概要
新たな報告書は、防御能力に対する自信が限られている業界の姿を描いている。
Dive Brief:
- Fortified Health Securityによる新たな報告書によると、医療分野での侵害件数は2024年の2倍に増えた一方で、流出した患者記録の件数は急減した。
- ランサムウェア攻撃とサードパーティリスクが侵害急増の原動力となっており、こうした侵入の多くは、データプライバシーよりも運用面を脅かすようになっている。
- 「業界は、主要な見出し級の出来事から、より負担の大きい“絶え間ない混乱”の状態へと移行した」とFortifiedは報告書で述べた。
Dive Insight:
Fortifiedの報告書は、医療分野が直面するリスクを認識している一方で、それに対抗する能力に自信を持てていない状況を描いている。
例えばサードパーティリスクについては、ベンダーリスク評価の妥当性に高い自信があると答えた医療機関はわずか4%だった。約3分の2は「ある程度自信がある」としたが、約30%は「まったく自信がない」と回答した。
またインシデント対応に関しては、インシデントを迅速に特定し、封じ込め、復旧できることに「非常に自信がある」と答えた組織は6%にとどまった。より多くの割合が「ある程度自信がある」と回答した。Fortifiedは、このデータは「圧力下での速度や一貫性に全面的な信頼がないままの進展」を示していると述べた。
Fortifiedによれば、医療機関は、ストレスの大きい職業における絶え間ない人員の入れ替わりに耐えられるサイバーセキュリティプログラムを設計する必要がある。多くの医療機関は、サイバーセキュリティの実践を説明し実装するためにベテラン職員に依存しており、そうした人材が離職すると重要な知識も一緒に失われる。
「完璧な人員配置を前提に設計されたプログラムは、現実に直面するとほとんど生き残れない」と報告書は述べた。「強いプログラムは安定を前提にしない。変化を前提にし、残る人材を強化し、組織知を保存し、個人がそうであるように能力が消えないように計画する。」
耐久性のあるプログラムの構築に加え、Fortifiedは医療機関に対し、「同じ火消しを何度も繰り返す」ことを避け、重複するテクノロジースタックの可視性を高めるために、「学んだ教訓を運用に落とし込む」よう促した。報告書は、医療機関がサイバーセキュリティへの支出を、患者ケアを損なうものと見なして抵抗することが多いと指摘している。「セキュリティに投じる1ドルは、ベッドサイドに使われない1ドルだ。」
シャドーAIは、他の重要インフラと同様に医療機関を脅かしている。Fortifiedは報告書で、「AIツールの導入は、医療機関がポリシーを策定できる速度を上回って進んでいる」と述べた。しかし、技術を遮断するのではなく、組織は「従業員がいつどこでAIツールを使用しているかを特定する可視化フレームワークを確立し、大量または異常なデータアップロードを検知し、露出を最小化する安全なプロンプト手法について職員を教育する」べきだという。これを実現するために、報告書は、経営層が「AIガバナンスを中核的な事業イニシアチブとして扱わなければならない」と述べている。
翻訳元: https://www.cybersecuritydive.com/news/healthcare-cyber-breaches-fortified/809483/
