医療分野における接続デバイスの利用はイノベーションを促進し、医療スタッフを支援する新たな方法を提供している。しかし、モノのインターネット(IoT)の導入により、医療業界のIT意思決定者が対処すべき攻撃対象領域は拡大している。
Armisによる新たな報告書では、英国の国民保健サービス(NHS)トラストの多くのサイバーセキュリティ責任者が、接続資産の可視性不足に直面しており、それがセキュリティ要件を満たすうえでの課題となっていることが明らかになった。
NHSトラストの35%が、すべての接続資産を追跡する自動化システムを保有していると回答し、59%が、変更が生じるたびにすべての資産情報を更新していると述べた一方で、IoTに関しては依然として多くの死角が存在する。
例えば、調査対象のトラストの3分の1は、IoTデバイスを追跡する方法がないことを認め、10%は手作業のプロセスやスプレッドシートで追跡していると回答した。
さらに、トラストの15%は接続医療機器(IoMT)を追跡していないことを認め、5分の1は手作業のプロセスやスプレッドシートでこれらの資産を追跡していると述べた。
回答者のさらに19%は、在庫システムにおける接続医療機器の情報が、まったく更新されていないか、年1回しか更新されていないことを認識している。
リソース不足
この可視性不足の主な理由はリソースの欠如であり、トラストのIT意思決定者の38%が、課されている要求を満たすのに十分な人員がいないことを認め、23%が、旧式またはサポート対象外の医療機器の置き換えに対応するためのリソースが不足していると回答した。
こうした技術的ギャップにより、NHSトラストはデータ・セキュリティ保護ツールキット(DSPT)評価を実施する際に証拠を取りまとめたり、義務付けられた2週間以内にサイバーセキュリティ上の問題を是正したりすることが難しくなると、回答者はArmisに語った。
Armisのプリンシパル・ソリューション・アーキテクトであるMohammad Waqas氏は公開声明で、これは規制遵守だけでなく、より多くのサイバーセキュリティ・インシデント、さらには安全上の不具合を招く可能性があると述べた。「トラストの環境に接続されているあらゆるもの(サードパーティ資産を含む)に関するリアルタイムの洞察は、レジリエントなセキュリティ戦略を確立し、攻撃対象領域を能動的に縮小するうえで重要です。[…] 特に、更新を維持するのが難しい接続医療機器(IoMT)については、それらを監視し、その挙動とリスクをリアルタイムで理解できることが、安全性を確保し最新の規制に準拠するための鍵となります。」
同氏はさらに、「それらのギャップを埋め、NHSトラストの運用効果を高め、職員が中核業務に集中できるようにし、脅威インテリジェンスや臨床機器の利用状況に関する洞察を可能にするためには、複数のユースケースを解決し技術的ギャップを橋渡しする適切なテクノロジー・パートナーを迎え入れる必要があります」と付け加えた。
Armisの報告書の結果は、英国のNHSトラストに対する情報公開(FOI)請求に基づくものだった。
翻訳元: https://www.infosecurity-magazine.com/news/uk-nhs-trusts-asset-visibility/
