概要

  • 2017年5月の WannaCry 発生により、NHS は共通モード障害に直面した。多くの地域医療組織が、脆弱な Windows システム、不均一なパッチ適用、共有サービスへの依存、緊急通信に頼っており、ランサムウェアが同じ弱点を介して拡散した際にこれらが一斉に機能しなくなる可能性があった。
  • 説明責任の焦点は、一つの病院、一つのソフトウェアバージョン、あるいは一人の管理者が混乱を引き起こしたかどうかではない。実際に管理権限を持っていたのは誰か—旧システムの撤去、パッチの展開、トラストのガバナンス、ネットワークセグメンテーション、中央からの指示、そして医療継続性が一つの悪用可能な欠陥に依存しないことの証拠を管理していたのは誰か—である。
  • National Audit Office(NAO)、Department of Health and Social Care(DHSC)、National Cyber Security Centre(NCSC)、NHS Digital、Microsoft、CISA、そして議会の記録は、発生前にパッチが利用可能であったこと、多くの組織が依然として脆弱であったこと、そしてその公共的影響として予約のキャンセル、救急車の迂回、診療業務の低下が生じたことを示している。
  • 持続可能な修復は、医療保護の観点で評価されるべきである。すなわち、資産目録、サポート対象ソフトウェア、パッチ適用状況、エンドポイント検知、オフライン継続計画、地域演習の結果、地域エスカレーション、そして臨床サービスが患者を安全に治療する能力を失うことなく縮退できることを示す取締役会視点での証拠、などである。

インシデントはランサムウェアだったが、依存はより根深い問題だった

WannaCry は2017年5月12日に NHS に到達し、Microsoft の MS17-010 セキュリティ更新プログラムによって既に対処済みのワーム型 Windows 脆弱性を悪用した。Microsoft のMS17-010 セキュリティ情報は2017年3月に公開され、Microsoft のWannaCrypt 攻撃時の顧客向けガイダンスでは、更新プログラムの適用、サポート対象外システムの保護、攻撃経路の遮断の必要性が説明されていた。CISA の2017年5月のアラートと Europol の公式声明は、この発生が NHS に限定されたものではなくグローバルなものであることを示していた。

NHS にとっての重要性は、共通モード露出に起因する。National Audit Office のWannaCry と NHS に関する調査によれば、この攻撃はイングランドの236の NHS トラストのうち少なくとも80以上に影響を及ぼし、さらに GP 診療所を含む603の NHS 関連組織にも影響が及んだ。NAO の報告書全文 PDFには、数千件の予約・手術のキャンセル、救急車の迂回への影響、そして身代金を支払った NHS 組織が一つもなかったことも記録されている。これらの事実は、本件が単なるマルウェア感染ではなく、公共サービス継続性の事象であることを示している。

共通モードの問題とは、多くの組織が同じ種類の弱点によって同時に機能不全に陥る可能性があることだ。ある地域トラストでは一部のマシンにパッチを適用しても他を露出したままにし、サポート対象外のオペレーティングシステムに依存し、古い診断・管理システムを広域ネットワークに接続したり、資産目録の完全性を欠いたりすることがある。別のトラストではパッチ適用がより進んでいても、地域のパートナーや共有の紹介チャネル、ネットワークサービスに依存している可能性がある。そのときランサムウェアは、医療サービス環境全体の継続性テストとなる。なぜなら、患者ケアは多くのローカルシステムが一度に稼働していることに依存しているからだ。

説明責任の問いは実践的である。2017年5月以前に、誰が共有依存を軽減できたのか?地域の NHS 組織は、自らの資産、パッチ適用の規律、ネットワークセグメンテーション、事業継続演習を管理していた。国家レベルの組織は、ガイダンス、資金圧力、保証、契約上の期待、未解決リスクの可視化を管理していた。サプライヤーは、サポート条件、パッチの可用性、医療機器ソフトウェアの依存関係を管理していた。大臣や取締役会は、コスト削減の妥協として旧システムをどれだけ許容し続けるかを管理していた。患者はこれらのいずれも管理していなかった。

パッチは存在したが、パッチは展開されなければ意味がない

MS17-010 の存在は中心的である。なぜなら、それは可用性と実装の違いを示しているからだ。Microsoft は発生以前に関連する更新プログラムをリリースしていた。この事実は、すべての NHS 組織が単純な指示を無視したことを証明するものではない。医療環境には、旧式の機器、ベンダー認定の構成、臨床スケジュールの制約、そしてサービスリスクなしでは常に変更できないネットワークが存在する。しかし、それは問題が純粋なソフトウェア脆弱性から展開ガバナンスへと移行したことを示している。ベンダーサイトで利用可能なパッチも、影響を受けるマシンが病棟、診療所、検査室、管理オフィスで未パッチのままであれば、患者を守ることはできない。

NHS Digital のCareCERT サイバー警告 CC-1353は、NHS 組織に対し Microsoft の更新プログラムの適用とシステム保護を警告した。Department of Health and Social Care の教訓のレビューでは後に、資産管理、パッチ適用、アンチウイルス、サポート対象外システム、ネットワークセグメンテーション、インシデント対応が重視された。同レビューのPDF 版は、サイバー対応を単一の技術的修正ではなくシステム全体の責任として扱っている点で重要である。

ここで、ライフサイクルとベンダーロックインが説明責任の記録に加わる。サポート対象外のシステムは、交換費用が高い、専門ソフトウェアが旧プラットフォームに依存している、臨床機器の寿命が長い、地域組織が競合する圧力に直面している、といった理由で維持され続けることが多い。各理由は理解できるかもしれない。しかし、多くの組織が同じ古い弱点を共有する場合、その複合効果は危険となる。ソフトウェアライフサイクルリスクは公共サービス依存となる。医療サービスは、予約がキャンセルされて初めて患者が気付くような、隠れた継続性の脆弱性を抱え込む可能性があるからだ。

したがって、修復の証拠は「パッチ適用が改善した」という狭い主張に留まるべきではない。成熟した記録は、どの重要システムが依然としてサポート対象外であるか、どれに補償的制御が存在するか、どれが隔離されているか、どれにベンダーのアップグレードコミットメントがあるか、どれが臨床機器の変更なしに交換できないか、どの取締役会が公共的利益の観点から残留リスクを受け入れたかを示すはずである。古いソフトウェアが自動的に無謀であるわけではない。臨床業務において、見過ごされ管理されていない古いソフトウェアこそが真の問題である。

地域的管理と中央的管理は絡み合っていた

NHS は一つの機械室ではない。それは地域組織、国家機関、サプライヤー、臨床チーム、共有インフラストラクチャから成る連邦的な公共サービスである。この構造は説明責任を複雑にするが、それを無効にはしない。NAO 報告書と Public Accounts Committee の2018年サイバー攻撃に関する報告書はいずれも、すべての地域組織がガイダンスに従ったかどうか、また中央組織が準備状況を保証するのに十分な可視性を持っていたかどうかを知ることの難しさを浮き彫りにした。

地域組織は多くの実践的な安全策を直接管理していた。資産目録の維持、セキュリティ更新の適用、サポート対象外システムの交換、ネットワークのセグメンテーション、スタッフの訓練、継続性計画のテスト、マルウェア指標の監視が可能だった。重要臨床機能には紙ベースやオフラインの代替手順を用意し、エスカレーションチャネルがデジタル障害を生存できるようにすることもできた。また、臨床リスクの懸念からパッチ適用が遅れた場合、その記録と適用された補償的制御を文書化することもできた。

国家レベルの組織は異なる層を管理していた。義務的基準の定義、インテリジェンスの調整、改善資金の提供、期限の実施、保証証拠の収集、地域インシデント対応の確立が可能だった。NHS Digital、NHS England、Department of Health、後に NHSX や関連組織が、国家の準備態勢環境でそれぞれ役割を果たした。National Cyber Security Centre(NCSC)のWannaCry から1年を振り返る記事マルウェアおよびランサムウェア攻撃の緩和に関するガイダンスは、中央のサイバーガイダンスが公的組織と民間組織向けの教訓をどのように枠組み付けたかを示している。

この共有構造は繰り返し発生するリスクを生み出す。地域組織は資金不足、制約、中央システム依存を主張し、中央組織は地域トラストが自らのパッチ適用に責任を持つと主張し、サプライヤーは調達次第でアップグレードが可能だったと言い、取締役会は臨床需要のためにシステム停止が許容できないと主張できる。それぞれに真実が含まれ得る。説明責任は、誰がシステム全体を同じ弱点への依存から軽減できたのかを問う。それには、地域リスクの国家レベルでの可視化と、国家基準の地域実装が必要である。

患者への被害は間接的だが現実的だった

WannaCry は医療に影響を与えるためにすべての臨床システムを暗号化する必要はなかった。NAO はキャンセルされた予約、混乱した GP サービス、救急車の迂回、影響を受けた診断を記録した。これらの結果は、マルウェアが患者ではなくコンピュータを攻撃したため間接的である。しかし、医療はスケジューリング、記録、画像、通信、処方、紹介、調整をコンピュータに依存しているため、現実的な影響を持つ。保健サービスのサイバーインシデントは、臨床業務が遅延、迂回、または必要な情報を喪失した場合に患者安全の問題となる。

これは影響の測定において重要である。組織が身代金の支払いや破損ファイルの数のみを数えるならば、公共サービスへの害を見落とす。NHS は身代金を支払わなかったが、患者は予約を失い、復旧コストが発生した。一部のシステムは感染が発生していなくても防御的にオフラインにされた。ある組織はデジタル環境を信頼できなかったために医療をキャンセルせざるを得ず、セグメンテーションや代替手段が優れていた組織は継続できた。被害はサービス全体に分散し、その分散こそが教訓である。

より強固な影響記録は、技術的状態と医療状態を結び付けるだろう。どのシステムが感染したのか?どれが予防的に切断されたのか?特定のシステムが利用不能だったためにどの予約がキャンセルされたのか?どの救急車の迂回が地域のキャパシティや信頼性の問題によるものか?どの検査室、画像サービス、記録システムが影響を受けたのか?テスト済みの代替手段により医療を継続できた組織はどこか?このようなマッピングがなければ、公衆は大規模な混乱を目にするものの、どの管理策が患者を守り、どれが失敗したのかを判別できない。

したがって、NHS のその後のサイバーレジリエンスの取り組みは、臨床継続性に対して評価されるべきである。パッチ適用済みデバイスの数、エンドポイントカバレッジ、サイバー訓練完了数を数えることは有用だが、より有用なのは、あるトラストが影響を受けたシステムを隔離しながらも緊急医療を安全に継続できるか、ネットワークが劣化しても臨床医が患者の必須情報にアクセスできるか、地域パートナーが患者をどのようにルーティングするかを知っているか、サイバーインシデント指揮官がそれを IT 問題としてだけでなく、臨床リーダーと共に意思決定できるか、ということである。

サポート対象外システムの問題はガバナンスの問題である

サポート対象外のソフトウェアは、単に技術的負債のカテゴリではない。公衆衛生環境では、それはリスクを誰が負担するかについてのガバナンス上の決定である。あるトラストは、臨床機器の交換コストが高いために古いマシンを維持するかもしれない。ベンダーは、ある機器をレガシープラットフォームでのみサポートするかもしれない。調達プロセスは交換を延期するかもしれない。取締役会は資本予算が逼迫しているためにリスクを受け入れるかもしれない。しかし、患者が経験するのは、最終的な継続性の障害だけである。

英国の教訓レビューでは、サポート対象外システムを重要な改善テーマの一つとして扱った。それは正しいが、サポート対象外という状態自体が唯一の指標ではない。パッチが適用されていないサポート対象システムは脆弱であり得る。隔離され、綿密に監視され、交換が予定されているサポート対象外システムは、所有者のいないサポート対象システムよりも運用リスクが低いかもしれない。ガバナンス上の問題は、各高リスク資産に指名された所有者、ライフサイクル計画、補償的制御、取締役会の可視性があるかどうかである。

医療技術や運用技術は問題を複雑にする。一部の臨床機器はベンダーの検証なしにはパッチを適用できない。いくつかの旧システムは特殊なワークフローをサポートしている。一部の交換は医療に影響するダウンタイムを必要とする。これらの制約は現実のものだが、通常の運用として隠蔽されるのではなく、例外として可視化されるべきである。マシンにパッチが適用できない場合、その理由、隔離方法、維持期間、依存するサービス、障害発生時の影響が記録に示されるべきである。

英国の公共部門の教訓は NHS を超えて広がる。学校、議会、警察、交通機関、緊急サービスはすべて、どこかに旧式ソフトウェアを抱えている。NHS のケースは患者ケアが直接的であるために鮮明だが、共通モードのパターンはより広範である。公共サービスは、多くの地域組織が同じサポート対象外または未パッチの技術に依存していることを知る方法を必要としている。なぜなら、攻撃者やワームは組織の境界を尊重しないからだ。

セキュリティ自動化は所有権が明確になった後でのみ有効である

WannaCry の後、セキュリティ自動化は魅力的に映る。エンドポイントツール、脆弱性スキャナー、パッチオーケストレーション、資産発見、脅威インテリジェンスフィード、自動封じ込めは、いずれも露出を低減できる。しかし自動化は、誰も所有していない資産、パッチが適用できない臨床機器、一度もマッピングされたことのないネットワーク、旧式ソフトウェアを不可視のコスト問題として扱う取締役会を修正することはできない。自動化はガバナンスを強化するが、それに取って代わることはできない。

最も価値のある自動化は、まず基本的な質問に答えるだろう。どのようなデバイスが存在するか?どの OS が動作しているか?どれがサポート対象外か?どれが MS17-010 または同等の重要パッチを欠いているか?相互に到達可能なシステムはどれか?臨床ワークフローに接続されているのはどれか?ベンダーの制約によりスキャンから除外されているのはどれか?どの地域組織に説明のつかないギャップがあるか?これらの答えが、一般的なリスクを管理されたレジスタに変える。

次の層はアクションである。安全な場所では自動パッチ適用で更新を展開できる。脆弱性管理は重大な露出を優先順位付けできる。ネットワーク監視はワーム状のトラフィックを検知できる。エンドポイント検出はマルウェアを封じ込められる。バックアップシステムは復旧を支援できる。しかし、各自動化アクションには臨床安全のための例外プロセスが必要である。診断装置を破壊する可能性があるために更新を適用できない場合、その例外は無期限の許容ではなく、隔離と交換計画のトリガーとなるべきである。

NCSC の一般的なランサムウェアガイダンスは、予防、バックアップ、インシデント対応、復旧を結び付けている点で有用である。WannaCry は、これらのカテゴリがなぜ一体であるべきかを示している。保健サービスはランサムウェアレジリエンスを一つの製品購入として扱うことはできない。パッチガバナンス、セグメンテーション、バックアップ、ユーザー教育、テスト済みの復旧、臨床エスカレーションが必要である。共通モード依存は、複数の安全策が重なり合ったときに初めて消滅する。

修復の証拠は信頼構築に足るだけ公開されるべきである

患者はすべての脆弱なデバイスの IP アドレスを知る必要はない。しかし、ケアをキャンセルさせた混乱から保健サービスが学んだという確信を必要としている。公的保証は、攻撃者に詳細なマップを露出させることなく設計できる。それには、何組織が現在のサイバー基準を満たしているか、サポート対象外システムの数がどのように推移しているか、継続性演習がどの程度の頻度で実施されているか、重要パッチがどれほど迅速に適用されているか、取締役会が例外をどのように処理しているかを報告できる。また、独立した監査が未解決の構造的ギャップを発見しているかどうかも報告できる。

NAO と Public Accounts Committee の記録は、独立した保証がなぜ重要かを示している。WannaCry 以前にはガイダンスが存在したが、地域実装に対する保証は不完全だった。WannaCry 後の教訓は、単により良い助言を発行することではなく、助言がケアを提供するシステムの状態を変えたかどうかを知ることであった。地域実装を可視化できない国家機関は、共通モード依存が低減されたかどうかを公衆に伝えることができない。

修復記録はまた、レジリエンスと対応を区別すべきである。対応は、NHS がインシデントを検知、封じ込め、復旧できるかを問う。レジリエンスは、ケアがキャンセルされる前にインシデントを防止または抑制できるかを問う。どちらも重要である。迅速に復旧できる病院でも、多くの予約がキャンセルされれば患者に害を及ぼす。拡散を防いでも代替手段がない病院は、防御的シャットダウン中に苦戦する可能性がある。最も強固な態勢は、感染確率を低減し、拡散を限定し、必要不可欠なケアを維持し、証拠を速やかに回収する。

患者中心のベンチマークは単純である。共通のソフトウェア弱点が悪用されているときに、保健サービスは緊急ケアを継続できるか?このベンチマークは、リーダーに単なる技術的な質問ではなく、運用上の質問を投げかける。紙の手順は最新か?臨床医は電子システムなしで患者を特定できるか?救急車は安全にルート変更できるか?診断結果は安全に伝達できるか?プライマリケアは十分なサービスを維持できるか?国家機関は地域の事実を迅速に調整できるか?これらの質問は、サイバーレジリエンスを医療継続の規律にする。

将来の共通モード事象は驚きであってはならない

WannaCry は、迅速かつグローバルに拡散したため劇的だった。次の共通モード事象はより静かかもしれない。それは、侵害された更新、クラウド ID の停止、証明書障害、エンドポイントセキュリティのバグ、サプライヤー侵害、広く使用されている医療ソフトウェアの脆弱性である可能性がある。共通の教訓は、多くの地域公共サービス組織が、自らが共同で露出していると認識せずに、同じ技術条件に依存しうるということだ。

NHS は、技術の同質性を測定すべき露出として扱うことで、そのリスクを低減できる。多くのトラストが同じサポート対象外システムに依存しているなら、それは共通モードリスクである。多くのトラストがサプライヤーの制約のためにあるクラスのデバイスにパッチを適用できないなら、それは共通モードリスクである。多くの地域組織が同じリモートアクセス製品、ID プロバイダ、バックアップ製品に依存しているなら、それは共通モードリスクである。リスクレジスタはローカルなものだけでなく、サービス全体のパターンを集約すべきである。

調達機能にはここで役割がある。臨床および管理技術の契約では、ライフサイクルサポート、パッチ透明性、脆弱性開示、テスト済みのアップグレードパスを要求すべきである。サプライヤーの主張は医療継続の義務に結び付けられるべきだ。数ヶ月の交渉なしにはパッチを適用できない機器は、単なる技術的不便ではなく、患者安全の依存関係である。アップグレードパスを管理するサプライヤーは、そのパスを実現可能にする説明責任を共有すべきである。

取締役会の役割も同様に重要である。取締役会資料は、サイバーリスクが高いとのみ述べるべきではない。サポート対象外システム、パッチ例外、重要サービス依存関係、演習結果、未解決のサプライヤー制約を特定すべきである。経営陣は、明日ワーム型脆弱性が出現した場合に何が起きるかを説明できるべきである。臨床リーダーを含めるべきである。優先順位は医療継続であり、単なる技術復旧ではないからだ。財務リーダーも含めるべきである。旧システムの交換はしばしば資本の意思決定だからだ。

WannaCry からの公的教訓は、すべての旧システムを一夜にして廃止すべきということではない。それは、旧式ソフトウェアが不可視化され、共有され、ガバナンスが効かなくなったときに危険となるということだ。したがって、NHS の説明責任の記録は、旧式システムとパッチのリスクが、患者がそれを感じる前に行動できるほど十分に可視化されているかどうかで判断されるべきである。パッチは存在した。ガイダンスは存在した。欠けていたのは、保証されたサービス全体の準備態勢だった。WannaCry が単なるランサムウェアの記憶ではなく、共通モード依存のケーススタディであり続ける理由がそこにある。

パッチウィンドウはケアを前提に設計されるべきであり、ケアに反してはならない

病院でパッチ適用が失敗する理由の一つは、ダウンタイム自体がリスクになり得ることだ。病棟システム、画像機器、検査装置、スケジューリングプラットフォームは、ライブのケアをサポートしているかもしれない。不注意な更新はサービスを中断させ、検証済みのデバイス設定を破壊し、臨床チームを安全でない回避策へと追い込む可能性がある。その現実がしばしば遅延の理由となる。より良い説明責任の答えは、無謀なパッチ適用を要求することではなく、ケアを考慮したパッチウィンドウを計画し、テストし、逃した場合にエスカレーションすることである。トラストは、どのシステムが自動更新可能か、どれがベンダー検証を必要とするか、どれが臨床ダウンタイムの承認を必要とするか、どれが待機中に補償的制御を伴うかを把握すべきである。

NHS のインシデントは、計画されたパッチガバナンスの欠如が後により大きなダウンタイムを生み出す可能性を示した。限られたメンテナンスウィンドウをキャンセルする方が、短時間のサービス中断を説明するよりも容易な場合がある。しかし、多くの地域組織がその決定を繰り返せば、保健サービスは隠れた露出を構築する。ワームは都合の良い臨床スケジュールを待ってはくれない。説明責任の問題は、攻撃者が可視化する前にリーダーがリスクを可視化したかどうかになる。地域の例外には、日付、所有者、臨床的根拠、セキュリティ的根拠、補償的制御、レビューポイントが必要である。同じ例外が多数のトラストで出現した場合、国家機関はそれを、資金提供、サプライヤー交渉、またはアーキテクチャ変更を要する共有リスクとして扱うべきである。

英国政府の WannaCry 後のより広範なサイバーレジリエンスの表現はその方向に進んだ。内閣府と NCSC は、公共部門のサイバーセキュリティを運用レジリエンスの問題として繰り返し位置づけており、NCSC のサイバーアセスメントフレームワーク(CAF)は、組織に対し、必須機能、保護、検知、対応、復旧の構造を提供する。CAF は WannaCry のフォレンジックソースではないが、教訓を表現する有用な方法である。関連する機能は、IT システムの単なる存在ではなく、患者ケアである。パッチ適用とライフサイクル制御は、その必須機能への貢献によって判断されるべきである。

したがって、臨床リーダーはパッチガバナンスに属する。純粋に技術的な取締役会は、どの更新が不足しているかを知っていても、急いだインストール中にどのサービスが安全でなくなるかは知らないかもしれない。純粋に臨床的な取締役会は、サービスのリスクを知っていても、無期限の遅延によるサイバー露出は知らないかもしれない。意思決定には両方が必要である。今週、診断機器が頻繁に使用されているためにパッチを適用できない場合、その記録には、今日その機器を保護しているもの、必要なサプライヤーアクション、そして決定が再検討される時期を示すべきである。何ヶ月も同じ回答が繰り返されるなら、それはヘルプデスクの脚注ではなく、取締役会レベルのリスクとなるべきである。

このアプローチはまた、公的説明を改善する。別の NHS サイバーインシデントが発生したとき、公衆はシステムが復旧中であるという一般的な声明を必要としない。リーダーがすでに、どのシステムが最も重要か、どのリスクが受け入れられていたか、どのサービスに代替計画があったかを知っていたという確信を必要とする。パッチ例外の記録がインシデント前により規律正しいほど、インシデント後の公的説明は迅速になる。保健サービスはすべての技術的詳細を共有できないが、例外が忘れられるのではなくガバナンスされているという事実を共有することはできる。

セグメンテーションは医療継続性の制御である

WannaCry のワーム型拡散は、ネットワークセグメンテーションを重要なものにした。セグメンテーションはしばしば技術図で説明されるが、NHS の文脈では、それは医療継続性の制御である。それは、脆弱な管理マシンが臨床サービスに影響を与え得るか、ある地域拠点が他を汚染し得るか、診断機器を全アクセスを失うことなく隔離できるか、緊急ケアを継続しながらインシデントを封じ込められるかを決定する。環境のすべての部分が他のすべての部分を信頼するなら、一つの古い弱点がサービス全体の中断になり得る。

セグメンテーションは危機の間も使用可能でなければならない。ランサムウェアが急速に拡散する場合、営業時間中に小規模チームのみがセグメント化できるネットワークは有用性が低い。トラストは、どの接続を閉じられるか、閉鎖の臨床的影響は何か、サービスが隔離された場合に臨床医がどのように作業するかを知っておくべきである。現実的な条件下で隔離をテストすべきである。病院は、緊急患者を治療しながら疑わしいネットワークセグメントを切断できるか?GP 診療所は、中央システムが利用不能な間も必須サービスを継続できるか?ある地域は、トラストがデジタルシステムへの信頼を失ったときに患者をルート変更できるか?これらは、まずケアの問題であるからこそ、サイバーの問題となるのである。

NAO の報告書は、一部の組織が予防的にシステムを切断し、組織間の通信が影響を受けたと記録している。これは、セグメンテーションと緊急通信が結びついていることを意味する。トラストが拡散を防ぐためにシステムを隔離しても、地域パートナー、救急サービス、国家機関、患者との安全な通信手段が必要である。同じ影響を受けたネットワークに依存するバックアップチャネルはバックアップではない。練習されたことのない紙の手順は手順ではない。アクセス不能なシステム上にのみ保存された連絡先リストは、別の共通モード依存となる。

したがって、有用な修復指標の一つは「安全な隔離までの時間」である。地域組織が疑わしいワームを特定し、影響を受けたセグメントを隔離し、緊急ケアを維持し、地域コマンドに状況を報告するまでに要する時間はどれほどか?別の指標は「信頼できる通信までの時間」である。組織がスタッフに使用すべきシステムを伝え、患者に影響を受けるサービスを知らせ、パートナーに救急車や紹介を迂回させるべきかを伝えられるようになるまでの時間はどれほどか?これらの指標は、ブロックされたマルウェアサンプルの数よりも有意義である。なぜなら、技術的アクションを公共サービス継続性に結びつけるからだ。

セグメンテーションはまた、サプライヤー依存を明らかにする。一部の臨床機器やレガシーシステムは、最新のネットワーク脅威向けに設計されたことがないため、隔離が困難である。契約では、安全な運用、パッチ適用可能性、ログ記録、ネットワーク分離をサプライヤーがサポートすることを要求すべきである。サプライヤーが機器に安全なセグメンテーションをサポートさせられない場合、購入者は購入前にそれを知るべきである。レガシーデバイスが残存する場合、そのリスクは調達、臨床ガバナンス、サイバー保証において可視化されるべきである。これにより、旧式機器が隠れた共通モード露出であり続けることをやめる。

教訓はサービス全体で測定されるべきである

WannaCry 後、個別の改善は必要だが不十分である。一つのトラストが強化されても、他の多くのトラストが同じ弱点を共有していれば、サービス全体は露出したままである。共通モードの教訓は集約的な測定を必要とする。国家のリーダーは、何組織がサポート対象外の重要システムを抱えているか、何件の重要脆弱性がパッチ期限を超過しているか、昨年中に何トラストがランサムウェア継続性をテストしたか、何件のサプライヤー制約がパッチ適用を妨げているか、資金化された交換パスを持たない地域例外がいくつあるかを答えられるべきである。

NHS England ツールキットポータルを通じて利用可能な NHS データセキュリティ保護ツールキットは、自己評価と保証情報を収集する一つのメカニズムである。自己評価のみでは不十分だが、組織を比較しギャップをエスカレーションするための構造を提供する。独立したテスト、地域演習、取締役会の保証、対象を絞った資金提供がそれに並行すべきである。リスクは、チェックリストが制御ではなく安心材料になることだ。問われるべきは常に、報告されたコンプライアンスが、ワーム型脆弱性の際に実際に患者ケアを保護するかどうかである。

情報コミッショナー事務局(ICO)もまた重要である。なぜなら、健康データのリスクは同じ継続性の図の一部だからだ。英国 GDPR に基づくセキュリティに関する ICO ガイダンスは、適切な技術的および組織的対策を強調している。WannaCry は主にデータ流出で記憶されてはいないが、ランサムウェアや破壊的マルウェアは機密性、完全性、可用性に影響し得る。医療において、可用性はデータ保護と患者ケアの懸念事項である。なぜなら、利用不能な記録は治療を遅延させる可能性があるからだ。したがって、セキュリティガバナンスは可用性を、IT サービスの目標としてだけでなく、患者向けの義務として扱うべきである。

測定には、成功事例だけでなく残余リスクを含めるべきである。トラストが交換待ちの旧システムを抱えているなら、公共の利益の観点から、その遅延が理解され、資金化され、管理されているかが問題である。トラストが強力なエンドポイントツールを持ちながらオフライン継続性が弱いなら、そのギャップは重要である。トラストがサーバーに迅速にパッチを適用できても臨床機器にパッチを適用できないなら、その依存は全国的に集約されるべきである。トラストが良い計画を持っていても最近の演習がないなら、その計画は未証明のままである。未解決のギャップを抱えたまま改善のみを報告する保健サービスは、次の驚きを招く。

地域演習は、集約的な状況をリアルにすることができる。有用な演習は、重大な脆弱性が複数の地域組織にわたって活発に悪用されている状況をシミュレートするだろう。それには、地域隔離、地域の患者フロー決定、国内通信事業者、サプライヤーエスカレーション、プレス対応、臨床優先順位付けが必要となる。それは、事実が不完全な中で、サービスが露出したシステムを特定し、緊急ケアを保護し、安全に通信できるかを測定する。また、ある組織の弱点が隣接組織に不合理な負担をもたらすかどうかもテストする。その結果は、単なる事後メモではなく、資金調達、調達、取締役会の説明責任にインプットされるべきである。

NHS はまた、サイバー継続性を他の公衆衛生の準備態勢の専門分野と比較すべきである。医療システムはすでに、冬の圧力、感染症、ストライキ、大規模インシデントに備えた計画を立てている。サイバー混乱は、需要が高いまさにその時に能力、情報、調整を奪い得るため、これらのリスクと並ぶべきである。作戦指揮に決して到達しないサイバー演習はポイントを外している。すべてのデジタルシステムが利用可能であると仮定する臨床大規模インシデント演習は、別の方向からポイントを外している。

説明責任は露出を短縮できる人々に属する

WannaCry のようなケース後の最も有用なテストは露出時間である。発生以前に、サービスは既知のワーム型リスクをどれだけの期間抱えていたか?脆弱な資産を特定するのにどれだけの時間がかかったか?地域組織がパッチを適用するのにどれだけの時間を要したか?補償的制御なしにサポート対象外システムがどれだけの期間残存したか?安全なケアを復旧するのにどれだけの時間がかかったか?学習し修正に資金を提供するのにどれだけの時間がかかったか?各時計は異なる所有者を指すが、それらが合わさってサービスの説明責任を記述する。

インシデント後、地域の IT チームが最も目立つことが多いが、彼らが唯一の説明責任を負うアクターではない。取締役会はリスク選好と予算を承認する。臨床リーダーはダウンタイムと交換優先順位を承認する。調達チームはサプライヤーとサポート条件を選択する。国家機関は基準を設定しコンプライアンスを監視する。大臣は資金調達条件と公共の優先順位を設定する。ベンダーはパッチ適用可能な製品を設計するか、購入者に脆弱なレガシー依存を残す。説明責任は、その複雑さのすべてを、特定の日にパッチを適用することになっていた人物に押し付けてはならない。

説明責任が複雑さの中に解消されてはならない。全員が関与していても、誰かが行動しなければならない。国家基準は「良い」状態がどのようなものかを定義すべきである。地域の取締役会は、その基準を満たしているかどうかを知るべきである。サプライヤーは、自社製品がその基準をサポートしているかどうかを知るべきである。規制当局や監査人は、主張が証拠と一致するかどうかを知るべきである。患者は、システムが過去の失敗から学んだことを知るべきである。各層が自らの制御する露出を短縮するとき、共通モード依存は縮小する。

それこそが、WannaCry の記録が数年経ってもなお意味を持ち続ける理由である。それは単なる歴史的なランサムウェアイベントではない。それは、古いソフトウェア、テストされていないパッチガバナンス、不均一な地域の準備態勢、中央の保証ギャップがどのように組み合わさって公共サービスへの害となり得るかについてのモデルである。悪用の手口そのものは薄れるかもしれない。依存のパターンは残る。NHS が現在、サービス全体にわたってそれらの依存を可視化し、ガバナンスし、演習し、資金提供していることを示せれば、WannaCry は吸収された厳しい教訓となる。そうでなければ、それは新たなトリガーを待つ警告であり続ける。

したがって、最終的な説明責任の基準は、共有露出の低減の証拠である。一つの旧サーバーを交換したトラストは、その地域の立場を改善する。サポート対象外の重要資産が把握されており、例外が資金化されており、サプライヤーが説明責任を果たし、パッチが適時に適用され、セグメンテーションがテストされ、臨床の代替手段が機能することを証明できる国家サービスは、システムを変革したことになる。その違いが重要であるのは、患者はワームが到来した日にたまたま最も強固な地域組織を選べないからだ。彼らは公的機関としての保健サービスに依存している。その義務は、最も弱い共通依存を、それが次にケアがキャンセルされる理由となる前に可視化することである。

その基準はまた、分析を公平に保つ。それは、すべてのリスクを排除できるとは偽らない。医療は常に、特殊な機器、制約のある予算、緊急の臨床スケジュール、複雑なサプライヤー関係の下で運用される。それは、リーダーが行動できるように、それらの制約が十分にオープンにガバナンスされることを主張する。隠れた未パッチのマシンは技術的問題である。把握され、所有され、隔離され、資金化され、期限付きの例外は、管理されたリスクである。あまりに多くの例外が同時に不可視のままであるときに何が起きるかを、WannaCry は示した。

将来の説明責任にとって、最も重要な公的数字はブロックされた攻撃の数ではないかもしれない。それは、共有された技術弱点が封じ込められている間も稼働し続けることができる必須臨床サービスの数かもしれない。その数字は、サイバーセキュリティを、患者が実際に依存するサービスの約束に結びつけるだろう。NHS は公衆に完璧なネットワークを負っているのではない。一つの古いソフトウェアの欠陥が、忙しい臨床の週であっても、静かにケアの共通モード障害になり得ないという証拠を負っているのである。

その証拠は、次のアラートが到着する前に維持されなければならない。混乱後に初めて脆弱資産を列挙できるサービスは、すでに過度の不確実性を受け入れている。それらを列挙し、隔離し、交換の資金を提供し、縮退したケアをリハーサルできるサービスは、古いソフトウェア問題をガバナンスされた継続性の作業に変えたのである。

タイポグラフィ

タイポグラフィは、読みやすく、視覚的に魅力的な文書を作成するために活字を配置する技術および技法である。それには、書体、ポイントサイズ、行長、行間、文字間隔の選択が含まれる。

  • タイポグラフィは、15世紀にヨハネス・グーテンベルクが活版印刷を発明したことに起源を持つ。
  • 主要な要素には、フォント選択、カーニング、トラッキング、リーディングが含まれる。
  • 優れたタイポグラフィは可読性を高め、デザインにおけるムードやトーンを伝える。

タイポグラフィ

タイポグラフィは、読みやすく、視覚的に魅力的な文書を作成するために活字を配置する技術および技法である。それには、書体、ポイントサイズ、行長、行間、文字間隔の選択が含まれる。

  • タイポグラフィは、15世紀にヨハネス・グーテンベルクが活版印刷を発明したことに起源を持つ。
  • 主要な要素には、フォント選択、カーニング、トラッキング、リーディングが含まれる。
  • 優れたタイポグラフィは可読性を高め、デザインにおけるムードやトーンを伝える。