含んでいる。説明責任にとって重要なのは、最大の数字を選んで「コスト」と呼ぶことではない。どのコストが早期のパッチ適用で予防可能だったか、どれが必要な封じ込めにより発生したか、どれが以前に行われるべきだった投資か、どれが IT 予算に現れることなく患者とスタッフに降りかかったかを問うことである。

中小規模の医療提供者も同じ問いの中にいる。問題は、国のサービスに接続する小規模組織全体の継続性である。GP 診療所、ホスピス、地域医療提供者、請負業者、デバイスサプライヤー、地域 IT サポートパートナー、社会福祉とのインターフェースである。NAO はプライマリケアおよびその他の組織を感染したエンティティの数に含め、他のプロバイダーが共有システムや遅延した情報を通じて影響を受ける可能性があると指摘した。大規模な公的機関におけるサイバーインシデントは、したがって、より少ない冗長性と政治的認知度しか持たない小規模組織にとっての継続性の衝撃となる。

帰属があっても運用上の問いに答えにはならない

英国は後に WannaCry を北朝鮮に帰属させた。WannaCry の背後にいる北朝鮮のアクターに関する外務省の声明によれば、英国は Lazarus Group として知られる北朝鮮のアクターがキャンペーンの背後にいると判断した。その帰属は、抑止、制裁、外交、国家安全保障にとって重要である。しかし、それは国内の運用管理を免除するものではない。同じ公開記録は、NHS が特定の標的ではなく、ワームが既知の Windows の脆弱性を介して拡散し、地域組織が比較的簡単な行動で自らを守ることができたと述べている。

刑事責任と公共サービスの責任は別の層である。攻撃者は悪意のあるコードとそれを展開する決定を支配した。Microsoft は製品の脆弱性の開示とパッチリリースを支配し、緊急時にサポートが終了したプラットフォーム向けにパッチを提供するという異例の決定を下した。NHS Digital はアラート、ガイダンス、ホットラインサポート、セクター固有の助言を支配した。NHS England は重大インシデントの調整とケア継続性のエスカレーションを支配した。保健省は政策監視と資金優先順位を支配した。地域のトラストと診療所は多くのデバイス、ネットワーク、サプライヤー、変更管理の決定を支配した。サプライヤーは一部のレガシーデバイス、サポート条件、互換性の制約を支配した。

単一の層が全体のストーリーではない。インシデントを敵対国家のイベントとしてのみ扱うことは、それを地域の管理からあまりにかけ離れたものにする。単なる地域の不遵守としてのみ扱うことは、国の機関が警告の兆候を目にしながらも、十分な実施力やアシュアランスの権限を持っていなかった事実を無視する。単に Microsoft の問題としてのみ扱うことは、インシデント前に緊急パッチが存在し、パッチを適用しないことは運用上の選択であるという点を無視する。単にサプライヤーの問題としてのみ扱うことは、サポート対象の Windows システムもパッチが適用されていなかったことを無視する。説明責任はこれらの統制の地図であり、それらすべてを背負うことができる一人のアクターを探すことではない。

最も重大な統制は証拠だった。誰がパッチ状態を知っていたのか?誰が露出した SMB 状態を知っていたのか?どのシステムがサポート切れかを誰が知っていたのか?サプライヤーの介入なしにパッチを適用できない医療機器を誰が知っていたのか?地域のトラストがサイバー緊急時計画をテストしたかどうかを誰が知っていたのか?どれだけ早く GP 診療所が安全な手動運用に切り替えられるかを誰が知っていたのか?公開記録は、それらの回答の多くが入手不可能、不完全、または攻撃前に中央で実行可能でなかったことを示している。

インシデント後のプログラムが診断を裏付ける

WannaCry 後の改善記録は、国の指導者たちが何が失敗したと考えたかを示しているため有用である。NHS England の教訓レビューは、より強力なリーダーシップと取締役会の説明責任、より明確な役割、サイバーセキュリティ基準、地域のレジリエンス、より良いパッチ適用、サポートが終了したソフトウェアの置き換え、改善された対応プロセス、より強力な国の調整を推奨した。省の2018年進捗更新は、大規模インシデント対応、サイバーセキュリティ運用、データセキュリティ基準、サプライヤーへの期待、投資に関する作業を説明している。以前の情報ガバナンスツールキットに代わり2018年4月から導入されたデータセキュリティ・保護ツールキットは、NHS の患者データやシステムにアクセスする組織が国家データガーディアンの10のデータセキュリティ基準に対するパフォーマンスを測定・公開するためのオンライン自己評価メカニズムとなった。

このツールキットは問題が消えたことの証明ではない。自己評価には限界があり、その後の医療システムにおけるサイバーインシデントは、ランサムウェアとサプライヤーの停止が依然として深刻なリスクであることを示している。しかし、それは WannaCry 後のシステムが単なる非公式なガイダンスではなく、明示的なアシュアランスへと移行したことの証拠である。また、サイバーを純粋に技術的なレーンから、取締役会レベルの説明責任、インシデント報告、継続性へと移行させた。

その後の政府戦略「イングランドにおけるサイバーレジリエンスのある医療・成人社会福祉システム」は、その枠組みを2030年まで拡張している。それは、サイバーセキュリティを患者、サービス利用者、スタッフのデータを保護し、攻撃が発生したときに迅速に復旧するための条件と説明している。この戦略の存在は、2017年からの重要な教訓を強化する。すなわち、医療においてサイバーセキュリティは独立したバックオフィス部門ではない。それは公共の信頼とサービスの継続性を裏付けるものなのである。

国立サイバーセキュリティセンターのより広範な公的役割もこの期間に成長した。その2017年年次レビューの発表は、新センターの最初の年と、英国をオンラインでより安全にするという使命を説明した。WannaCry への対応は、その使命を病院や診療所にとって具体的なものにした。それは国のサイバー能力がセクター固有の運用に結びつかなければならず、単に技術チーム向けの警告を発行するだけでは不十分であることを示した。

5つの説明責任テスト

NHS のケースの永続的な価値は、それが取締役会や公共部門のリーダーに実践的なテストを提供することにある。これらのテストは、一人の管理者を一つのパッチのせいで非難するためのものではない。それらは、公共サービスが既知のサイバーリスクが運用上の行動に変換されたことを証明できるかどうかについてのものである。

1. 資産の可視性:組織は、特定できないものにパッチを適用することはできない。サーバー、エンドポイント、医療機器、サポートが終了したシステム、オペレーティングシステムのバージョン、露出したサービス、サプライヤー、臨床的依存関係の棚卸しが必要である。その棚卸しには、古い診断ワークステーション、共有ファイルサーバー、ベンダーによって部分的に管理されているマシンなど、所有するのが面倒なシステムも含まれなければならない。

2. パッチのアシュアランス:警告を発するだけでは不十分である。緊急アラートは、追跡可能なアクション、期限、幹部へのエスカレーション、名前付きの例外、補償的制御、パッチがインストールされたか露出が他の方法で制御されたことの証拠を生み出すべきである。地域の自律性が中央の命令を妨げる場合、中央は少なくとも信頼できる可視性と、患者安全リスクをエスカレーションする経路を必要とする。

3. レガシーの封じ込め:サポートが終了している、またはパッチ適用が困難なシステムは、セグメンテーション、アクセス制限、サプライヤー計画、交換資金、臨床的コンティンジェンシーを必要とする。システムをサポートなしのままにすることは、時に一時的な臨床上の必要性であるが、ワーム発生の最中に発見される管理されていない事実であってはならない。

4. サイバー固有の継続性:緊急時計画は、通常のコミュニケーションと記録システムが利用できない可能性があることを前提としなければならない。手動による代替手段は、単なる紙のフォームではなく、キャパシティ計画を必要とする。それには、どの臨床サービスが最初に低下するか、患者がどのように転送されるか、検査結果がどのように移動するか、予約がどのように再設定されるか、オフラインの作業がどのように安全に調整されるかを明記すべきである。

5. 多層的な説明責任:中央、地域組織、サプライヤー、国家安全保障機関は異なる統制を持つ。成熟した枠組みは、それらの統制を一つの非難の物語に押し込めない。誰が行動しなければならないか、誰が検証しなければならないか、誰が資金を提供しなければならないか、誰がコミュニケーションしなければならないか、誰が残留リスクを受け入れなければならないかを定義する。

これらのテストは、サイバーレジリエンスを測定可能にするため、心地よくない。また、スタッフを不可能な期待から保護する。WannaCry の間、NHS のスタッフは時間外労働と即興でサービスを維持した。教訓レビューは公式にそれらの努力を認めた。英雄的な現場対応は、準備が十分であったことの証拠として使われるべきではない。それはしばしば、フォーマルなシステムがプレッシャー下にある人々にあまりにも多くの仕事を残したことの証拠である。

責任の境界

公開された情報源は、強力な運用上の批判を裏付けている。しかし、特定のトラスト、幹部、サプライヤー、国の機関に対する裏付けのない法的結論を支持するものではない。PAC、NAO、NHS England、DHSC、CQC、NCSC、Microsoft、および学術記録は、警告、見逃されたアシュアランス、パッチ未適用のシステム、サービス中断、インシデント後の改革を立証している。それらは、すべての地域組織の過失を証明したり、すべての損失を定量化したり、どのデバイスがキャンセルされた各予約の原因であったかを正確に示したりするものではない。

この境界は重要である。なぜなら、説明責任の教訓は訴訟よりも広いからだ。もしリーダーが、あるエンティティが義務に違反したかどうかの法的闘争にこのケースを矮小化すれば、彼らは統制設計を見失う。公共サービスの問いは、国家的なサイバーイベントの前に、NHS が、各組織が既知の重大な脆弱性を解消したか、意識的に管理したかを知ることができたかどうかである。2017年の答えはノーだった。ケア継続性の問いは、影響を受けたすべての組織が、既知の低下したキャパシティで不可欠なサービスを動かし続けられるよう、サイバー停止のリハーサルを十分に行っていたかどうかである。公開記録は、それらの取り決めが十分にテストされていなかったと述べている。

したがって、WannaCry は、技術的保守の滞留を患者対応のレジリエンスに結びつけたため、依然として公的な説明責任のケースである。リスクには名前があった。MS17-010、SMBv1、サポートが終了したオペレーティングシステム、テストされていないインシデント計画、中央のコンプライアンスアシュアランスのない地域組織、共有ネットワーク、そして軽々しくオフにできない臨床システム。しかし、被害には別の名前があった。キャンセルされた予約、転送された患者、利用できない記録、遅れた情報、スタッフの時間外労働、そして9,200万ポンドの修復と混乱の推定である。

このインシデントを記憶する最も責任ある方法は、古いソフトウェアについての教訓物語としてではない。それは、公的機関が懸念するのに十分な知識がありながらも、準備が整うほどには十分に知らない可能性があるという警告である。パッチは存在し得る。アラートは送信され得る。取締役会はサイバー研修を受けられる。計画は書かれ得る。組織が、脆弱なシステムがパッチを適用され、隔離され、交換され、安全に回避策が取られていることを証明できないならば、リスクは依然として、サービスが停止したときに初めてその依存関係を発見する患者、スタッフ、小規模医療提供者によって負わされているのである。

タイポグラフィ

タイポグラフィは、書かれた言葉を読みやすく、判読しやすく、視覚的に魅力的にするために活字を配置する芸術および技術である。それには、書体、ポイントサイズ、行長、行間、文字間隔の選択が含まれる。

  • タイポグラフィは、15世紀にヨハネス・グーテンベルクが活字を発明したことに端を発する。
  • 主な要素には、フォントの選択、カーニング、トラッキング、行送りが含まれる。
  • 優れたタイポグラフィは可読性を高め、デザインにおけるムードやトーンを伝える。