連邦規制当局は、規制対象の医療関連企業およびサードパーティベンダーに対し、保護対象保健情報をより適切に保護するため、システム、ソフトウェア、医療機器の堅牢化を進めるよう助言している。
これには、組織が脆弱性の継続的なパッチ適用、ソフトウェアの更新、セキュリティ設定の適切な構成、不要なソフトウェアの無効化または削除を確実に行うことが含まれる。
しかし、それは言うは易く行うは難しと、米国保健福祉省(HHS)の公民権局(OCR)が発出したガイダンスは認めた。「システム堅牢化の手法を定義し、作成し、適用することは、一度やって終わりの作業ではない」としている。
同省は、堅牢化はデータのプライバシーとセキュリティを守るために必要な措置であるだけでなく、患者の安全を守るうえでも必要だと警告した。医療機器のセキュリティは、これらのシステムが見落とされがちで更新が難しいため、特に重要である。
セキュリティ企業Lumifi CyberのフィールドCISOであるマイク・ハミルトン氏は、医療分野における脆弱性管理は「極めて重要であると同時に、途方もなく難しい」と述べた。
同じくHHSの一部門である食品医薬品局(FDA)は、新製品を市場投入する前にメーカーが機器のサイバーセキュリティリスクを評価することを求めているが、機器にパッチを適用しセグメント化することは医療機関の責任である。HHSは医療機関に対し、医療機器に関するFDAの以前のガイダンスを参照するよう助言した。OCRは、医療機器には堅牢化の手順を含むラベルが付属していると指摘した。
データ侵害に関しては、未パッチの脆弱性の悪用、旧式ソフトウェア、誤って構成されたセキュリティ設定が関与する事案が、500人以上に影響する医療データ侵害を掲載するHHS OCRのHIPAA侵害報告ツールのウェブサイトに数多く見られる。
法律事務所Baker Donelsonの規制担当弁護士レイナ・ラッシュ氏は、「医療分野の侵害の大半は高度な攻撃ではなく基本的なセキュリティの隙間に起因するため、これらの隙間を評価し対処することが非常に重要だ」と述べた。「特定された不備の是正につながらないセキュリティリスク分析は無意味だ」とも語った。
HHS OCRによれば、オペレーティングシステム、電子カルテ、データベース、ウェブサーバー、モバイルアプリケーション、オフィスアプリケーション、メールソフトウェアに加え、ファームウェアも、脆弱性の軽減と堅牢化の活動に含めるべきだという。
ハミルトン氏は、システムを安全なベースラインに合わせることが難しい理由として、「FDAの承認プロセスが氷河のように遅いため、医療分野の多くの技術は最新のオペレーティングシステムやアプリケーションを使用できない」ことを挙げた。その結果、ベンダーのサポートが終了した旧式のレガシーOSやソフトウェアを搭載した機器が継続的に使用されることになるという。
それでも、脆弱性の軽減とパッチ適用に対処するための重要な行動を取る必要があると同氏は述べた。「犯罪者や国家主体のアクターは、自動化された脆弱性検出を用い、発表とパッチ公開からわずか数分で悪用する」と語った。
ラッシュ氏は、資産インベントリを定期的に見直して更新し、資産インベントリ方針に廃止(デコミッション)プロセスを組み込むことを推奨している。これは「不要なITや、不必要なレガシーシステムおよび/または機器に伴うリスクを排除するのに役立つ」という。
このセキュリティ堅牢化ガイダンスは、HHS OCRが最近、規制対象事業体の全体的なセキュリティリスク管理の実務、特にHIPAAセキュリティリスク分析で特定された問題を軽減するために組織が講じる手順を、より厳しく精査する意向を示したこととも整合しているようだ。
ハミルトン氏は、堅牢化ガイドは数多く存在するが、「対象事業体が高度に規制されていること、そして患者ケアへの潜在的な脅威があることから、すでに運用中の技術について責任を限定するためには、HHSまたはFDAが承認したものだけを使用すべきだ」と述べた。
翻訳元: https://www.databreachtoday.com/hhs-urges-health-sector-to-harden-security-phi-devices-a-30555
