ハワイ大学がんセンターの研究参加者の社会保障番号などの個人情報が8月にコンピュータハッカーにより流出したが、4カ月後になってもUHは、データが盗まれたことを影響を受けた人々に通知していなかった。
UHは12月に州議会への報告書でランサムウェア攻撃の概要を示したが、州法で求められる時期より遅いように見え、必要な情報も欠けていた。
UHの関係者は取材要請を断り、どのがん研究プロジェクトが影響を受けたのか、何人の参加者の社会保障番号が露出したのか、そしてUHががんセンターの研究ファイルへのアクセスを取り戻すためにハッカーへ支払いをしたのか(したとしていくらか)といった重要情報の提供を拒んでいる。
また、UHがハッカーに盗まれたデータのコピーを破棄させたことをどのように確保したのかも不明だ。
報告書によれば、ハッカーはがんセンターのサーバーに侵入し、がん研究に関連するファイルを暗号化し、復号化するためのプログラムと引き換えに支払いを要求したという。
「UHは、機微な(原文ママ)情報が侵害された可能性のある個人を保護するため、脅威アクターと関与するという困難な決断を下した」とUHは報告した。
「外部の利害関係者に情報を提供し続けるために」と大学は付け加え、「UHは外部のサイバーセキュリティ専門家チームと協力して復号化ツールを入手し、脅威アクターが違法に入手した情報の破棄を確実にした」としている。
報告書によれば、大学は現在、影響を受けた可能性のある研究参加者に通知するため、氏名と住所の取りまとめに取り組んでいる。UHは、個人情報が露出した人々に対し、クレジット監視と身元盗用防止を提供する計画だ。
その間、がんセンターはパスワードをリセットし、継続的な監視を伴う保護ソフトウェアを導入し、侵害されたシステムを再構築し、新たなセキュリティ管理について第三者評価を実施した。
報告書は多くの疑問を未解決のままにしている
取材要請への回答として、UHの広報担当ダン・マイゼンザールは、州議会に報告した内容以上の詳細を含まない声明を提供した。
未解決の疑問の一つは、調査が継続中だと述べる以外に、UHが州議会へ報告するまでに要した時間である。
州法は一般に、政府機関が侵害を発見してから20日以内にセキュリティ侵害の報告書を州議会に提出することを求めており、その中には「侵害の影響を受けた個人の人数、発行されたセキュリティ侵害通知の写し、通知を送付した個人の人数、法執行上の考慮により通知が遅延したかどうか」が含まれる。
このケースでは、UHは8月に侵害を発見し、12月に州議会へ報告書を提出した。
法律は、「法執行機関が政府機関に対し、通知が刑事捜査を妨げる、または国家安全保障を危険にさらす可能性があると伝えた」場合、20日という報告期限の例外を認めている。しかし報告書には、法執行機関からそのような要請があったことへの言及はない。
また、UHがどのようにしてハッカーと関与する判断をしたのかも明らかではない。FBIはハッカーへの身代金支払いを推奨していない。
同庁のサイバー部門はランサムウェアのウェブページで、「身代金の支払いは、敵対者が利益のために他の組織を標的にすることを助長し、他の犯罪者が関与するための収益性の高い環境を提供する」と述べている。
しかし、それは現実的な解決策とは言い難いと、ホノルルのIT・サイバーセキュリティ企業HITech Huiの最高体験責任者兼サイバーセキュリティ責任者であるチャック・ラーチは言う。
「ええ、FBIはいつも『払うな』と言います」とラーチは語った。「でも、事業主は事業を再開したいし、顧客を守りたい。だから払うんです。結局のところ、FBIは復号鍵を持っていない。助けてはくれません。」
また、身代金を支払っても、ハッカーが暗号鍵を提供し、盗んだデータを破棄するという約束を守らないリスクもある。そうしたリスクにもかかわらず、ラーチによれば、多くのハッカーは、彼が「世界史上最も収益性の高いビジネス」と呼ぶものを運営するために必要な倫理規範に概ね従っているという。
「ある程度は名誉の問題なんです」と彼は言う。「でも、分からない。」
最終的には、事前にハッカーを防ぐためのシステムを整えておくことが最も費用対効果が高いとラーチは述べた。
「たいていの場合、予防の一オンスは再構築の一ポンドに値する」と彼は言った。「つまり、『今払うか、後で払うか』ということです。」
