概要
- 確認済み:WannaCry は2017年5月12日から19日までイングランドの NHS サービスに影響を与えた。会計検査院(NAO)の報告によると、236トラストのうち少なくとも80が感染または混乱し、34トラストが感染してデバイスがロックされ、46トラストが感染していないものの混乱を報告し、さらに595の一般診療所を含む603のプライマリケアおよびその他の NHS 組織が感染した。
- 確認済み:NHS England は、インシデント対応期間中に6,912件のキャンセルされた予約を特定し、合計19,000件以上のキャンセルを推定した。5つの救急部門が患者を転送した。NHS Digital は NAO に対し、患者データが侵害または盗まれたことはないと述べ、保健省、NHS England、国家犯罪庁は NAO に対し、NHS 組織が身代金を支払ったことはないと述べた。
- 境界:公的記録はパッチ適用と保証の失敗を支持するが、Windows XP だけが NHS の障害を引き起こしたという単純な主張は支持しない。NHS England の教訓レビューによると、攻撃は Microsoft Windows の脆弱性を悪用し、感染した NHS デバイスのほとんどはサポートされているがパッチ未適用の Windows 7を実行しており、サポートされていない XP デバイスは感染デバイスのごく一部であった。
- 評価:説明責任のある失敗は単なる技術的負債ではなかった。それは、資産の可視性、パッチ展開、サポートされていないデバイスの管理、地域トラストの自治、インシデント前のコンプライアンスメカニズムのない国家機関、テストされていない地域のサイバー対応、そして紙と手作業による調整を強いられたケア継続性プロセスの組み合わせであった。
パッチは発行されても管理されないことがある
NHS WannaCry の最も短い説明は、Microsoft のパッチが攻撃前に存在し、多くの NHS 組織がそれを適用していなかったということである。その文は真実だが、説明責任の問題を隠している。パッチは技術的な成果物である。パッチ適用はガバナンスシステムである。資産記録、リスクの優先順位付け、変更ウィンドウ、臨床システムテスト、サプライヤー調整、地域の運用同意、展開の証明、例外の国家的見解が必要である。2017年5月、NHS にはガイダンス、警告、技術サポートがあったが、ガイダンスが保護になっているという十分な保証はなかった。
Microsoft は2017年3月14日にセキュリティ情報 MS17-010を公開した。この情報は問題を重要と評価し、最も深刻な脆弱性は、攻撃者が細工したメッセージを Microsoft Server Message Block 1.0サーバーに送信した場合にリモートコード実行を可能にする可能性があると述べていた。Microsoft は後にWannaCrypt に関する顧客ガイダンスで、3月の更新プログラムが悪用された脆弱性に対処したこと、自動更新を有効にしている組織はその脆弱性から保護されていたこと、そして Microsoft が Windows XP、Windows 8、Windows Server 2003などの古いプラットフォーム向けに更新プログラムを広く利用可能にするという異例の措置を取ったことを説明した。セキュリティブログでは、WannaCrypt は既に修正された脆弱性を利用するワームであり、パッチを適用していないコンピュータに影響を与えると説明されていた。(Microsoft セキュリティブログ)
NHS Digital のアーカイブされたアラート、CC-1411は、同じリスクを医療分野の言葉で説明していた。これはランサムウェアが MS17-010 でパッチ適用された SMB 脆弱性を利用していると特定し、その脆弱性が将来のマルウェア亜種によって自己増殖に利用される可能性が高いと警告し、影響を受けるバージョンへのパッチ適用を優先すべきと述べていた。また、SMB 関連ポートのブロック、ポートロックダウンの確認、脆弱なプラットフォームの更新、脆弱性スキャナーの使用、キルスイッチドメイン接続の維持、感染デバイスの隔離、感染したマシンをパッチ適用済み状態に再構築すること、身代金を支払わないことなどの是正手順も記載されていた。
これらの詳細が重要なのは、5月12日までに技術的な答えが不明瞭ではなかったことを示しているからである。より難しい問題は、国家レベルと地域レベルの管理が、その答えを運営上不可避にしていたかどうかである。会計検査院(NAO)の調査によると、NHS Digital は2017年3月と4月に、WannaCry を防ぐためにシステムにパッチを適用するよう組織に警告する重要なアラートを発行していた。また、攻撃前に保健省は NHS 組織がその助言とガイダンスを遵守しているかどうかを評価する正式なメカニズムを持っていなかったことも報告されている。NHS Digital は236トラストのうち88をオンサイトで評価し、いずれもサイバーセキュリティ評価に合格しなかったが、NHS Digital は地域組織に是正措置を要求することはできなかった。
それが説明責任の要である。中央は警告できた。地域組織は多くの実装選択を管理していた。しかし、患者は中央の警告と地域のパッチウィンドウの境界ではなく、結合されたシステムを経験した。
記録が確立していること
WannaCry は2017年5月12日金曜日に NHS に影響を与え始めた。NAO は、世界的なランサムウェア攻撃が少なくとも100か国の20万台以上のコンピュータに影響を与え、NHS は特定の標的ではなかったと報告した。同日午後4時、NHS England は重大インシデントを宣言し、健康と患者ケアを維持するための緊急措置を実施した。セキュリティ研究者がその夜にキルスイッチを有効にし、WannaCry がそれ以上デバイスをロックするのを防いだ。攻撃は5月12日から19日までの週に NHS サービスに影響を与えた。
イングランドでの規模は大きかったが完全に測定可能ではなかった。NAO によると、イングランド全体の236トラストのうち少なくとも80が、感染したか予防措置としてシステムをオフにしたために影響を受けた。そのうち34が感染してデバイスがロックされ、25の急性期トラストが含まれていた。別の46は感染として分類されずに混乱を報告し、一部は予防措置として電子メールやその他のシステムをシャットダウンし、通常は電子的に行われる活動にペンと紙を使用しなければならなかった。NHS England と NHS Digital はまた、WannaCry ドメインに接続しようとしたがロックされなかった21のトラスト、および595の一般診療所を含む603のプライマリケアおよびその他の組織が感染したことを特定した。
公的記録は何が不明であるかについても明確である。保健省と NHS England は混乱の全容を知らなかった。感染したトラストとシステムやデータを共有していたために記録にアクセスできなかった NHS 組織の数は不明であった。キャンセルされた一般診療の予約数、および5つの救急部門から転送された救急車と患者の数も不明であった。NHS England は5月12日から18日までの一部のキャンセル情報を収集したが、NAO はデータがすべての予約タイプをカバーしていないと述べた。報告された6,912件の特定されたキャンセルと推定19,000件以上の総キャンセルは、したがって完全な患者影響台帳ではない。
保健社会福祉担当最高情報責任者が主導したNHS England の教訓レビューは、同じ枠組みを維持しつつ、運用上の詳細を追加した。NHS は直接標的にされたわけではなく、患者への害や患者データの侵害・盗難の報告はなく、NHS 活動の1%が直接影響を受けたと述べている。また、236の病院トラストのうち80が影響を受け、7,454の一般診療所のうち595と8つのその他の NHS および関連組織が感染し、その混乱により医療サービスの情報技術への依存が一層明確になったと述べている。
最後の結論が最も重要である。患者データを盗まなかったランサムウェアインシデントでも、ケアの継続性を損なった。デジタル病院において、可用性は便利な層ではない。それは臨床スループット、コミュニケーション、診断アクセス、予約の流れ、安全なエスカレーションの一部である。
サポートされていないシステムは全体の一部であり、全体ではなかった
WannaCry はしばしば Windows XP の戒めの物語として語り継がれている。サポートされていないソフトウェアは重要だった。それは既知のリスクであり、保健省と内閣府は2014年にトラストに対し、2015年4月までに Windows XP などの古いソフトウェアから移行するための堅牢な計画が必要であると書簡を送っていた。2016年7月に公開された国家データガーディアンレビューは、新しいデータセキュリティ基準とコンプライアンスをテストする方法を提案した。同じく2016年7月に公開されたケア品質委員会の Safe Data, Safe Care レビューは、もはやサポートできないハードウェアとソフトウェアの緊急交換、より強力な監査と検証、およびデータセキュリティのリーダーシップによる所有権を推奨した。
しかし、「サポートされていないシステム」というスローガンは狭すぎる。NHS England の教訓レビューは、影響を受けた80の NHS 組織のいずれも、2017年4月25日に NHS Digital の CareCERT 速報で推奨された Microsoft 更新パッチを適用していなかったと述べている。また、WannaCry は特定の Microsoft Windows の脆弱性を利用した攻撃であり、サポートされていないソフトウェアへの攻撃ではなかったと述べている。感染した NHS デバイスの大多数は、サポートされているがパッチ未適用の Windows 7を実行していた。サポートされていない XP デバイスは感染デバイスのごく一部であり、XP デバイスの数は2018年1月までに18%から1.8%に減少していた。
この区別は責任にとって重要である。もし失敗が「古いオペレーティングシステム」だけだったなら、答えは交換資金とサプライヤーへの圧力だっただろう。これらは実際の問題であり、特に医療機器や診断装置が古いソフトウェアに依存している場合に顕著だった。しかし、サポートされている Windows 7マシンが重要なアラートの後もパッチ未適用のままであったなら、答えにはパッチ適用のガバナンス、例外管理、クロージャーの証明も含まれる。サポートされているデバイスでも、パッチが適用されていなければ安全ではない。サポートされていないデバイスは、分離するか、補償制御モデルで管理できる。システムは、ワームがインベントリを可視化する前に、各重要なエンドポイントにどの状態が適用されるかを知る必要があった。
教訓レビューはまた、ファイアウォールとネットワーク制御が感染リスクを低減できた可能性があると指摘した。N3 ネットワークに面したネットワークファイアウォールのセキュリティを改善する行動は、パッチ適用が行われていなくても、組織を感染から守ったであろうと述べている。これもパッチ適用を単一のスイッチとして扱わない理由である。パッチ適用は必要だったが、ネットワークセグメンテーション、境界構成、SMB 露出制御、およびどのシステムが依然としてレガシープロトコルサポートを必要としているかについての知識も必要だった。
現在は古いため撤回済みとマークされているNCSC WannaCry ガイダンスは、当時の緊急防御論理を捉えていた。組織に MS17-010 の展開、パッチ適用が不可能な場合は SMBv1 の無効化、必要な場所での関連ポートのブロック、脆弱なレガシーテクノロジーの隔離、アンチウイルスの更新、キルスイッチドメインのブロック回避を助言していた。つまり、即時対応には階層化された制御セットが必要だった。明確な資産リスト、ファイアウォールの所有権、地域の DNS オプション、サプライヤーの連絡先、テスト済みの再構築手順を欠く組織は、緊急時にその階層化された対応を容易に実行できなかった。
地域の自治が中央の保証を困難にした
NHS は単一のモノリシックな IT 環境ではない。地域トラスト、一般診療所、臨床委託グループ、サプライヤー、委託支援ユニット、その他の組織が国家枠組みの中で運営されているが、多くの地域責任を負っている。NAO は、地域の医療組織が情報セキュリティと、サイバー攻撃を含むインシデントおよび緊急時の取り決めに責任を負っていたと述べている。国家機関はそれらを監督し支援したが、特定の技術的行動を強制する権限を常に持っていたわけではない。
この構造は本質的に間違っているわけではない。地域の臨床組織は、自らのケア経路、機器、サプライヤー、変更リスクを理解している。パッチは古い診断インターフェース、患者管理統合、または医療機器プロセスを壊す可能性がある。これらの現実を無視した中央の指示は、安全でない変更や地域の抵抗を生む可能性がある。しかし、中央がどのサイトが露出しているか、どこがリスクを受け入れているか、どこが補償制御を持っているか、そしてサプライヤー、予算、または臨床依存が是正を妨げているために行動できない場所を把握できない場合、地域の自治は危険になる。
NAO が指摘した正式なコンプライアンスメカニズムの欠如は、したがって官僚的な些事ではない。それは警告がシステム全体のリスク低減にならなかった理由を説明している。国家レベルのアラートは「今すぐパッチを適用せよ」と言える。それだけでは、すべての関連エンドポイントにパッチがあること、サポートされていないデバイスが隔離されていること、SMB がブロックされるべき場所でブロックされていること、例外を必要とするシステムが特定されていること、幹部が残余の患者安全リスクを受け入れていることを証明できない。
公共会計委員会の報告書は、同じ弱点を政治的にした。2016年に警告があり、2017年3月と4月にも警告があったが、WannaCry の時点でパッチ適用はトラストの約3分の2でしか行われておらず、88トラストのいずれも NHS Digital の評価に合格していなかったと述べている。また、保健省と NHS は変更が必要であることを認識しており、2018年の教訓レビューには22の勧告が含まれていたが、委員会が報告した時点で実施計画とコストはまだ合意されていなかったと報告している。
その証拠は冷静な結論を支持する:責任は分散されていたが、患者は分散されたケアを受けなかった。地域トラストにパッチがなく、一般診療所がシステムにアクセスできず、救急車が転送を余儀なくされた場合、害は単一の公共サービスを通じて人々に到達した。分散型ガバナンスは、まさに公共サービスがニーズの時点で統一されて見えるため、より強力な証拠ループを必要とする。
IT インシデントではなく、ケア継続性インシデント
WannaCry の目に見える害は中断であった。一部の組織は感染してロックアウトされた。他の組織はリスクを減らすためにシステムをシャットダウンした。紙を使用したところもあった。検査結果を受け取ったり、共有記録にアクセスしたりできないところもあった。一部の患者は予約や手術をキャンセルされた。5つの地域で救急患者が転送された。NAO はすべてのカテゴリが完全にカウントされたわけではないと慎重に述べ、NHS England のレビューは既知の患者への害はないと報告した。これらの境界は尊重されるべきである。報告された害がないことは、すべての臨床リスクが存在しなかったことの証明ではないが、公的記録は死亡者数や隠された患者データの盗難をでっち上げることを支持しない。
より有用な説明責任のレンズは継続性の能力である。医療サービスは、劣化モードが準備できていなければ、短時間のデジタル中断を生き残れない。紙のフォールバックはそれだけでは計画にならない。印刷可能または最新の患者リスト、投薬履歴への代替アクセス、安全な引き継ぎ経路、診断オーダーの回避策、紹介の追跡、手術スケジューリング、検査結果の伝達、手動予約の再予約、システム復旧後の調整が必要である。各フォールバックにはスループットとエラープロファイルがある。20件の手動例外を処理できるクリニックは、数百件を処理できない場合がある。待機的作業を1日安全に延期できる病院でも、地域全体で診断の可視性が損なわれると苦労する可能性がある。
NHS England の教訓レビューは、サイバーインシデントと従来の重大インシデントの違いを認識していた。NHS England は緊急時準備・回復力・対応フレームワークを使用し、それが堅牢な構造を提供したが、インシデントはサイバーが他の重大インシデントとどのように異なるかについても教訓を与えたと述べている。サイバーは通信ツール自体を信頼できなくする可能性がある。複数のサイトに同時に影響を与える可能性がある。最初はサイトが感染しているのか、切断されているのか、防御的に行動しているのかが不明な場合がある。サービス容量を減らす技術的な封じ込め措置が必要になる場合がある。また、共有ネットワークを通じて拡散する可能性があるため、ある組織を支援することは別の組織の行動に依存する可能性がある。
だからこそ、説明責任はパッチを逃したデバイスで終わるべきではない。ケアシステムは、サイバー条件下で基本的な継続性の問いに答えるテスト済みの方法を必要としていた。電子メールがオフラインでも実行し続けなければならないサービスはどれか?救急医療に不可欠な記録はどれか?地域の調整なしにローカルでシャットダウンできるシステムはどれか?どの国家機関がコミュニケーションを主導するか?どのサプライヤーがインシデントブリッジに参加しなければならないか?どの地域幹部が臨床スループットの低下を受け入れることができ、その根拠は何か?
NAO は、保健省が国家レベルと地域レベルの役割と責任を含む計画を策定していたが、地域レベルでテストしていなかったと報告している。また、NHS は国家的なサイバー攻撃のリハーサルを行っていなかったため、誰が対応を主導すべきかがすぐには明確ではなく、コミュニケーションの問題があったことも判明した。これは軽微なプロセスのギャップではない。サイバー継続性において、リハーサルは組織が連絡先リストが機能するか、紙のフォームが存在するか、オフラインの患者リストが十分に最新か、サプライヤーが応答するか、臨床医がどのシステムを安全に再接続できるかを理解する方法である。
相互依存性が地域の保護を地域の混乱に変えた
このインシデントの最も難しい特徴の1つは、一部の組織が他の組織の防御行動によって害を受けたことである。トラストは直接感染を回避しても、別のプロバイダー、サプライヤー、またはネットワークパートナーが自らを守るためにアクセスを閉鎖したため、救急車の引き継ぎプロセス、診断画像転送、化学療法注文経路、血液検査結果の流れ、プライマリケアの症例数へのアクセスを失う可能性がある。それは合理的な地域封じ込めだが、地域的なサービス結果を生み出す。
NHS England の後の事業継続管理ツールキットの WannaCry ケーススタディは、これを実践的に説明している。カウンティ・ダラム・アンド・ダーリントン NHS 財団トラストは直接攻撃を受けなかったが、救急車サービスはアクセスを閉鎖してネットワークを保護し、引き継ぎプロセス画面を無効にし、患者搬送予約ポータルを利用できなくした。三次医療センターはアクセスを閉鎖したため、CT や MR スキャンを電子的に転送できず、化学療法の注文も通常の経路で転送できなくなった。プライマリケア IT プロバイダーはネットワークを保護し、その後自動血液検査結果転送が失敗し、一部の一般開業医は症例数にアクセスできなくなった。
そのケーススタディの回避策は、劇的ではなく具体的であるため有用である。救急車の事前警告は固定電話やその他の無線通信で継続された。患者搬送予約は電話に移行した。画像は DVD に転送され、タクシーで送られた。化学療法の注文は紙と FAX に戻った。血液検査結果の転送は紙に移行し、プロセスが遅くなった。一部の一般開業医は緊急治療センターを通じて症例数にアクセスした。ケーススタディでは、事業継続計画がその後更新され、NHS 組織は相互依存性を理解し、共有サービスの計画を連携させて医療経済への影響を最小限にする必要があると結論づけている。
これはまさに、広範なインシデントカウントが見逃す種類の証拠である。サイバーインシデントは、影響を受けたすべての組織が感染しなくても、ケア能力を低下させる可能性がある。ある当事者による安全な決定が、別の当事者にとっての停止に変わる可能性がある。低容量では安全だが、規模が大きくなると脆弱なアナログ手法を必要とする可能性がある。タクシーで送られる DVD は、少数の緊急スキャンの診断経路を救うかもしれないが、忙しい地域での通常の電子的画像交換の代わりにはならない。電話予約ルートは患者搬送を動かし続けるかもしれないが、予約件数が急増すれば、優先順位付け、監査、スループットを自動的に保存することはできない。紙の化学療法注文は治療を停止させないかもしれないが、デジタルプロセスが通常吸収する転記、確認、調整の負担を生み出す。
これらの例はまた、なぜサプライヤーとパートナーの継続性が小規模組織にとって重要であるかを説明している。一般診療所、ホスピス、地域プロバイダー、地元のクリニック、契約サービスは、依存する中央システムを所有していない場合がある。委託支援ユニット、ホスト型臨床システム、病理インターフェース、診断パートナー、または他の誰かが制御するネットワークルートに依存する場合がある。その依存関係が切断されると、小規模組織はそれでも患者に対応しなければならない。代替サイトを通じて記録にアクセスできるか、紙の結果が臨床的に許容できるか、紹介更新がキューに入れられているか、デジタル経路が失敗したことを患者に伝える責任者が誰かを知らなければならない。
説明責任の観点から、相互依存性は管理テストを変える。各組織が事業継続計画を持っていると言うだけでは十分ではない。計画は互いに適合しなければならない。三次医療センターの防御的シャットダウンが画像転送をブロックする場合、紹介元のトラストの計画は代替ルートをすでに知っていなければならない。プライマリケア IT プロバイダーがアクセスを閉鎖する場合、地域の診療所は緊急記録アクセスのための名前付きオプションを必要とする。救急車の引き継ぎ画面が利用できない場合、救急部門と救急車サービスはリハーサル済みの共有フォールバックを必要とする。NHS のケーススタディは範囲が控えめだが、システムレベルの真実を示している:サイバー継続性は共同作業であり、テストされていない共同依存関係は、各参加者が慎重であろうとしても失敗する可能性がある。
コストは支払われなかった身代金よりも広範だった
NAO 報告書の中で保健省、NHS England、国家犯罪庁によると、NHS 組織は身代金を支払っていない。その事実は一般的な誤解を防ぐべきである:損失は身代金要求ではなかった。それはキャンセルされた仕事、時間外労働、IT サポート、復旧、延期されたケア、サプライヤーの努力、その後の是正であった。NAO は、調査時点で保健省はサービスへの混乱のコストを把握していなかったと述べている。キャンセルされた予約、追加の地域 IT サポート、IT コンサルタント、データとシステムの復旧、週末対応中のスタッフの時間外労働などのコストカテゴリを特定した。
後の保健社会福祉省の更新、Securing cyber resilience in health and care: October 2018 progress updateは、詳細な2018年9月更新 PDFにリンクしている。その更新は、WannaCry が NHS に£92 million の費用をもたらしたという推定値として広く引用されている。これには直接対応と IT 復旧、および損失アウトプットが含まれる。この推定値は注意して使用すべきである。これは公共部門のコスト推定値であり、患者の不安、家族の時間、救急車の移動、地域サプライヤーの負担、すべてのスタッフ時間の完全な会計ではない。
学術研究も、なぜ影響の価格設定が難しいかを示している。2019年のnpj Digital Medicine の遡及的影響分析は、Hospital Episode Statistics を使用してキャンセル、入院、A&E 受診、死亡率、財政的コストを調査した。WannaCry の週におけるすべてのトラストの総活動量にベースラインと比較して有意差は見られなかったが、直接感染した病院では緊急入院と待機的入院が減少し、感染トラストでの失われた病院活動量は£5.9 million と推定された。また死亡率の増加は認められず、死亡率は患者への害の粗い尺度であると警告している。
£5.9 million の感染病院活動量推定値とより広範な£92 million の公共部門推定値の差は、必ずしも矛盾ではない。それらは異なるものを測定している。一方は病院データを使用して定義された期間における感染病院での活動量を調べている。もう一方はより広範な対応、復旧、IT 是正を含んでいる。説明責任にとって重要なのは、最大の数字を選んで「コスト」と呼ぶことではない。どのコストが早期のパッチ適用によって予防可能だったか、どのコストが必要な封じ込めによって発生したか、どのコストが以前に行われるべきだった投資か、そしてどのコストが IT 予算に現れることなく患者とスタッフに降りかかったかを問うことである。
中小規模のプロバイダーは同じ問いの中にいる。問題は、国家サービスに接続する小規模組織全体の継続性である:一般診療所、ホスピス、地域プロバイダー、請負業者、デバイスサプライヤー、地域 IT サポートパートナー、社会的ケアインターフェース。NAO はプライマリケアおよびその他の組織を感染エンティティに含め、他のプロバイダーが共有システムや情報の遅延を通じて影響を受ける可能性があると指摘した。大規模公共機関でのサイバーインシデントは、したがって、冗長性が少なく政治的認知度が低い小規模組織にとって継続性のショックとなる。
属性は運用上の問いに答えない
英国は後に WannaCry を北朝鮮に帰属させた。外務省のWannaCry 攻撃の背後にいる北朝鮮の攻撃者に関する声明は、英国は Lazarus Group として知られる北朝鮮の攻撃者がキャンペーンの背後にいると判断したと述べている。その属性は抑止、制裁、外交、国家安全保障にとって重要である。それは国内の運用管理を免除するものではない。同じ公的記録は、NHS が特定の標的ではなかったこと、ワームが既知の Windows 脆弱性を通じて拡散したこと、地域組織が自らを守るために比較的簡単な行動を取ることができたことを示している。
刑事責任と公共サービス責任は別の層である。攻撃者は悪意のあるコードとそれを展開する決定を制御した。Microsoft は自社製品の脆弱性開示とパッチリリース、そして緊急時にサポートされていないプラットフォーム向けにパッチを利用可能にする異例の決定を制御した。NHS Digital はアラート、ガイダンス、ホットラインサポート、セクター固有のアドバイスを制御した。NHS England は重大インシデント調整とケア継続性エスカレーションを制御した。保健省は政策監視と資金調達の優先順位を制御した。地域トラストと診療所は多くのデバイス、ネットワーク、サプライヤー、変更管理の決定を制御した。サプライヤーは一部のレガシーデバイス、サポート条件、互換性制約を制御した。
単一の層が全体の話ではない。インシデントを敵対的国家の出来事としてのみ扱うと、地域管理から遠ざけすぎる。地域の非遵守としてのみ扱うと、国家機関が警告サインを見ていたが十分な執行力や保証力を持っていなかったことを無視する。Microsoft の問題としてのみ扱うと、重大なパッチがインシデント前に存在し、パッチを適用しないことが運用上の選択であることを無視する。サプライヤーの問題としてのみ扱うと、サポートされている Windows システムもパッチ未適用であったことを無視する。説明責任はこれらの制御の地図であり、すべてを担う単一のアクターを探すことではない。
最も重要な制御は証拠だった。誰がパッチ状態を知っていたか?誰が露出した SMB 状態を知っていたか?誰がどのシステムがサポートされていないかを知っていたか?誰がどの医療機器がサプライヤーの介入なしではパッチを適用できないかを知っていたか?誰が地域トラストがサイバー緊急時計画をテストしたかどうかを知っていたか?誰が一般診療所がどの程度迅速に安全な手動運用に切り替えられるかを知っていたか?公的記録は、これらの答えの十分な数が攻撃前に利用不可能か、不完全か、または中央で行動可能でなかったことを示している。
インシデント後のプログラムが診断を確認する
WannaCry 後の是正記録は、国家リーダーが何が失敗したと考えていたかを示すため有用である。NHS England の教訓レビューは、より強力なリーダーシップと取締役会の説明責任、明確な役割、サイバーセキュリティ基準、地域の回復力、より良いパッチ適用、サポートされていないソフトウェアの交換、改善された対応プロセス、より強力な国家調整を推奨した。保健省の2018年進捗更新は、重大インシデント対応、サイバーセキュリティ運用、データセキュリティ基準、サプライヤーの期待、投資に関する作業を説明した。2018年4月から以前の情報ガバナンスツールキットに代わったデータセキュリティおよび保護ツールキットは、NHS の患者データとシステムにアクセスできる組織が、国家データガーディアンの10のデータセキュリティ基準に対するパフォーマンスを測定し公開するためのオンライン自己評価メカニズムとなった。
そのツールキットは問題が消えたことの証明ではない。自己評価には限界があり、医療システムにおける後のサイバーインシデントは、ランサムウェアとサプライヤーの停止が依然として深刻なリスクであることを示している。しかし、これは WannaCry 後のシステムが、非公式なガイダンスだけではなく、明示的な保証に向かって動いた証拠である。また、サイバーを純粋に技術的なレーンから、取締役会レベルの説明責任、インシデント報告、継続性へと移行させた。
後の政府戦略、A cyber resilient health and adult social care system in Englandは、その枠組みを2030年まで延長している。サイバーセキュリティを患者、サービス利用者、スタッフのデータを保護し、攻撃発生時に迅速に回復するための条件として説明している。この戦略の存在は、2017年からの核心的な教訓を強化する:医療において、サイバーセキュリティは別個のバックオフィス分野ではない。それは公共の信頼とサービス継続性を支える。
国家サイバーセキュリティセンター(NCSC)のより広範な公的役割もこの期間に成長した。その2017年年次レビュー発表は、新しいセンターの初年度と英国をオンラインでより安全にする使命を説明した。WannaCry 対応は、その使命を病院や診療所にとって具体的なものにした。国家のサイバー能力は、技術チーム向けの警告を公開するだけでなく、セクター固有の運用に接続しなければならないことを示した。
5つの説明責任テスト
NHS のケースの永続的な価値は、取締役会や公共部門のリーダーに実践的なテストを提供することである。これらのテストは、1つのパッチについて1人の管理者を非難することではない。既知のサイバーリスクが運用上の行動に変換されたことを公共サービスが証明できるかどうかに関するものである。
1. 資産の可視性:組織は特定できないものにパッチを適用できない。サーバー、エンドポイント、医療機器、サポートされていないシステム、オペレーティングシステムのバージョン、露出したサービス、サプライヤー、臨床依存関係のインベントリが必要である。インベントリには、古い診断ワークステーション、共有ファイルサーバー、ベンダーが部分的に制御するマシンなど、所有するのが不便なシステムを含める必要がある。
2. パッチ保証:警告を発行するだけでは十分ではない。重要なアラートは、追跡可能なアクション、期限、幹部へのエスカレーション、名前付き例外、補償制御、およびパッチがインストールされたか露出が他の方法で制御されたという証拠を生成する必要がある。地域の自治が中央の命令を妨げる場合、中央は少なくとも信頼できる可視性と患者安全リスクをエスカレートする経路を必要とする。
3. レガシーの封じ込め:サポートされていない、またはパッチが困難なシステムには、セグメンテーション、アクセス制限、サプライヤー計画、交換資金、臨床的緊急時対応が必要である。システムをサポートなしのままにすることは、時には一時的な臨床的必要性であるが、ワーム発生中に発見される管理されていない事実であってはならない。
4. サイバー固有の継続性:緊急時計画は、通常の通信および記録システムが利用できなくなる可能性を想定しなければならない。手動フォールバックには、紙のフォームだけでなく、キャパシティプランニングが必要である。どの臨床サービスが最初に低下するか、患者がどのように転送されるか、検査結果がどのように移動するか、予約がどのように再スケジュールされるか、オフライン作業が安全にどのように調整されるかを指定する必要がある。
5. 多層説明責任:中央、地域組織、サプライヤー、国家安全保障機関は異なる制御を持つ。成熟したフレームワークは、これらの制御を単一の非難の物語に collapse させない。誰が行動しなければならないか、誰が検証しなければならないか、誰が資金を提供しなければならないか、誰がコミュニケーションを取らなければならないか、誰が残余リスクを受け入れなければならないかを定義する。
これらのテストは、サイバーレジリエンスを測定可能にするため、心地よくない。また、スタッフを不可能な期待から保護する。WannaCry の間、NHS スタッフは時間外労働をし、サービスを維持するために即興で対応した。教訓レビューはそれらの努力を公に認識した。英雄的な地域対応は、準備が十分であった証拠として使用されるべきではない。それはしばしば、正式なシステムがプレッシャー下の人々にあまりにも多くの作業を残した証拠である。
責任の境界
公的ソースは強い運用上の批判を支持する。それらは、名前付きのトラスト、幹部、サプライヤー、または国家機関に対する無謀な法的結論を支持しない。PAC、NAO、NHS England、DHSC、CQC、NCSC、Microsoft、学術記録は、警告、見逃された保証、パッチ未適用システム、サービス中断、インシデント後の改革を確立している。それらはすべての地域組織における過失を証明したり、すべての損失を定量化したり、キャンセルされた各予約の原因となったデバイスを正確に示したりしていない。
その境界が重要なのは、説明責任の教訓が訴訟よりも広いからである。リーダーがケースを、あるエンティティが義務に違反したかどうかの法的争いにまで縮小すると、制御設計を見逃す。公共サービスの問いは、国家サイバーイベントの前に、NHS が各組織が既知の重要な脆弱性をクローズしたか、または意識的に管理したことを知ることができたかどうかである。2017年の答えはノーだった。ケア継続性の問いは、影響を受けたすべての組織が、既知の低下容量で必須サービスを動かし続けるのに十分にサイバー停止のリハーサルを行っていたかどうかである。公的記録は、それらの取り決めが十分にテストされていなかったことを示している。
WannaCry はしたがって、技術的なメンテナンスのバックログを患者向けの回復力に接続したため、公共の説明責任ケースであり続けている。リスクには名前があった:MS17-010、SMBv1、サポートされていないオペレーティングシステム、テストされていないインシデント計画、中央のコンプライアンス保証のない地域組織、共有ネットワーク、簡単にオフにできない臨床システム。しかし、害には異なる名前があった:キャンセルされた予約、転送された患者、利用できない記録、遅延した情報、スタッフの時間外労働、£92 million の是正および混乱の推定値。
このインシデントを記憶する最も責任ある方法は、古いソフトウェアに関する教訓話としてではなく、公共機関が心配するのに十分なことを知りながら、準備ができるには十分でない可能性があるという警告としてである。パッチは存在し得る。アラートは送信され得る。取締役会はサイバートレーニングを受けることができる。計画は書かれることができる。組織が脆弱なシステムがパッチ適用、隔離、交換、または安全に回避されていることを証明できない限り、リスクは依然として患者、スタッフ、およびサービスが停止したときにのみ依存関係を発見する小規模プロバイダーによって負われている。

