英国のテクノロジー企業DXS Internationalは、同社のソフトウェアが国民保健サービス(NHS)全体で広く使用されているが、社内システムに影響するサイバーセキュリティ事案を公表した。
ロンドン証券取引所への通知で同社は、12月14日にオフィス用サーバーへの不正アクセスを検知したと述べた。DXSは侵害を封じ込め、臨床サービスは終始影響を受けず稼働していたとしている。
現時点ではNHSの患者データが侵害されたかどうかの確認はないが、同社は英国のデータ保護規制当局である情報コミッショナー事務局(ICO)に通知したと述べた。
NHSイングランドの広報担当者は、患者データが影響を受けたかどうかに関するコメント要請に直ちには応じなかった。
DXSは、調査が継続中であり、NHSのサイバーセキュリティチームおよび外部の専門家と協力しており、「事案の性質と範囲を確立するための徹底的な調査が進行中である」と述べた。
同社は、現時点で本件が財務に重大な悪影響を及ぼすとは考えていないと付け加え、イングランド全土のGP診療所およびプライマリ・ケア・ネットワークで使用される臨床意思決定支援や紹介管理ツールを提供している。
同社の製品はNHSの中核システムと統合されており、同社自身の説明によれば、イングランドにおけるNHSの紹介の約10%を支えており、そのソフトウェアは登録患者数百万人の業務フローに関与している。
同社は中核的な電子カルテ提供事業者ではなく、中央の医療記録を保有していないが、医療提供者に臨床ガイダンスを提供するために使用される一部のシステムでは患者データが処理されている。
孤立した事案ではない
この事案は、英国における医療テクノロジー供給業者への攻撃に対する懸念が高まる中で起きたもので、たとえ中核記録をホストしていなくても、第三者システムに影響するインシデントが運用面で影響を及ぼし得ることを浮き彫りにしている。
少なくとも1人の患者が、昨年の病理検査提供企業Synnovisへのランサムウェア攻撃を受けて死亡したとみられており、数千件の手術や予約も中止された。
また、2022年にソフトウェア供給企業Advancedに影響した別のランサムウェア攻撃では、緊急ではないが急を要する医療電話をトリアージするために使われる重要サービスNHS 111が一時停止に追い込まれた。
その事案では、ITシステムへの影響により、医師、看護師、その他の職員は業務を遂行するために紙とペンに頼らざるを得ず、攻撃が患者ケアに及ぼし得る影響を当局者が懸念したことで、英国政府で危機管理のCOBR会合が招集される事態となった。Advancedはその後、セキュリティ上の不備によりICOから300万ポンドの罰金を科された。
英国の現行のサイバーセキュリティ規制は、DXSのような第三者の医療IT供給業者を、自動的に特定のセキュリティ基準の遵守を求める規定の対象に含めてはいない。
政府は先月、画期的なサイバーセキュリティおよびレジリエンス法案を議会に提出し、サイバー攻撃から自社を守れない企業に対して高額な罰金を科すことを示した。同法案の下では、医療を含む重要セクターにマネージドITサービスを提供する企業が規制の対象となり得る。
翻訳元: https://therecord.media/uk-nhs-tech-provider-dxs-discloses-hack
