イングランドの国民保健サービス(NHS)は、サプライヤーが積極的かつ強固なサイバーセキュリティのリスク管理措置を実施していることを確認するため、サプライヤーに直接連絡を取ると、当局者が水曜日に述べた。
この動きは、NHSのベンダーに対する最近の注目度の高いランサムウェア攻撃を受けたもので、患者ケアが深刻に混乱した。
NHSイングランドのサイバーセキュリティ担当幹部は、公開書簡の中で、同組織または「関連する契約当局」が、セキュリティ管理策について協議するためにサプライヤーへ連絡し、場合によっては証拠や裏付け情報の提出を求める計画だと述べた。
サービスの提供、重要な患者ケア、または業務継続性に関わるサプライヤーは、より厳格な精査の対象となる可能性が高いと、NHSイングランドの国家サイバー運用担当エグゼクティブ・ディレクターであるマイク・フェル氏と、保健・社会福祉省の国家CISOであるフィル・ハギンズ氏が署名した書簡は述べている。
この働きかけは、NHSイングランドおよび保健・社会福祉省による、第三者ベンダーのサイバーセキュリティを強化する他の取り組みに続くものであり、世界中の医療システムが増大する脆弱性として認識している(参照:無料の医療向け「ツールキット」が第三者リスクをランキング化し可視化)。
これには、2025年5月に開始された「サイバーセキュリティ・サプライチェーン憲章」が含まれ、「良好なサイバー慣行に関する共通の期待」を定めた。
NHSイングランドによれば、非公表の数のサプライヤーがこの憲章に署名した。
複数のNHS顧客を持つサプライヤーについては、可能な場合に重複した要請を最小限に抑えることをNHSイングランドは目指している。当局者は公開書簡で、「これは監査ではなく、合否を判定する取り組みでもありません。このプログラムは、リスクを特定し、パートナーシップのもとで、全員のレジリエンスを強化するための適切な是正活動に合意することを目的としています」と記した。
- 既知の脆弱性に対してシステムにパッチを適用し続けること;
- 多要素認証を実装し、適切な場合にはNHS向け製品で有効化すること;
- 重要なITインフラの監視とログ取得を展開すること;
- 復旧計画をテストし、バックアップが改変できないことを確保すること;
- 取締役会レベルのサイバー演習を実施すること;
- 科学・イノベーション・技術省および国立サイバーセキュリティセンターのソフトウェア・コード実践規範に準拠すること。
英国で患者ケアに影響を与えた最も深刻なサイバーインシデントの一つは、2024年に病理検査ラボサービス企業Synnovisが受けたランサムウェア攻撃だった。ハッカーは、血液検査を含む多数のサービスを実施するSynnovisの能力を麻痺させた。
このインシデントにより、最も影響を受けたNHSトラストであるロンドンのキングス・カレッジ病院およびガイズ・アンド・セント・トーマス病院において、急性期外来の予約10,152件と選択的処置1,710件が中止または延期された(参照:Synnovis、2024年攻撃でのデータ窃取について英国の医療提供者に通知)。
米国では、政府の監視機関が、米国保健福祉省に対しても、第三者請負業者に対する監督と、それらが連邦ITシステムおよび医療セクター全体にもたらすセキュリティリスクを強化するため、積極的な措置を講じるよう促している(参照:HHS監視機関、サイバーガバナンスの抜本的見直しを要求)。
翻訳元: https://www.databreachtoday.com/nhs-england-probe-suppliers-for-cybersecurity-controls-a-30591
