要約
- WannaCry が NHS のケアに影響を与えたのは、ランサムウェアが病院、GP 診療所、支援システムに到達した時点で、ローカルの技術的管理手段であるパッチ展開が、全国的な臨床継続性管理手段となったためである。
- 会計検査院(NAO)および NHS England のレビュー記録は、共有された説明責任の問題を示している。国の機関は警告とガイダンスを発出したが、地域の組織は自らの資産、パッチ状況、サポート対象外システムの例外、および臨床的な代替措置を把握していなければならなかった。
- Microsoft の MS17-010 パッチ、NHS Digital の CareCERT 警告、CISA のガイダンス、NIST のパッチ管理ガイダンスは、このインシデントを単なる予想外のマルウェア発生としてではなく、検証されたメンテナンスの失敗として位置づけている。
- キャンセルされた予約、中断された診断、スタッフの配置転換、予防的なシャットダウンにより、患者記録は感染デバイスの記録と同様に重要となった。
- 信頼できる修復基準は、エンドポイントの在庫、サポート対象外ソフトウェアの決定、パッチの証拠、サプライヤの制約、臨床的なダウンタイムの実践、キャンセルの調整、および公的報告を、一つのケア中心のガバナンス記録に結び付けるものである。
パッチガバナンスが予約窓口で可視化された
核心となる公的記録は、会計検査院(NAO)のWannaCry と NHS に関する調査ページと、NAO の完全な調査報告書「調査:WannaCry サイバー攻撃と NHS」から始まる。これらの記録が重要なのは、この出来事を抽象的なマルウェアインシデントとして扱っていないからである。それらは、攻撃を、組織が予約をキャンセルし、労力を振り向け、システムを隔離し、何が感染し、何が予防的にシャットダウンされたのかを理解しようとしながら患者ケアを継続しなければならなかった医療サービスの内部に位置づけている。
NHS England の教訓レビューは、運用面の詳細を追加している。緊急時対応、国の通信、地域の対応、診断機器の懸念事項、および医療・ケアシステムへの提言である。庶民院公会計委員会の「NHS へのサイバー攻撃」に関する報告書は、説明責任の層を提供している。議会が尋ねた質問は、「どのマルウェアが使われたのか?」だけでなく、「なぜ医療サービスは脆弱だったのか、誰が準備責任を負っていたのか、なぜ基本的なサイバーハイジーンがサービスを保護できなかったのか?」であった。
これが WannaCry にとって有用な枠組みである。パッチは毎月の技術的タスクとして現れるときは小さく見える。しかし、パッチが適用されていない状態が、患者の予約が実施されるかどうか、診断機器が信頼されるかどうか、クリニックが記録にアクセスできるかどうか、救急車のルートが変更されるかどうか、スタッフが即興で対応しなければならないかどうかを決定するとき、パッチは大きくなる。混乱によって害を受けた公衆は、国のガイダンスと地域の実行との内部的な区別には関心がない。患者は一つのサービスを経験する。
したがって、説明責任の問題は、地域のパッチガバナンスをケアガバナンスとして捉えることである。NHS England は国の方向性を発することができる。NHS Digital は技術的な警告を回覧できる。Microsoft はパッチを公開できる。国のサイバー当局はランサムウェアについて警告できる。しかし、地域のトラストやケア組織は、自分たちが所有するデバイス、サポートされていないオペレーティングシステム、安全にパッチを適用できる臨床システム、サプライヤに依存するデバイス、取締役会の承認を得た例外、そしてシステムがオフラインになった場合に保護される患者サービスを知らなければならなかった。
WannaCry はその連鎖を可視化した。エンドポイントはマルウェアが実行された場所だが、予約窓口はガバナンスの失敗が公衆に明らかになった場所であった。
公的記録は単一の引き継ぎではなく、共有責任を示している
NHS Digital のWannaCry に関する CareCERT アラートは、組織を Microsoft のガイダンス、MS17-010 の確認、脆弱性スキャン、SMB ポート制御、その他の保護措置に向けさせた。CISA の同時期のWannaCry 指標アラートも同様に、管理者に MS17-010 パッチを適用するか、SMBv1 の無効化やネットワーク境界での SMB ブロックなどの緩和策を使用するよう指示した。Microsoft のMS17-010 セキュリティ情報は、2017年3月、発生の前にリリースされていた。Microsoft 自身のWannaCrypt 攻撃に関する顧客向けガイダンスは、このインシデントを古い Windows システム、パッチ適用、および特定のサポートされていないバージョンに対する異例の緊急サポートに関連付けた。
これらの情報源は、厳しい説明責任の問いを生み出す。発生前に重要なパッチが存在していたのに、なぜ患者サービスは依然として露出していたのか?答えは、一人の人物が一つのアップデートを忘れたことではない。医療 IT 資産には、古い臨床アプリケーション、医療機器、サプライヤ管理システム、地域のネットワーク、調達履歴、運用上のダウンタイムの制約、不均一な技術スタッフ配置が含まれる。この複雑さは現実である。しかし、複雑さは説明責任を除去しない。それは説明責任が証明しなければならないものを変える。
説明責任のある記録は、国の警告がどのように地域の行動になったかを示すであろう。どの組織が警告を受け取ったか、誰が対応を所有していたか、組織が資産の露出をどのように確認したか、例外がどのようにエスカレーションされたか、サポートされていないシステムがどのように隔離されたか、そしてどの患者サービスが影響を受ける可能性があるかが臨床リーダーに伝えられたかを示すであろう。また、拡散を制限するために意図的にシャットダウンされたシステムと、実際に感染したシステムも示すであろう。予防策もケアをキャンセルする可能性があるため、その区別は重要である。
公会計委員会の報告書が重要なのは、技術的な複雑さを答えとして受け入れずに、ガバナンスの問題を追求したからである。全国的な医療サービスは、すべての参加者が他を指差すことができる連鎖に依存することはできない。ベンダーから顧客へ、国の機関からトラストへ、トラストからサプライヤへ、サプライヤからデバイスの制約へ、取締役会から IT チームへ。患者に向き合う義務には、それらの境界を越える証拠の連鎖が必要である。
NHS England のレビューは、同じ問題を実用的なものにした。より強力なインシデント計画、明確な役割、より強固な地域行動、およびより良い保証の必要性を特定した。教訓は、すべてのトラストが同一のリソースや同一の露出を持っていたということではない。医療システムには、共有された最低限の証明が必要である。すなわち、資産を把握し、既知のリスクにパッチを当てるか隔離し、代替ケアを訓練し、影響を正直に報告することである。
(以下略)

