要約
- 確認:WannaCry は 2017 年 5 月 12 日から 19 日まで、NHS England のサービスに影響を及ぼした。英国会計検査院(NAO)の報告によると、236 のトラストのうち少なくとも 80 が感染または混乱し、34 のトラストが感染してデバイスからロックアウトされ、46 のトラストは感染しなかったが混乱を報告し、さらに 603 のプライマリケアとその他の NHS 組織が感染した(そのうち 595 が GP 診療所)。
- 確認:NHS England は、インシデント対応期間中に 6,912 件の予約キャンセルを特定し、合計で 19,000 件以上のキャンセルがあったと推定した。5 つの救急外来部門が患者を転送した。NHS Digital は NAO に対し、患者データが侵害されたり盗まれたりはしなかったと報告し、保健省、NHS England、国家犯罪対策庁(NCA)は NAO に対し、NHS 組織は身代金を支払わなかったと報告した。
- 境界:公開記録はパッチ適用と保証の失敗を裏付けているが、Windows XP 単独が NHS の停止を引き起こしたとする単純な主張は支持しない。NHS England の教訓レビューは、攻撃が Microsoft Windows の脆弱性を悪用したこと、感染した NHS デバイスの大半はサポート対象だがパッチ未適用の Windows 7 であり、サポート対象外の XP デバイスは感染デバイスの少数派だったと述べた。
- 評価:説明責任のある失敗は単なる技術的負債ではなかった。それは、資産の可視性、パッチ展開、サポート対象外デバイス管理、地元トラストの自律性、インシデント前のコンプライアンスメカニズムの欠如した国レベル機関、未テストの地元サイバー対応、そして紙と手動調整に強制される医療継続プロセスの組み合わせだった。
パッチは発行されても管理されないことがある
NHS WannaCry の最も短い話は、Microsoft のパッチが攻撃前に存在し、多くの NHS 組織がそれを適用していなかったというものである。この文章は真実だが、説明責任の問題を隠している。パッチは技術的な成果物である。パッチ適用はガバナンスシステムである。それには資産記録、リスク優先順位付け、変更ウィンドウ、臨床システムテスト、サプライヤー調整、地元の運用同意、展開の証明、例外の国家的な可視性が必要である。2017 年 5 月、NHS はガイダンス、警告、技術サポートを持っていたが、ガイダンスが保護に変わったことを保証するだけの十分な確証はなかった。
Microsoft は 2017 年 3 月 14 日にセキュリティ情報 MS17-010を公開した。この情報は問題を緊急と評価し、最も深刻な脆弱性は、攻撃者が細工されたメッセージを Microsoft Server Message Block 1.0 サーバーに送信した場合にリモートコード実行を許可する可能性があると述べた。Microsoft は後にWannaCrypt 顧客ガイダンスで、3 月の更新プログラムが悪用された脆弱性に対処しており、自動更新が有効な組織はその脆弱性から保護されていたこと、Microsoft は Windows XP、Windows 8、Windows Server 2003 などの旧バージョンプラットフォームに対しても広く更新プログラムを利用可能にする異例の措置を講じたと説明した。セキュリティブログの記事では、WannaCrypt は既に修正済みの脆弱性を使用するワームであり、パッチを適用していないコンピューターに影響を与えると述べている。(Microsoft セキュリティブログ)
NHS Digital のアーカイブされたアラートCC-1411は、同じリスクを医療セクターの言葉で枠組みした。これは、ランサムウェアが MS17-010 でパッチされた SMB の脆弱性を使用していることを特定し、その脆弱性が将来のマルウェアの亜種による自己拡散に使用される可能性が高いと警告し、影響を受けるバージョンのパッチ適用を優先するよう述べた。また、SMB 関連ポートのブロック、ポートロックダウンの確認、脆弱性のあるプラットフォームの更新、脆弱性スキャナーの使用、キルスイッチドメインへの接続の維持、感染デバイスの隔離、感染マシンのパッチ適用済み標準への再構築、身代金を支払わないことなどの修復手順も列挙した。
これらの詳細が重要なのは、5 月 12 日までに技術的な答えが不明瞭ではなかったことを示しているからである。より難しい問題は、国と地域の対策がその答えを運用上不可避なものにしていたかどうかである。英国会計検査院の調査報告書は、NHS Digital が 2017 年 3 月と 4 月に、WannaCry を防ぐためにシステムにパッチを適用するよう警告する緊急アラートを発行していたと報告した。また、攻撃前に保健省には NHS 組織がそのアドバイスとガイダンスに従ったかどうかを評価する正式なメカニズムがなかったとも報告した。NHS Digital は 236 のトラストのうち 88 をオンサイトで評価し、いずれもサイバーセキュリティ評価に合格しなかったが、NHS Digital は地元の組織に改善措置を取るよう要求することはできなかった。
これが説明責任の蝶番である。中央は警告できた。地域の組織は実装の選択の多くを管理していた。しかし、患者が経験したのは統合されたシステムであり、中央のアラートと地元のパッチウィンドウの境界ではなかった。
記録が確立していること
WannaCry は 2017 年 5 月 12 日金曜日に NHS に影響を与え始めた。NAO は、この世界的なランサムウェア攻撃が少なくとも 100 カ国で 20 万台以上のコンピューターに影響し、NHS が特定の標的ではなかったと報告した。その日の午後 4 時、NHS England は大規模インシデントを宣言し、保健と患者ケアを維持するための緊急措置を実施した。その晩、セキュリティ研究者がキルスイッチを作動させ、WannaCry が同じ方法でさらなるデバイスをロックするのを止めた。攻撃は 5 月 12 日から 19 日までの週に NHS のサービスに影響した。
イングランドでの規模は大きかったが、完全には測定できなかった。NAO によると、イングランド全土の 236 のトラストのうち少なくとも 80 が、感染したか、または予防措置としてシステムを停止したために影響を受けた。そのうち 34 は感染してデバイスからロックアウトされ(うち 25 は急性期トラスト)、別の 46 は感染とは分類されなかったが混乱を報告した。一部は予防措置としてメールなどのシステムを停止し、通常電子的に行っていた活動にペンと紙を使用しなければならなかった。NHS England と NHS Digital はまた、WannaCry のドメインに接続しようとしたがロックアウトされなかった 21 のトラストを特定し、さらに 603 のプライマリケアおよびその他の組織が感染し、うち 595 の GP 診療所が含まれた。
公開記録は、不明な点についても同様に明確である。保健省と NHS England は、混乱の全容を把握していなかった。どれだけの NHS 組織が、感染したトラストとシステムやデータを共有していたために記録にアクセスできなかったかを知らなかった。どれだけの GP 予約がキャンセルされたか、5 つの救急外来部門からどれだけの救急車や患者が転送されたかわからなかった(これらの部門は一部の患者を治療できなかった)。NHS England は 5 月 12 日から 18 日までの間に一部のキャンセル情報を収集したが、NAO はそのデータがすべての予約タイプをカバーしていないと指摘した。報告された 6,912 件の特定されたキャンセルと 19,000 件以上の推定総キャンセルは、したがって完全な患者影響の台帳ではない。
保健・社会福祉省の最高情報責任者が主導したNHS England の教訓レビューは、同じ枠組みを維持しながら、運用上のきめ細かさを加えた。これは、NHS が直接の標的ではなく、患者の危害や患者データの漏洩・盗難の報告はなく、NHS の活動の 1%が直接影響を受けたと述べている。また、236 の病院トラストのうち 80 が影響を受け、7,454 の GP 診療所のうち 595 と 8 つの他の NHS および関連組織が感染し、この混乱によって医療サービスの情報技術への依存がより明確になったと述べている。
この最後の結論が最も重要である。患者データを盗まなかったランサムウェアインシデントでも、医療の継続性を損なった。デジタル病院において、可用性は便利な層ではない。それは臨床のスループット、コミュニケーション、診断アクセス、予約の流れ、安全なエスカレーションの一部である。
サポートされていないシステムは物語の一部であり、全体ではない
WannaCry はしばしば Windows XP の教訓物語として語られる。サポートされていないソフトウェアは問題であった。それは既知のリスクであり、保健省と内閣府は 2014 年にトラストに対し、2015 年 4 月までに Windows XP などの古いソフトウェアから移行するための確固たる計画が必要であると書簡で伝えていた。国家データ保護者のレビュー(2016 年 7 月発行)は、新しいデータセキュリティ基準とコンプライアンスをテストする方法を提案した。ケアの質委員会の「Safe Data, Safe Care」レビュー(同じく 2016 年 7 月発行)は、サポート終了となるハードウェアとソフトウェアの早急な交換、監査と検証の強化、データセキュリティのリーダーシップによるオーナーシップを推奨した。
しかし、サポートされていないシステムというスローガンだけでは狭すぎる。NHS England の教訓レビューは、影響を受けた 80 の NHS 組織のいずれも、NHS Digital の CareCERT 速報が 2017 年 4 月 25 日に勧告した Microsoft の更新パッチを適用していなかったと指摘した。また、WannaCry は特定の Microsoft Windows の脆弱性を利用した攻撃であり、サポートされていないソフトウェアに対する攻撃ではないと述べた。感染した NHS デバイスの大半はサポート対象だがパッチ未適用の Windows 7 を実行していた。サポート対象外の XP デバイスは感染デバイスの少数派であり、XP デバイスの数は 2018 年 1 月までに 18%から 1.8%に減少していた。
責任の所在を考える上で、この区別は重要である。もし失敗が単に「古いオペレーティングシステム」だけにあるのなら、その答えは交換資金とサプライヤーへの圧力である。特に医療機器や診断装置が古いソフトウェアに依存している場合、それらは現実の問題である。しかし、サポート対象の Windows 7 マシンが緊急アラート後もパッチ未適用だった場合、その答えにはパッチガバナンス、例外管理、完了の証明も含まれる。サポート対象デバイスは、パッチが適用されていないときは安全ではない。サポート対象外のデバイスは、補償コントロールモデルで隔離または管理できる。システムは、ワームが在庫を可視化する前に、重要なエンドポイントがどちらの状態にあるかを知る必要があった。
教訓レビューはまた、ファイアウォールとネットワーク制御が感染リスクを低減できた可能性があると指摘した。これは、パッチ適用が行われなかった場合でも、N3 ネットワークに面したネットワークファイアウォールのセキュリティを改善する措置が組織を感染から守ったであろうと述べている。これはパッチ適用を単一のスイッチとして扱わないもう一つの理由である。パッチ適用は必要だが、ネットワークセグメンテーション、境界設定、SMB 露出制御、そしてまだレガシープロトコルサポートが必要なシステムの把握も同様に必要だった。
(現在は古くなったために撤回されたとマークされた)NCSC の WannaCry ガイダンスは、当時の緊急防御ロジックを捉えている。これは、MS17-010 の展開、パッチ適用が不可能な場合の SMBv1 の無効化、必要な場所での関連ポートのブロック、脆弱なレガシーテクノロジーの隔離、アンチウイルスの更新、キルスイッチドメインのブロック回避を助言している。言い換えれば、即時の対応には多層的な管理セットが必要だった。明確な資産リスト、ファイアウォールの所有権、ローカル DNS オプション、サプライヤー連絡先、テスト済みの再構築手順を欠く組織は、緊急時のプレッシャーの中でその多層的な対応を容易に実行できなかった。
地域の自律性が中央の保証を困難にした
NHS は一枚岩の IT 資産ではない。地域のトラスト、GP 診療所、臨床コミッショニンググループ、サプライヤー、コミッショニングサポートユニット、その他の組織は、国の枠組みの中で運営されているが、多くの地域の責任を負っている。NAO は、地域の医療組織が情報を安全に保ち、サイバー攻撃を含むインシデントと緊急時の準備の責任を負っていると述べた。国の機関はそれらを監督し支援するが、具体的な技術的措置を強制する権限を常に持っているわけではない。
この構造は本質的に間違っているわけではない。地域の臨床組織は、自らのケア経路、機器、サプライヤー、変更リスクを理解している。パッチは古い診断インターフェース、患者管理システムの統合、または医療機器プロセスを壊す可能性がある。これらの現実を無視する中央の指示は、危険な変更や地域の抵抗を生む可能性がある。しかし、地域の自律性は、中央がどのサイトが露出しているか、どのサイトがリスクを受け入れたか、どのサイトが補償制御を持っているか、サプライヤーや予算、臨床依存が修復を妨げているために行動できないところがあるかを見えない場合に危険になる。
したがって、NAO の正式なコンプライアンスメカニズムの欠如に関する指摘は、官僚的な些事ではない。それは、警告がシステム全体のリスク低減に至らなかった理由を説明している。国のアラートは「今すぐパッチを」と言える。それ自体では、すべての関連するエンドポイントがパッチを持っていること、サポート対象外デバイスが隔離されていること、SMB が適切にブロックされていること、例外を必要とするシステムが特定されていること、または幹部が残留する患者安全リスクを受け入れたことを証明できない。
公会計委員会の報告書は、同じ弱点を政治的にも取り上げた。それは、2016 年の警告と 2017 年 3 月から 4 月の追加の警告があったにもかかわらず、WannaCry の時点でトラストの約 3 分の 2 でしかパッチ適用が行われておらず、88 のトラストのいずれも NHS Digital の評価に合格していなかったと述べた。また、保健省と NHS は変化の必要性を認識し、2018 年の教訓レビューには 22 の推奨事項が含まれていたが、委員会が報告した時点では実施計画とコストがまだ合意されていなかったとも報告している。
この証拠は冷静な結論を裏付ける。責任は分散していたが、患者が受けたケアは分散していなかった。地域のトラストがパッチを欠き、GP 診療所がシステムにアクセスできず、救急車が転送を余儀なくされた場合、被害は単一の公共サービスを通じて人々に及んだ。分散型ガバナンスは、公共サービスが必要な時点で統一されているように見えるからこそ、より強力な証拠ループを必要とする。
IT インシデントではなく、医療継続のインシデント
WannaCry の目に見える被害は中断だった。一部の組織は感染してロックアウトされた。他はリスクを減らすためにシステムを停止した。紙を使ったところもあった。検査結果を受け取れなかったり、共有記録にアクセスできなかったりしたところもあった。一部の患者は予約や手術がキャンセルされた。5 つの地域で救急外来患者を転送した。NAO は、すべてのカテゴリーが完全に集計されたわけではないと注意深く述べ、NHS England のレビューは既知の患者の危害はなかったと報告した。これらの境界は尊重されるべきである。危害の報告がないことは、すべての臨床リスクが存在しなかったことの証明ではないが、死亡者数や隠れた患者データの窃取をでっち上げることを公開記録は支持しない。
より有用な説明責任の視点は、継続能力である。医療サービスは、劣化モードが準備されている場合にのみ短時間のデジタルの中断を生き延びることができる。紙のフォールバックだけでは計画にならない。それには印刷可能または最新の患者リスト、投薬履歴の代替アクセス、安全な引き継ぎ経路、診断オーダーの回避策、紹介追跡、手術室スケジューリング、検査室の結果連絡、手動による予約の再調整、システム復旧後の調整が必要である。各フォールバックには、スループットとエラーのプロファイルがある。20 件の手動例外を処理できるクリニックは、数百件を処理できないかもしれない。選択的手術を 1 日安全に延期できる病院は、地域全体で診断可視性が損なわれている場合に苦労するかもしれない。
NHS England の教訓レビューは、サイバーインシデントと通常の大規模インシデントの違いを認識した。それは NHS England が緊急事態準備・回復・対応フレームワークを使用し、堅牢な構造を提供したが、このインシデントはサイバーが他の大規模インシデントとどう異なるかについての教訓も教えたと述べている。サイバーは通信ツール自体を信頼できなくする可能性がある。複数拠点に同時に影響する可能性がある。最初は、ある拠点が感染しているのか、切断されているのか、防御的に行動しているのか明確でない場合がある。サービス能力を低下させる技術的な封じ込め措置を必要とする可能性がある。また、共有ネットワークを通じて拡散する可能性があるため、ある組織を支援することが別の組織の行動に依存することがある。
これが、説明責任がパッチを逃したデバイスで終わるべきではない理由である。ケアシステムは、サイバー条件下で基本的な継続性の質問に答えるテスト済みの方法を必要としていた。どのサービスが電子メールがオフラインでも継続しなければならないか?どの記録が救急医療に不可欠か?どのシステムを地域調整なしにローカルで停止できるか?どの国家機関が通信を主導するか?どのサプライヤーがインシデントブリッジに参加しなければならないか?どの地域の幹部が、どのエビデンスに基づいて臨床スループットの低下を受け入れられるか?
NAO は、保健省が国と地域の役割と責任を含む計画を策定していたが、地域レベルではテストしていなかったと報告した。また、NHS は国家的なサイバー攻撃のリハーサルを行っていなかったため、誰が対応を主導すべきかがすぐに明確にならず、コミュニケーションの問題があったことも発覚した。これは小さなプロセスの欠陥ではない。サイバー継続性において、リハーサルは、連絡先リストが機能するか、紙のフォームが存在するか、オフラインの患者リストが十分に最新か、サプライヤーが応答するか、臨床医がどのシステムを安全に再接続できるかを理解しているかを組織が発見する方法である。
相互依存が地域の保護を地域全体の混乱に変えた
このインシデントの最も難しい特徴の一つは、一部の組織が他組織の防御的な動きによって被害を受けたことである。あるトラストは直接の感染を避けながら、救急車の引き継ぎプロセス、診断画像転送、化学療法オーダー経路、血液検査結果の流れ、またはプライマリケアの症例負荷へのアクセスを失う場合がある。なぜなら、別のプロバイダー、サプライヤー、またはネットワークパートナーが自らを守るためにアクセスを閉じたからである。これは合理的な地域封じ込めだが、地域全体のサービスへの影響を生む。
NHS England の後の事業継続管理ツールキットの WannaCry に関する事例研究は、これを実践的に示している。これは、カウンティ・ダーラムおよびダーリントン NHS 基幹トラストが直接攻撃を受けなかった一方で、救急サービスがネットワークを保護するためにアクセスを閉じ、引き継ぎプロセス画面を無効にし、患者輸送予約ポータルを使用不能にしたことを説明している。三次医療センターがアクセスを閉じたため、CT や MR スキャンを電子的に転送できず、化学療法オーダーを通常の経路で転送できなかった。プライマリケア IT プロバイダーがネットワークを保護した後、自動血液検査結果転送が失敗し、一部の GP は症例負荷にアクセスできなくなった。
この事例研究における回避策は、劇的ではなく具体的であるため有用である。救急車の事前警告は固定電話と他の無線通信で継続された。患者輸送予約は電話に移行された。画像は DVD に転送され、タクシーで送られた。化学療法オーダーは紙とファックスに戻された。血液検査結果転送は紙に移行し、プロセスが遅くなった。一部の GP は緊急治療センターを通じて症例負荷にアクセスした。事例研究は、事業継続計画がその後に更新され、NHS 組織は相互依存性を理解し、健康経済への影響を最小限に抑えるために共有サービスの計画をかみ合わせる必要があると結論づけている。
これはまさに、広範なインシデント件数が見逃す種類のエビデンスである。サイバーインシデントは、影響を受けるすべての組織が感染することなく、ケア能力を低下させ得る。一方の当事者による安全な決定を、他方の当事者にとっての停止に変える可能性がある。低容量では安全だが大規模では脆弱なアナログ手法を要求する可能性がある。タクシーで送られる DVD は、少数の緊急スキャンに対する診断経路を救うかもしれないが、忙しい地域全体での通常の電子画像交換の代替にはならない。電話予約ルートは患者輸送を継続できるかもしれないが、通話量が急増した場合に優先順位付け、監査、またはスループットを自動的に維持することはできない。紙の化学療法オーダーは治療を止めさせないかもしれないが、デジタルプロセスが通常吸収する転記、確認、調整の負担を生み出す。
これらの例はまた、中小事業者にとってサプライヤーとパートナーの継続性がなぜ重要かを説明している。GP 診療所、ホスピス、コミュニティプロバイダー、地域クリニック、または委託サービスは、依存する中央システムを所有していない場合がある。コミッショニングサポートユニット、ホストされた臨床システム、病理インターフェース、診断パートナー、または他者によって管理されているネットワーク経路に依存する場合がある。その依存関係が切断されたとき、より小さな組織は依然として患者に対応しなければならない。代替サイトを通じて記録にアクセスできるか、紙の結果が臨床的に許容可能か、紹介更新がキューに入れられているか、誰がデジタル経路が故障したことを患者に伝える責任があるかを知っていなければならない。
説明責任の目的において、相互依存はコントロールテストを変える。各組織が事業継続計画を持っていると言うだけでは不十分である。計画は互いに適合しなければならない。三次センターの防御的停止が画像転送をブロックするなら、紹介元トラストの計画は既に代替経路を知っていなければならない。プライマリケア IT プロバイダーがアクセスを閉じるなら、地域の診療所は緊急記録アクセスのための指定された選択肢を必要とする。救急車引き継ぎ画面が利用できないなら、救急部門と救急サービスはリハーサルされた共有フォールバックを必要とする。NHS の事例研究は範囲が控えめだが、システムレベルの真実を示している。サイバー継続性は共同作業であり、テストされていない共同依存は、各参加者が慎重であろうとしているときでさえ失敗し得る。
支払われなかった身代金よりもコストは広範だった
保健省、NHS England、国家犯罪対策庁(NCA)は NAO の報告書で、いずれの NHS 組織も身代金を支払わなかったと述べた。この事実は、一般的な誤読を防ぐべきである。損失は身代金要求ではなかった。キャンセルされた作業、残業、IT サポート、復旧、延期されたケア、サプライヤーの労力、その後の改善だった。NAO は、調査時点で保健省はサービスへの混乱のコストを知らなかったと述べた。キャンセルされた予約、追加の地域 IT サポート、IT コンサルタント、データとシステムの復旧、週末対応中のスタッフの残業などのコストカテゴリーを特定した。
後の保健・社会福祉省の更新「Securing cyber resilience in health and care: October 2018 progress update」は、詳細な2018 年 9 月の更新 PDFにリンクしている。この更新は、WannaCry が NHS に 9200 万ポンドのコストをもたらしたという推定で広く引用されている。これには直接の対応と IT 復旧、および失われた生産高が含まれる。この推定は注意して使用すべきである。これは公共部門のコスト推定であり、患者の不安、家族の時間、救急車の移動、地域サプライヤーの負担、または全スタッフ時間の完全な会計ではない。
学術研究も、影響に価格を付けるのが難しい理由を示している。2019 年のnpj Digital Medicine の遡及的影響分析は、病院エピソード統計を用いてキャンセル、入院、救急外来受診、死亡率、財政コストを調査した。これは、WannaCry の週における全トラストの総活動にベースラインと比較して有意な差は見られなかったが、直接感染した病院では救急入院と選択入院が減少し、研究は感染したトラストでの 590 万ポンドの病院活動損失を推定した。また、死亡率の増加は見られなかったが、死亡率は患者危害の粗い尺度であると警告している。
590 万ポンドの感染病院活動推定と、より広範な 9200 万ポンドの公共部門推定の違いは、必ずしも矛盾ではない。それらは異なるものを測定している。一方は病院データを用いて定義された期間の感染病院での活動を見ている。他方はより広範な対応、復旧、IT 修復を含む。説明責任にとって重要なのは、最大の数字を選んで「コスト」と呼ぶことではない。どのコストが早期のパッチ適用によって防げたか、どのコストが必要な封じ込めによって発生したか、どのコストが以前に行われるべきだった投資だったか、そしてどのコストが IT 予算に現れることなく患者やスタッフにかかったかを問うことである。
中小規模のプロバイダーもこの同じ問いの中にいる。問題は、GP 診療所、ホスピス、コミュニティプロバイダー、コントラクター、デバイスサプライヤー、地域 IT サポートパートナー、ソーシャルケアインターフェースといった、全国サービスに接続するより小さな組織全体の継続性である。NAO は感染したエンティティにプライマリケアおよびその他の組織を数え上げ、他のプロバイダーが共有システムや情報の遅延を通じて影響を受ける可能性があると指摘した。大規模公共機関のサイバーインシデントは、したがって、冗長性が低く政治的視認性が低い小さな組織にとっての継続性ショックとなる。
帰属は運用上の問いに答えない
イギリスは後に WannaCry を北朝鮮によるものと帰属させた。外務省のWannaCry の背後にいる北朝鮮のアクターに関する声明は、英国が Lazarus Group として知られる北朝鮮のアクターがこのキャンペーンの背後にいたと判断したと述べた。この帰属は抑止、制裁、外交、国家安全保障にとって重要である。それは国内の運用管理を免除しない。同じ公開記録は、NHS が特定の標的ではなく、ワームが既知の Windows の脆弱性を介して拡散し、地域組織が比較的単純な行動を取ることで自らを守れたと述べている。
刑事責任と公共サービスの責任は別の層である。攻撃者は悪意のあるコードとそれを展開する決定を管理した。Microsoft は自社製品の脆弱性開示とパッチリリースを管理し、さらに緊急時にサポート対象外プラットフォームのパッチを利用可能にする異例の決定を下した。NHS Digital はアラート、ガイダンス、ホットラインサポート、セクター固有のアドバイスを管理した。NHS England は大規模インシデント調整と医療継続エスカレーションを管理した。保健省は政策監督と資金優先順位を管理した。地域のトラストと診療所は多くのデバイス、ネットワーク、サプライヤー、変更管理の決定を管理した。サプライヤーは一部のレガシーデバイス、サポート条件、互換性制約を管理した。
単一の層が物語の全てではない。インシデントを単に敵対国家のイベントとして扱うと、地域の管理から遠すぎるものになる。単に地域の不遵守として扱うと、国の機関が警告サインを目の当たりにしながら十分な強制力や保証力を欠いていたという事実を無視することになる。単に Microsoft の問題として扱うと、重要なパッチがインシデント前に存在し、パッチを適用しないことは運用上の選択であることを無視する。単にサプライヤーの問題として扱うと、サポート対象の Windows システムもパッチ未適用だったことを無視する。説明責任とは、これらの制御の地図であり、それらすべてを背負える単一のアクターの探索ではない。
最も重要な管理はエビデンスだった。誰がパッチ状態を知っていたか?誰が露出した SMB 状態を知っていたか?誰がどのシステムがサポート対象外かを知っていたか?誰がどの医療機器がサプライヤーの介入なしではパッチできないかを知っていたか?誰が地域のトラストが自らのサイバー緊急計画をテストしたかどうかを知っていたか?誰が GP 診療所が安全な手動操作にどれくらい早く切り替えられるかを知っていたか?公開記録は、これらの答えの十分な部分が、攻撃前に利用不可能、不完全、または中央で対応可能な状態ではなかったことを示している。
インシデント後のプログラムが診断を確認する
WannaCry 後の改善記録は、国家指導者たちが何が失敗したと考えたかを示しているので有用である。NHS England の教訓レビューは、より強力なリーダーシップと取締役会レベルの説明責任、より明確な役割、サイバーセキュリティ基準、地域の回復力、より良いパッチ適用、サポートされていないソフトウェアの交換、改善された対応プロセス、より強力な国家調整を推奨した。保健省の 2018 年の進捗アップデートは、大規模インシデント対応、サイバーセキュリティ運用、データセキュリティ基準、サプライヤーへの期待、投資に関する作業を説明した。2018 年 4 月に以前の情報ガバナンスツールキットに代わるデータセキュリティ・保護ツールキットは、NHS 患者データとシステムにアクセスできる組織が国家データ保護者の 10 のデータセキュリティ基準に対するパフォーマンスを測定し公表するためのオンライン自己評価メカニズムとなった。
このツールキットは問題が消えたことの証明ではない。自己評価には限界があり、医療システムにおけるその後のサイバーインシデントは、ランサムウェアとサプライヤー停止が依然として深刻なリスクであることを示している。しかし、それは WannaCry 後のシステムが単なる非公式なガイダンスではなく、明示的な保証へと移行した証拠である。また、サイバーを純粋な技術的領域から取締役会レベルの説明責任、インシデント報告、継続性へと移行させた。
後の政府戦略「A cyber resilient health and adult social care system in England」は、その枠組みを 2030 年まで拡張している。これは、サイバーセキュリティを患者、サービス利用者、スタッフのデータを保護し、攻撃が発生した場合に迅速に回復するための条件として説明している。この戦略の存在は、2017 年の核心的教訓を強化する。医療において、サイバーセキュリティは別個のバックオフィスの規律ではない。それは公共の信頼とサービスの継続性を支えるものである。
英国ナショナルサイバーセキュリティセンター(NCSC)のより広範な公的役割もこの期間に拡大した。2017 年年次レビュー発表は、新しいセンターの初年度の活動と、英国をより安全なオンラインにするという使命を説明している。WannaCry 対応は、その使命を病院やクリニックにとって具体的なものにした。それは、国のサイバー能力がセクター固有の運用に接続しなければならず、単に技術チーム向けの警告を発行するだけではないことを示した。
5 つの説明責任テスト
NHS の事例の永続的な価値は、取締役会や公共部門のリーダーに実践的なテストを提供することである。これらのテストは、一人の管理者を一つのパッチで非難するためのものではない。これらは、公共サービスが既知のサイバーリスクを運用上の行動に変換したことを証明できるかどうかに関するものである。
1. 資産の可視性:組織は、特定できないものにパッチを適用できない。サーバー、エンドポイント、医療機器、サポート対象外システム、オペレーティングシステムバージョン、露出したサービス、サプライヤー、臨床依存関係のインベントリが必要である。そのインベントリは、古い診断ワークステーション、共有ファイルサーバー、一部がベンダーに管理されているマシンなど、所有が不便なシステムを含まなければならない。
2. パッチ保証:警告を発行するだけでは不十分である。重要なアラートは、追跡されるアクション、期限、幹部へのエスカレーション、特定された例外、補償コントロール、パッチがインストールされたか露出が他の方法で制御されたことを示すエビデンスを生み出すべきである。地域の自律性が中央の指示を妨げる場所では、中央は少なくとも信頼できる可視性と患者安全リスクをエスカレーションする経路を必要とする。
3. レガシーの封じ込め:サポート対象外またはパッチが困難なシステムは、セグメンテーション、アクセス制限、サプライヤー計画、交換資金、臨床緊急時計画を必要とする。システムをサポート対象外のままにすることは時に一時的な臨床上の必要性かもしれないが、ワームのアウトブレイク中に発見される管理されていない事実であってはならない。
4. サイバー特有の継続性:緊急時計画は、通常の通信および記録システムが利用できない可能性を想定しなければならない。手動フォールバックには、紙のフォームだけでなく、能力計画が必要である。どの臨床サービスが最初に低下するか、どのように患者を転送するか、どのように検査結果を移動させるか、どのように予約を再スケジュールするか、どのようにオフライン作業を安全に調整するかを指定しなければならない。
5. 多層的な説明責任:中央、地域組織、サプライヤー、国家安全保障機関は異なる管理責任を持つ。成熟したフレームワークは、これらの管理責任を一つの非難ストーリーにまとめない。誰が行動しなければならないか、誰が確認しなければならないか、誰が資金を提供しなければならないか、誰がコミュニケーションを取らなければならないか、誰が残留リスクを受け入れなければならないかを定義する。
これらのテストは、サイバー回復力を測定可能にするので不快である。また、スタッフを不可能な期待から守る。WannaCry の間、NHS のスタッフはサービスを継続させるために残業し、即興で対応した。教訓レビューはこれらの努力を公的に認識した。英雄的な地域対応を、準備が十分だったことの証拠として使うべきではない。それはしばしば、正式なシステムがプレッシャーの中の人々にあまりに多くの仕事を残したことの証拠である。
責任の境界
公開情報源は強い運用上の批判を支持する。それらは特定のトラスト、幹部、サプライヤー、または国の機関に対する実証されていない法的結論を支持しない。PAC、NAO、NHS England、DHSC、CQC、NCSC、Microsoft、学術記録は、警告、保証の欠如、パッチ未適用システム、サービスの混乱、インシデント後の改革を確立する。これらはすべての地域組織の過失を証明したり、すべての損失を定量化したり、各キャンセルされた予約の責任がどのデバイスにあったかを正確に示したりするものではない。
この境界は重要である。なぜなら、説明責任の教訓は訴訟よりも広いからだ。リーダーがこの事例を、あるエンティティが義務に違反したかどうかの法的闘争に矮小化するなら、彼らは管理設計を見逃す。公共サービスの問いは、NHS が国家的なサイバーイベントの前に、各組織が既知の重要な脆弱性を閉じたか意識的に管理していたことを知ることができたかどうかである。2017 年の答えはノーだった。医療継続性の問いは、影響を受けたすべての組織が、既知の劣化した能力で必須サービスを継続させるのに十分にサイバー停止のリハーサルを行っていたかどうかである。公開記録は、それらの準備が十分にテストされていなかったと述べている。
したがって、WannaCry は、技術的なメンテナンスの滞留を患者向けの回復力に接続したため、依然として公的説明責任の事例であり続ける。リスクには MS17-010、SMBv1、サポート対象外 OS、テストされていないインシデント計画、中央のコンプライアンス保証を持たない地域組織、共有ネットワーク、容易に停止できない臨床システムという名前があった。しかし、被害には、キャンセルされた予約、転送された患者、利用不可の記録、遅延した情報、スタッフの残業、9200 万ポンドの改善と混乱推定という別の名前があった。
このインシデントを記憶する最も責任ある方法は、古いソフトウェアについての道徳物語としてではない。それは、公的機関が心配するに足ることを知っていながら、準備ができていることを知るには不十分であり得るという警告である。パッチは存在し得る。アラートは送信され得る。取締役会はサイバー訓練を受け得る。計画は書かれ得る。もし組織が脆弱なシステムがパッチ適用、隔離、交換、または安全に回避されていることを証明できないなら、そのリスクは依然として患者、スタッフ、そしてサービスが停止したときに初めて依存関係を発見する中小プロバイダーによって担われている。

