要約
- 2017年5月の WannaCry アウトブレイクにより、NHS は共通モード障害にさらされた。多くの地域のケア組織が脆弱な Windows システム、不均一なパッチ適用、共有サービスの前提、およびランサムウェアが同じ弱点を介して拡散した際に同時に機能不全に陥る可能性のある緊急通信に依存していた。
- 説明責任の問題は、ある病院、あるソフトウェアバージョン、ある管理者が混乱を引き起こしたかどうかではない。それは、古いシステムの削除、パッチ展開、信頼ガバナンス、ネットワークセグメンテーション、中央ガイダンス、およびケアの継続性がもはや1つの悪用可能な欠陥に依存していないという証拠を誰が実際に管理していたかである。
- National Audit Office、Department of Health and Social Care、National Cyber Security Centre、NHS Digital、Microsoft、CISA、および議会の記録は、アウトブレイク前にパッチが利用可能であり、多くの組織が依然として脆弱であり、公的な結果として予約のキャンセル、救急車の迂回、臨床業務の低下があったことを示している。
- 永続的な修復はケア保護として測定されるべきである:資産インベントリ、サポートされているソフトウェア、パッチコンプライアンス、エンドポイント検出、オフライン継続計画、地域の訓練結果、地域的エスカレーション、および臨床サービスが患者を安全に治療する能力を失うことなく低下できるという取締役会に見える証拠。
インシデントはランサムウェアであったが、依存関係はより古いものだった
WannaCry は2017年5月12日に NHS に到達し、Microsoft の MS17-010 セキュリティ更新プログラムですでに対処されていたワーム可能な Windows 脆弱性を利用した。Microsoft のMS17-010 セキュリティ情報は2017年3月に公開され、Microsoft のWannaCrypt 攻撃中のカスタマーガイダンスでは、更新プログラムの適用、サポートされていないシステムの保護、攻撃経路の遮断の必要性が説明されていた。CISA の2017年5月のアラートと Europol の公開声明は、このアウトブレイクが NHS 固有ではなく世界的なものであることを示していた。
NHS にとっての重要性は、共通モードの曝露にあった。National Audit Office のWannaCry と NHS に関する調査では、イングランドの236の NHS トラストのうち少なくとも80、さらに GP 診療所やその他の NHS 機関を含む603の NHS 組織が影響を受けたことが判明した。NAO の完全な報告書 PDFには、何千もの予約や手術のキャンセル、救急車の迂回の影響、および NHS 組織が身代金を支払わなかったという事実も記録されている。これらの事実により、このケースは単なるマルウェア感染ではなく、公共サービスの継続性に関するイベントとなっている。
共通モードの問題は、多くの組織が同じクラスの弱点を通じて失敗する可能性があることだった。ある地域トラストは一部のマシンにパッチを適用し、他のマシンを露出させたままにし、サポートされていないオペレーティングシステムに依存し、古い診断システムや管理システムを広いネットワークに接続したり、完全な資産インベントリを欠いていた可能性がある。別のトラストはより強力なパッチ適用を行っていても、地域パートナー、共有紹介チャネル、ネットワーク化されたサービスに依存している可能性がある。ランサムウェアは医療サービス環境全体の継続性テストとなり、患者のケアは多くのローカルシステムが同時に準備できていることに依存するからである。
説明責任の問題は実践的である。誰が2017年5月以前に共有依存関係を減らすことができたのか?地域 NHS 組織は、自らの資産、パッチ適用の規律、ネットワークセグメンテーション、事業継続訓練を管理していた。国レベルの組織は、ガイダンス、資金圧力、保証、契約期待、未解決リスクの可視性を管理していた。サプライヤーはサポート条件、パッチの可用性、医療機器ソフトウェアの依存関係を管理していた。大臣と理事会は、古いシステムがコスト削減の妥協としてどの程度許容されるかを管理していた。患者はこれらのいずれも管理していなかった。
パッチは存在したが、パッチは展開ではない
MS17-010 の存在は中心的な意味を持つ。それは可用性と実装の違いを示しているからである。Microsoft はアウトブレイク前に関連する更新プログラムをリリースした。その事実は、すべての NHS 組織が単純な指示を無視したことを証明するものではない。医療環境には、古い機器、ベンダー認定の構成、臨床スケジュールの制約、およびサービスリスクなしには常に変更できないネットワークが存在する。しかし、脆弱性がパッチ展開のガバナンスに移行したことを示している。ベンダーサイトで利用可能なパッチは、影響を受けるマシンが病棟、診療所、検査室、管理事務所で未パッチのままである場合、患者を保護しない。
NHS Digital のCareCERT サイバーアラート CC-1353は、NHS 組織に Microsoft 更新プログラムの適用とシステム保護について警告した。保健社会ケア省の教訓レビューは後に、資産管理、パッチ適用、ウイルス対策、サポートされていないシステム、ネットワークセグメンテーション、インシデント対応を強調した。レビューのPDF 版は、サイバー準備を単一の技術的修正ではなくシステム責任として扱っている点で重要である。
ここで、ライフサイクルとロックインが説明責任の記録に参入する。サポートされていないシステムは、交換が高価である、専門ソフトウェアが古いプラットフォームに依存している、臨床機器の寿命が長い、地域組織が競合する圧力に直面しているなどの理由で維持されることが多い。それぞれの理由は理解できるかもしれない。多くの組織が同じ古い弱点を共有している場合、その複合効果は危険である。ソフトウェアライフサイクルリスクは、予約がキャンセルされたときに患者が発見する隠れた継続性の曝露を医療サービスが抱える可能性があるため、公共サービスの依存関係となる。
したがって、修復の証拠は「パッチ適用が改善された」という狭い主張を避けるべきである。成熟した記録は、どの重要なシステムが依然としてサポートされていないか、どのシステムに補償制御があるか、どのシステムが隔離されているか、どのシステムにベンダーのアップグレードコミットメントがあるか、どのシステムが臨床機器の変更なしには交換できないか、どの理事会が公共の利益の言葉で残余リスクを受け入れているかを示すだろう。古いソフトウェアは自動的に無謀ではない。臨床業務における目に見えず管理されていない古いソフトウェアこそが本当の問題である。
地域の管理と国の管理は絡み合っていた
NHS は一つの機械室ではない。それは、地域組織、国レベルの機関、サプライヤー、臨床チーム、共有インフラからなる連邦制の公共サービスである。この構造は説明責任を複雑にするが、それを排除するものではない。NAO 報告書と公共会計委員会の2018年のサイバー攻撃に関する報告書は、すべての地域組織がガイダンスに従ったかどうか、中央組織が準備状況を保証するのに十分な可視性を持っていたかどうかの課題を強調した。
地域組織は多くの実際的な保護手段を直接管理していた。資産インベントリの維持、セキュリティ更新プログラムの適用、サポートされていないシステムの交換、ネットワークのセグメント化、スタッフの訓練、継続計画のテスト、マルウェア指標の監視などである。また、重要な臨床機能に紙やオフラインのフォールバック手順があり、エスカレーションチャネルがデジタル停止を乗り切ることを確保できた。臨床リスクの懸念がパッチ適用を遅らせた場合と、どのような補償制御が適用されたかを記録することもできた。
国レベルの組織は別の層を管理していた。必須基準の定義、インテリジェンスの調整、改善のための資金提供、期限の強制、保証証拠の収集、地域インシデント対応の確立などである。NHS Digital、NHS England、保健省、および後の NHSX と関連機関は、国の準備環境においてそれぞれの役割を果たした。National Cyber Security Centre のWannaCry 一年後の振り返りとマルウェアおよびランサムウェア攻撃の緩和に関するガイダンスは、中央のサイバーガイダンスが公共および民間組織に対する教訓をどのように枠組みしたかを示している。
共有構造は繰り返し発生するリスクを生み出す。地域組織は資金不足、制約、中央システムへの依存を主張できる。中央組織は地域トラストが自らのパッチ適用に責任があると言える。サプライヤーはアップグレードが調達次第で利用可能だったと言える。理事会は臨床需要が停止を許容できないと言える。それぞれの主張は真実を含みうる。説明責任は、システム全体を同じ弱点に依存させないようにできるのは誰かと問う。それには、地域リスクに対する国の可視性と、国の基準の地域実装が必要である。
患者への害は間接的だが現実的だった
WannaCry はすべての臨床システムを暗号化する必要はなかった。NAO は予約のキャンセル、GP サービスの混乱、救急車の迂回、診断への影響を記録した。これらの結果は間接的である。なぜならマルウェアはコンピュータを攻撃し、患者を攻撃しなかったからである。しかし、ケアはスケジューリング、記録、画像診断、通信、処方、紹介、調整のためにコンピュータに依存しているため、現実的である。医療サービスのサイバーインシデントは、臨床業務が遅延したり、迂回したり、必要な情報を失ったりすると、患者の安全問題になる。
これは影響測定にとって重要である。組織が身代金の支払いや破損したファイルのみを数える場合、公共サービスへの害を見逃す。NHS は身代金を支払わなかったが、患者は予約を失い、サービスは復旧費用を負担した。一部のシステムは、感染が発生していなくても防御的にオフラインにされた。一部の組織は、デジタル環境を信頼できなかったため、ケアをキャンセルしなければならなかった。一部の組織は、セグメンテーションやフォールバックが優れていたため、継続できた。害はサービス全体に分散しており、その分散が教訓である。
より強力な影響記録は、技術的状態をケア状態に結び付けるだろう。どのシステムが感染したか?どのシステムが予防措置として切断されたか?どの予約が特定のシステムの利用不能のためにキャンセルされたか?どの救急車の迂回が地域の容量や信頼性の問題から生じたか?どの検査室、画像診断サービス、記録システムが影響を受けたか?テスト済みのフォールバックのためにどの組織がケアを継続できたか?そのマッピングがなければ、一般市民は大規模な混乱を見るが、どの制御が患者を保護し、どの制御が失敗したかを知ることはできない。
したがって、NHS のその後のサイバーレジリエンスの取り組みは、臨床継続性に対して評価されるべきである。パッチ適用されたデバイス、エンドポイントカバレッジ、サイバー訓練完了を数えることは有用である。トラストが影響を受けたシステムを隔離しながら緊急ケアを安全に継続できるかどうか、ネットワークが劣化したときに臨床医が必須の患者情報にアクセスできるかどうか、地域パートナーが患者をどのようにルーティングすべきか知っているかどうか、サイバーインシデント指揮官が臨床リーダーとともに意思決定できるかどうかを知ることの方がより有用である。
サポートされていないシステムの問題はガバナンスの問題である
サポートされていないソフトウェアは単なる技術的負債のカテゴリーではない。公衆衛生環境では、誰がリスクを負うかに関するガバナンスの決定である。トラストは、臨床機器の交換が高価であるため古いマシンを維持するかもしれない。ベンダーはレガシープラットフォーム上でのみデバイスをサポートするかもしれない。調達プロセスが交換を延期するかもしれない。理事会は資本予算が逼迫しているためリスクを受け入れるかもしれない。しかし患者は、最終的な継続性の失敗のみを経験する。
英国の教訓レビューは、サポートされていないシステムを重要な是正テーマの一つとして扱った。それは正しいが、サポートされていないステータス自体が唯一の指標ではない。サポートされているがパッチ未適用のシステムは脆弱である可能性がある。サポートされていないが隔離され、綿密に監視され、交換が予定されているシステムは、サポートされているが所有者のいないシステムよりも運用リスクが低い場合がある。ガバナンスの問題は、各高リスク資産に指名された所有者、ライフサイクル計画、補償制御、理事会の可視性があるかどうかである。
医療および運用技術は問題を複雑にする。一部の臨床デバイスは、ベンダーの検証なしにはパッチを適用できない。一部の古いシステムは特殊なワークフローをサポートしている。一部の交換にはケアに影響を与えるダウンタイムが必要である。これらの制約は現実的であるが、例外として可視化されるべきであり、通常業務として隠されるべきではない。マシンにパッチを適用できない場合、記録にはその理由、隔離方法、残存期間、依存するサービス、および故障時の影響が示されるべきである。
英国の公共部門の教訓は NHS を超えて広がる。学校、自治体、警察、交通機関、緊急サービスはすべて、どこかに古いソフトウェアを抱えている。NHS の事例は、患者ケアが直接的であるため鮮明であるが、共通モードのパターンはより広い。公共サービスは、多くの地域組織が同じサポートされていない技術やパッチ未適用の技術に依存していることを認識する方法を必要とする。攻撃者やワームは組織の境界を尊重しないからである。
セキュリティ自動化は所有権が明確になった後にのみ役立つ
WannaCry 後、セキュリティ自動化は魅力的である。エンドポイントツール、脆弱性スキャナー、パッチオーケストレーション、資産発見、脅威インテリジェンスフィード、自動封じ込めはすべて曝露を減らすことができる。しかし、自動化は誰も所有していない資産、パッチを適用できない臨床デバイス、マッピングされたことのないネットワーク、古いソフトウェアを目に見えないコスト問題として扱う理事会を修正することはできない。自動化はガバナンスを強化するが、それに代わることはできない。
最も価値のある自動化は、まず基本的な質問に答えるだろう。どのデバイスが存在するか?どのオペレーティングシステムを実行しているか?どれがサポートされていないか?どれに MS17-010 または同等の重要なパッチが欠けているか?どのシステムが互いに到達可能か?どれが臨床ワークフローに接続されているか?どれがベンダー制限のためにスキャンから除外されているか?どの地域組織に説明不能なギャップがあるか?これらの答えは、一般的なリスクを管理された登録簿に変える。
次の層は行動である。自動パッチ適用は安全な場合に更新プログラムを展開できる。脆弱性管理は重要な曝露を優先できる。ネットワーク監視はワームのようなトラフィックを検出できる。エンドポイント検出はマルウェアを封じ込めることができる。バックアップシステムは復旧を支援できる。しかし、各自動アクションには臨床安全性のための例外プロセスが必要である。更新プログラムが診断デバイスを混乱させる可能性があるために適用できない場合、その例外は無期限の許容ではなく、隔離と交換計画を引き起こすべきである。
NCSC の一般的なランサムウェアガイダンスは、予防、バックアップ、インシデント対応、復旧を結びつけるため有用である。WannaCry はこれらのカテゴリーがなぜ一緒に属するかを示している。医療サービスはランサムウェアのレジリエンスを一つの製品購入として扱うことはできない。パッチガバナンス、セグメンテーション、バックアップ、ユーザー教育、テスト済み復旧、臨床エスカレーションが必要である。共通モードの依存関係は、複数の保護手段が重なった場合にのみ消滅する。
修復の証拠は信頼を構築するのに十分に公開されるべきである
患者はすべての脆弱なデバイスの IP アドレスを必要としない。彼らは医療サービスがケアをキャンセルした混乱から学んだという確信を必要としている。公開保証は、攻撃者に詳細な地図をさらすことなく設計できる。現在のサイバー基準を満たす組織の数、サポートされていないシステム数の傾向、継続訓練の頻度、重要なパッチが適用される速度、理事会が例外を処理する方法を報告できる。また、独立監査が未解決のシステムギャップを発見したかどうかを報告できる。
NAO と公共会計委員会の記録は、なぜ独立保証が重要かを示している。WannaCry 以前、ガイダンスは存在したが、地域実装に関する保証は不完全だった。WannaCry 後、教訓は単により良いアドバイスを発行することではなかった。それは、アドバイスがケアを提供するシステムの状態を変えたかどうかを知ることだった。地域実装を見ることができない国レベルの組織は、共通モードの依存関係が減少したかどうかを公衆に伝えることができない。
修復の記録は、レジリエンスと対応を区別すべきである。対応は、NHS がインシデントを検出、封じ込め、復旧できるかどうかを問う。レジリエンスは、ケアがキャンセルされる前にインシデントを防止または制約できるかどうかを問う。両方が重要である。迅速に復旧できる病院でも、多くの予約がキャンセルされれば患者に害を及ぼす。拡散を防止するがフォールバックのない病院は、防御的シャットダウン中に苦戦する可能性がある。最も強力な態勢は、感染確率を減らし、拡散を制限し、必須ケアを維持し、証拠を迅速に復旧する。
患者中心のベンチマークはシンプルである。共通のソフトウェア弱点が悪用されているときに医療サービスは緊急ケアを継続できるか?このベンチマークは、リーダーに技術的な質問だけでなく運用上の質問を強いる。紙の手順は最新か?臨床医は電子システムなしで患者を識別できるか?救急車は安全に迂回できるか?診断結果は安全に伝達できるか?一次医療は十分なサービスを維持できるか?国レベルの組織は地域の事実を迅速に調整できるか?これらの質問は、サイバーレジリエンスをケア継続性の規律にする。
将来の共通モードイベントは驚きであってはならない
WannaCry は急速かつグローバルに拡散したため劇的だった。次の共通モードイベントはより静かかもしれない。妥協された更新プログラム、クラウド ID の停止、証明書の障害、エンドポイントセキュリティのバグ、サプライヤーの侵害、広く使用されている医療ソフトウェアの脆弱性である可能性がある。共有された教訓は、多くの地域公共サービス組織が同じ技術状態に依存していることに気づかず、共同で曝露されていることである。
NHS は、技術の同一性を測定すべき曝露として扱うことでリスクを減らすことができる。多くのトラストが同じサポートされていないシステムに依存している場合、それが共通モードリスクである。多くのトラストがサプライヤー制約のためにデバイスクラスにパッチを適用できない場合、それが共通モードリスクである。多くの地域組織が同じリモートアクセス製品、ID プロバイダー、バックアップ製品に依存している場合、それが共通モードリスクである。リスク登録簿は地域のみであってはならず、サービス全体のパターンを集約すべきである。
調達機能にはここで役割がある。臨床および管理技術の契約は、ライフサイクルサポート、パッチの透明性、脆弱性開示、テスト済みアップグレードパスを要求すべきである。サプライヤーの主張はケア継続性の義務にリンクされるべきである。数カ月の交渉なしにパッチを適用できないデバイスは、単なる技術的不便ではなく、患者安全の依存関係である。アップグレードパスを管理するサプライヤーは、アップグレードパスを実現可能にするための説明責任を共有すべきである。
理事会の役割も同様に重要である。理事会の文書は、サイバーリスクが高いとだけ述べるべきではない。サポートされていないシステム、パッチ例外、重要なサービス依存関係、訓練結果、未解決のサプライヤー制約を特定すべきである。経営幹部は、明日ワーム可能な脆弱性が現れた場合に何が起こるかを説明できるべきである。臨床リーダーは、優先順位が技術復旧だけでなくケア継続性であるため含まれるべきである。財務リーダーは、古いシステムの交換がしばしば資本決定であるため含まれるべきである。
WannaCry から得られた公衆の教訓は、すべての古いシステムが一夜にして消えなければならないということではない。それは、古いソフトウェアが目に見えず、共有され、管理されなくなったときに危険になるということである。したがって、NHS の説明責任の記録は、古いシステムとパッチリスクが患者が感じる前に行動できるほど可視化されているかどうかで判断されるべきである。パッチは存在していた。ガイダンスは存在していた。欠けていたのは保証されたサービス全体の準備であった。それが WannaCry が単なるランサムウェアの記憶ではなく、共通モード依存関係の事例であり続ける理由である。
パッチウィンドウはケアを中心に設計されるべきであり、ケアに反してではない
病院でパッチ適用が失敗する一つの理由は、ダウンタイム自体がリスクになり得ることである。病棟システム、画像診断デバイス、検査室マシン、スケジューリングプラットフォームはライブケアをサポートしている可能性がある。不注意な更新はサービスを中断したり、検証済みデバイス構成を破壊したり、臨床チームを安全でない回避策に追い込む可能性がある。その現実はしばしば遅延の議論になる。より良い説明責任の答えは無謀なパッチ適用を要求することではなく、計画され、テストされ、逃した場合にエスカレーションされるケア認識型のパッチウィンドウを作成することである。トラストは、どのシステムが自動更新できるか、どれがベンダー検証を必要とするか、どれが臨床ダウンタイムの承認を必要とするか、どれが待機中に補償制御を担うかを知るべきである。
NHS のインシデントは、計画されたパッチガバナンスの欠如が後により悪いダウンタイムを生み出す可能性があることを示した。限られたメンテナンスウィンドウをキャンセルすることは、短いサービス中断を説明するよりも時には簡単である。しかし、多くの地域組織がその決定を繰り返す場合、医療サービスは隠れた曝露を構築する。ワームは便利な臨床スケジュールを待たない。説明責任の問題は、攻撃者が可視化する前にリーダーがリスクを可視化したかどうかになる。地域の例外には、日付、所有者、臨床的根拠、セキュリティ的根拠、補償制御、レビューポイントが含まれるべきである。同じ例外が多くのトラストに現れる場合、国レベルの組織はそれを資金調達、サプライヤー交渉、またはアーキテクチャ変更を必要とする共有リスクとして扱うべきである。
WannaCry 後の英国政府の広範なサイバーレジリエンスの言葉はその方向に動いた。内閣府と NCSC は繰り返し公共部門のサイバーセキュリティを運用レジリエンスの問題として位置づけており、NCSC のサイバーアセスメントフレームワークは組織に重要な機能、保護、検出、対応、復旧の構造を提供している。CAF は WannaCry のフォレンジック情報源ではないが、教訓を表現する有用な方法である。関連する機能は患者ケアであり、IT システムの単なる存在ではない。パッチ適用とライフサイクル制御は、その重要な機能への貢献によって判断されるべきである。
したがって、臨床リーダーはパッチガバナンスに属するべきである。純粋に技術的な理事会はどの更新プログラムが欠けているかは知っているが、どのサービスが急いだインストール中に安全でなくなるかは知らないかもしれない。純粋に臨床の理事会はサービスリスクは知っているが、無期限の遅延のサイバー曝露は知らないかもしれない。決定には両方が必要である。診断デバイスが多用されているため今週パッチを適用できない場合、記録には今日そのデバイスを保護するもの、必要なサプライヤーアクション、および決定が再検討される時期が記載されるべきである。その答えが何ヶ月も繰り返される場合、それはヘルプデスクの脚注ではなく、理事会レベルのリスクになるべきである。
このアプローチは公衆への説明も改善する。別の NHS サイバーインシデントが発生したとき、公衆はシステムが復旧中であるという一般的な声明を必要としない。リーダーがすでにどのシステムが最も重要か、どのリスクが受け入れられていたか、どのサービスにフォールバック計画があったかを知っていたという確信を必要としている。インシデント前のパッチ例外記録がより規律正しければ、その後の公衆説明はより速くなる。医療サービスはすべての技術的詳細を共有することはできないが、例外が忘れられるのではなく管理されているという事実を共有することはできる。
セグメンテーションはケア継続性の制御である
WannaCry のワーム可能な拡散は、ネットワークセグメンテーションを中心に据えた。セグメンテーションはしばしば技術図で説明されるが、NHS の文脈ではそれはケア継続性の制御である。脆弱な管理マシンが臨床サービスに影響を与えるかどうか、地域サイトが互いに汚染するかどうか、診断デバイスがすべてのアクセスを失うことなく隔離できるかどうか、緊急ケアが継続している間にインシデントを封じ込めることができるかどうかを決定する。環境のすべての部分が他の部分を信頼する場合、一つの古い弱点がサービス全体の中断になる可能性がある。
セグメンテーションは危機時にも使用可能でなければならない。営業時間中に小規模チームによってのみセグメント化できるネットワークは、ランサムウェアが急速に拡散するときにはあまり有用ではない。トラストはどの接続を閉じることができるか、閉鎖の臨床効果は何か、サービスが隔離された場合に臨床医がどのように働くかを知るべきである。現実的な条件下で隔離をテストすべきである。病院は緊急患者を治療しながら疑わしいネットワークセグメントを切断できるか?GP 診療所は中央システムが利用不能な間に必須サービスを継続できるか?地域はトラストがデジタルシステムへの信頼を失ったときに患者を迂回できるか?これらはケアの質問として最初にあるため、サイバーの質問である。
NAO 報告書は、一部の組織が予防措置としてシステムを切断し、組織間の通信が影響を受けたことを記録した。つまり、セグメンテーションと緊急通信はリンクしている。トラストが拡散を防ぐためにシステムを隔離する場合、地域パートナー、救急サービス、国レベルの組織、患者と安全に通信する方法がまだ必要である。同じ影響を受けたネットワークに依存するバックアップチャネルはバックアップではない。練習されていない紙の手順は手順ではない。アクセス不能なシステムにのみ保存されている連絡先リストは、別の共通モード依存関係になる。
したがって、有用な修復メトリクスの一つは「安全な隔離までの時間」である。地域組織が疑わしいワームを特定し、影響を受けたセグメントを隔離し、緊急ケアを維持し、地域指揮に状況を報告するのにどのくらいの時間がかかるか?別のメトリクスは「信頼できる通信までの時間」である。組織がスタッフにどのシステムを使用すべきか、患者にどのサービスが影響を受けているか、パートナーに救急車や紹介を迂回すべきかどうかを伝えるのにどのくらいの時間がかかるか?これらのメトリクスは、ブロックされたマルウェアサンプルの数よりも意味がある。なぜなら、技術的アクションを公共サービスの継続性に結び付けるからである。
セグメンテーションはまた、サプライヤー依存関係を明らかにする。一部の臨床デバイスとレガシーシステムは、近代的なネットワーク脅威向けに設計されていないため、隔離が難しい。契約はサプライヤーに安全な運用、パッチ適用可能性、ロギング、ネットワーク分離をサポートするよう要求すべきである。サプライヤーがデバイスを安全なセグメンテーションをサポートできない場合、購入者は購入前にそれを知るべきである。レガシーデバイスが残っている場合、リスクは調達、臨床ガバナンス、サイバー保証で可視化されるべきである。これにより、古い機器が隠れた共通モード曝露でなくなる。
教訓はサービス全体で測定されるべきである
WannaCry 後、個々の改善は必要だが不十分である。一つのトラストは強くなるが、多くの他のトラストが同じ弱点を共有している場合、サービス全体は依然として露出している。共通モードの教訓は集約的な測定を必要とする。国レベルのリーダーは、重要なシステムがサポートされていない組織の数、パッチ期限を超えた重要な脆弱性の数、過去一年にランサムウェア継続性をテストしたトラストの数、パッチ適用を妨げるサプライヤー制約の数、資金提供された交換パスのない地域例外の数に答えられるべきである。
NHS データセキュリティおよび保護ツールキットは、NHS England のツールキットポータルから利用可能であり、自己評価と保証情報を収集するためのメカニズムの一つである。自己評価だけでは十分ではないが、組織を比較しギャップをエスカレーションするための構造を提供する。独立テスト、地域訓練、理事会保証、対象を絞った資金提供がそれに並行して行われるべきである。リスクは、チェックリストが制御ではなく安堵の対象になることである。質問は常に、報告されたコンプライアンスがワーム可能な脆弱性の際に実際に患者ケアを保護するかどうかであるべきである。
情報コミッショナー事務所も重要である。なぜなら健康データリスクは同じ継続性の絵の一部だからである。ICO の英国 GDPR 下のセキュリティに関するガイダンスは、適切な技術的および組織的対策を強調している。WannaCry は主にデータ流出で記憶されていないが、ランサムウェアと破壊的マルウェアは依然として機密性、完全性、可用性に影響を与える可能性がある。医療において、可用性はデータ保護と患者ケアの懸念である。利用不能な記録は治療を遅らせる可能性があるからである。したがって、セキュリティガバナンスは可用性を IT サービスの目標だけでなく患者向けの義務として扱うべきである。
測定には成功事例だけでなく残余リスクを含めるべきである。トラストに交換を待つ古いシステムがある場合、公共の利益の質問は、遅延が理解され、資金提供され、管理されているかどうかである。トラストに強力なエンドポイントツールがあるがオフライン継続性が弱い場合、そのギャップは重要である。トラストがサーバーを迅速にパッチできるが臨床デバイスをパッチできない場合、その依存関係は全国的に集約されるべきである。トラストに良い計画があるが最近の訓練がない場合、計画は未証明のままである。未解決のギャップなしに改善のみを報告する医療サービスは、別の驚きを招く。
地域訓練は集約的な絵を現実のものにすることができる。有用な訓練は、複数の地域組織で積極的に悪用されている重要な脆弱性をシミュレートするだろう。地域の隔離、地域の患者フローの決定、国の通信、サプライヤーのエスカレーション、報道対応、臨床優先順位付けが必要になる。事実が不完全な間に、サービスが露出したシステムを特定し、緊急ケアを保護し、安全に通信できるかどうかを測定するだろう。また、一つの組織の弱点が隣接組織に不合理な負担を生み出すかどうかをテストするだろう。その結果は、行動後のメモだけでなく、資金調達、調達、理事会の説明責任に反映されるべきである。
NHS はまた、サイバー継続性を他の公衆衛生準備の規律と比較すべきである。医療システムはすでに冬の圧力、感染症、産業行動、重大インシデントに備えている。サイバー混乱は、需要が高いまさにその瞬間に容量、情報、調整を除去できるため、これらのリスクの隣に位置すべきである。運用指揮に到達しないサイバー訓練は要点を外している。すべてのデジタルシステムが利用可能であると仮定する臨床重大インシデント訓練は、別の方向から要点を外している。
説明責任は曝露を短縮できる人々に属する
WannaCry のようなケースの後で最も有用なテストは曝露時間である。アウトブレイク前にサービスは既知のワーム可能リスクをどのくらいの期間負っていたか?脆弱な資産を特定するのにどのくらいかかったか?地域組織がパッチを適用するのにどのくらいかかったか?サポートされていないシステムは補償制御なしにどのくらい残っていたか?安全なケアを復旧するのにどのくらいかかったか?学習し修正に資金を提供するのにどのくらいかかったか?それぞれの時計は異なる所有者を指すが、一緒にサービスの説明責任を説明する。
地域の IT チームはインシデント後最も可視的であることが多いが、彼らだけが説明責任のある主体ではない。理事会はリスク選好と予算を承認する。臨床リーダーはダウンタイムと交換優先順位を承認する。調達チームはサプライヤーとサポート条件を選択する。国レベルの組織は基準を設定しコンプライアンスを監視する。大臣は資金条件と公的優先順位を設定する。ベンダーはパッチ可能な製品を設計するか、買い手に脆いレガシー依存関係を残す。説明責任は、特定の日にパッチを適用することになっていた人にそのすべての複雑さを押し付けるべきではない。
説明責任が複雑さに溶解してもいけない。全員が関与している場合でも、誰かが行動しなければならない。国の基準は良い状態を定義すべきである。地域の理事会は基準を満たしているかどうかを知るべきである。サプライヤーは自社の製品が基準をサポートしているかどうかを知るべきである。規制機関や監査人は主張が証拠と一致するかどうかを知るべきである。患者はシステムが過去の失敗から学んだことを知るべきである。各層が管理する曝露を短縮するとき、共通モード依存関係は縮小する。
それが WannaCry の記録が数年後も関連し続ける理由である。それは単なる歴史的なランサムウェアイベントではない。古いソフトウェア、テストされていないパッチガバナンス、不均一な地域準備、中央保証のギャップがどのように公共サービスの害に結合するかのモデルである。正確なエクスプロイトは薄れるかもしれない。依存関係のパターンは残る。NHS が現在それらの依存関係をサービス全体で見て、管理し、訓練し、資金提供していることを示せれば、WannaCry は吸収された厳しい教訓になる。そうでなければ、新しいトリガーを待つ警告のままである。
最終的な説明責任の基準は、したがって、共有曝露の減少の証拠である。一つの古いサーバーを交換するトラストは地域の立場を改善する。重要なサポートされていない資産が知られ、例外が資金提供され、サプライヤーが説明責任を持ち、パッチがタイムリーで、セグメンテーションがテストされ、臨床フォールバックが機能することを証明できる国レベルのサービスはシステムを変えた。その違いは重要である。なぜなら患者はワームが到着した日にたまたま最も強い地域組織を選ばないからである。彼らは医療サービスを公的機関として信頼している。義務は、それがケアがキャンセルされる次の理由になる前に、最も弱い共通依存関係を可視化することである。
その基準は分析を公平に保つ。すべてのリスクが排除できると偽らない。医療は常に特殊なデバイス、制約された予算、緊急の臨床スケジュール、複雑なサプライヤー関係を実行する。しかし、それらの制約がリーダーが行動できるように公然と管理されることを主張する。隠れた未パッチのマシンは技術的問題である。既知の、所有された、隔離された、資金提供された、時間制限のある例外は管理されたリスクである。WannaCry は、あまりにも多くの例外が同時に不可視のままであるときに何が起こるかを示した。
将来の説明責任のために、最も重要な公開数字はブロックされた攻撃の数ではないかもしれない。共有技術の弱点が封じ込められている間に運用を継続できる必須の臨床サービスの数であるかもしれない。その数字はサイバーセキュリティを患者が実際に依存するサービス約束に結び付けるだろう。NHS は完璧なネットワークを公衆に提供する義務はない。それは、一つの古いソフトウェアの欠陥が、忙しい臨床週の間であっても、静かにケアの共通モード障害にならないという証拠を提供する義務がある。
その証拠は次のアラートが到着する前に維持されなければならない。混乱後でのみ脆弱な資産をリストできるサービスは、すでにあまりにも多くの不確実性を受け入れている。それらをリストし、隔離し、交換に資金を提供し、劣化したケアをリハーサルできるサービスは、古いソフトウェア問題を管理された継続性作業に変えた。
追加の証拠境界
NHS WannaCry が古いソフトウェアを共通モードの公共サービス依存関係にしたという事例では、追加の証拠境界は、確認された事実、証拠に裏付けられた推論、未知の情報を分離することである。その分離は重要である。なぜなら、nhs wannacry common mode dependency を含むイベントは、どの主体が話すかによって、技術的問題、契約問題、または通信問題として説明される可能性があるからである。したがって、説明責任の分析は実践的な制御に戻らなければならない。誰が構成を変更でき、曝露を制限でき、検出を加速でき、通知を承認でき、修復が影響を受けたユーザーに到達したことを証明できたか?
このレンズは、根本原因とトリガーイベントの慎重なテストを追加する。トリガーはなぜイベントが特定の瞬間に可視化されたかを説明する。根本原因はその瞬間以前に存在した設計、制御、ガバナンス、検証の選択に関する証拠を必要とする。依存関係、委任、変更ウィンドウ、契約、ログ、インセンティブなどの寄与条件は、企業の声明を完全な真実として扱ったり、可能性を確定した結論に変えたりせずに評価されるべきである。
同じ規律が検出失敗、対応失敗、復旧失敗にも適用される。公開記録は、信号がいつ見られたか、誰が行動する権限を持っていたか、顧客や規制当局に何が伝えられたか、どの追加証拠が結論を強くまたは弱くするかを示すべきである。それらの要素が部分的である間、責任ある結論は追加の非難ではなく、責任、不確実性、および後の監査が検証すべきアイデンティティおよびアクセス制御のより正確なマップである。

