デジタル トランスフォーメーション ワークスペースの普及と Web アプリケーションへの移行によりサイバー犯罪が世界的に増加し、2022 年には IoT マルウェア攻撃が前年比 87% 増加しました。
医療業界は、機密データの膨大な倉庫、新たに採用された医療モノのインターネット技術、そして多くの場合時代遅れのサイバーセキュリティ システムにより、業界の脆弱性を悪用して利益を得ようとする勤勉なサイバー犯罪者の主な標的となっています。これらの業界ではサイバー攻撃が増加しており、オンライン アプリを標的としたサイバー攻撃の試みは137% も増加しました。 昨年中に。
この記事では、なぜ医療機関がサイバー攻撃のリスクにさらされているのかを見ていきます。私たちは、医療モノのインターネットとは何かを調査し、医療機関がネットワークのセキュリティを最適に評価する方法を調査します。
次に、機密医療データの保護において HIPAA がなぜどのように役割を果たすのか、また攻撃対象領域管理が医療機関の IoMT をどのように保護できるのかを明らかにします。
医療機関がサイバー攻撃のリスクにさらされる理由
時代遅れの技術システムと広範囲にわたる侵入ポイントにより、医療業界の脆弱性を悪用しようとする精通した攻撃者が侵入する可能性が大きくなっています。
医療業界組織は、保護が不十分でセキュリティ対策が不十分な状態でアプリを実行していることが多いため、医療分野はアプリベースおよび API ベースの攻撃の特に標的となっています。
医療機関は、アプリケーションを保護し、最新のサイバー攻撃スキームによる脆弱性を常に把握するために、Web アプリケーションのセキュリティテストを採用する必要があります。
ハッカーは、壊れたオブジェクト レベルの認証 (BOLA) メソッドを使用して、API コマンドのコンテキストで特定のオブジェクトの ID を調整できます。
このアクセスにより、ハッカーはリクエストの ID を操作することができ、ユーザーがゲートキーピング措置を完全に回避して制限されたデータを読み取るための簡単なアクセス ポイントを提供できます。権限のないユーザーは、ユーザーの個人データを消去することもできます。
このタイプの攻撃は、患者の病歴、現在の健康記録、自宅の住所、財務詳細などの機密情報が豊富に含まれている医療機関のデータベースを操作し、恐喝する幅広い可能性をもたらします。
医療モノのインターネットとは何ですか?
Internet of Medical Things (IoMT) は、スマート ヘルス アプリケーションに使用できる、クラウド コンピューティング構造を通じてリアルタイムでデータを送信する通信テクノロジの相互接続ネットワークを指します。
医療モノのインターネット (IoMT) は、広く普及しているモノのインターネット (IoT) から派生したものです。 IoT は、クラウド ストレージ データベースを通じて情報を伝達する、携帯電話、ウェアラブル デバイス、産業用センサー、作動ポートなどのさまざまなデバイス間での AI 対応の通信を強化します。
IoT は、スマート ホームの接続、スマート カーの電力供給、スマート シティの同期、スマート エネルギー グリッドの確立、スマート小売の強化などに使用されます。
一方、医療モノのインターネットは、モバイル コンピューター、医療センサー、クラウド コンピューティング ソフトウェア間のデータ通信を提供します。これらのデバイスを同期することで、医療専門家は患者のバイタルサインや健康状態の進行状況を監視し、分析することができます。
医療専門家は、IoMT が提供する高度な機能を利用して、患者の状態を評価、診断、治療、追跡できます。
スマート医療機器を介して送信される機密データの量を考慮すると、医療機関にとって医療モノのインターネットを保護することは不可欠です。 IoMT を形成するために組み合わされるデバイスを介して通信されるデータは、医療専門家がクラウドからデータを引き出す Web ベースのアプリケーションを介してアクセスできる、階層化されたクラウド コンピューティング プラットフォームを介して送信されます。
これらのクラウド データ ストレージ プラットフォームには、データベース ストレージ、さまざまなクライアントや専門家向けのアクセス ポータル、電子医療記録 (EMR) の交換などが含まれます。相互接続された IoMT デバイスの中には、患者が自分の医療記録や自分の状態に関する最新情報にリアルタイムでアクセスできるように、患者ポータルを提供できるものもあります。
医療機関のセキュリティを評価するにはどうすればよいですか?
効果的なリスク評価プロセスを実施すると、IT 専門家やセキュリティ管理者が医療組織の全体的なサイバーセキュリティ レベルを評価できるようになります。
一般的な安全なパスワード ポリシーなどの基本的な個別のセキュリティ対策から、適用が必要な特定のセキュリティ パッチに至るまで、セキュリティ リスク評価は医療機関のセキュリティ アプローチ全体をカバーする必要があります。
セキュリティ リスク評価では、特定の従業員のトレーニングや意識向上など、医療組織のデジタル インフラストラクチャにおける潜在的な弱点や脆弱な資産を特定します。
このリスク評価には、サイバー攻撃が成功した場合に侵害されるリスクがあるものを理解するために、組織のすべての資産の目録を作成することが含まれる必要があります。
この目録を入手すれば、サイバー攻撃が成功した場合に医療機関に生じる可能性のある損害を計算できるようになります。
たとえば、悪意のある者が組織の EHR (電子医療記録) にアクセスできる場合、組織は、記録が回収され安全に保たれるまで、すべての患者の治療と処置を中止する必要があると判断される可能性があります。あるいは、全国的な規制措置を遵守しなかった場合、組織は罰金を科される可能性があります。
リスク評価プロセスには、考えられるあらゆる脅威、脆弱な状況、公開されたデータの包括的な分析が含まれている必要があります。洪水や停電などの自然災害によってデータベースが脆弱になる可能性があり、また、医療機関のサーバーに対するフィッシングメールや DDoS、分散型サービス拒否攻撃などの形で潜行的な個人攻撃が発生する可能性があります。
制限されたサーバーやデータベースへのアクセスを許可された元従業員は、機密データに対する悪意のある改ざんによって不満を表明する可能性があります。組織全体のセキュリティ状況を正確に評価するには、あらゆるリスク状況を考慮する必要があります。これにより、適切な担当者が永続的な損害を防止および軽減できるようになります。
HIPAA はどのように/なぜ役割を果たしますか?
HIPAA (1996 年の医療保険の相互運用性と責任に関する法律) は、各医療機関が最新の基本的なセキュリティ対策に準拠していることを保証する全国的な規制を規定しています。 HIPAA は、火災や洪水などの予期せぬ状況での被害を軽減する効果的な緊急時対応計画を作成する方法について医療機関に指示できるガイドラインを提供しています。
たとえば、HIPAA 規制に準拠するには、医療機関はデータベース全体のコピーを少なくとも 3 つ保持する必要があります。これら 3 つのコピーは、少なくとも 2 つの異なるタイプのメディアに保存する必要があり、データのこれら 3 つのコピーのうち 1 つはオフサイトに保存する必要があります。組織が HIPAA によって義務付けられた基本要件を満たさない場合、結果として多額の罰金が科される可能性があります。
米国保健福祉省 (HHS) は、医療機関が HIPAA 基準に準拠し続けることを保証するために、HIPAA プライバシー規則を発表しました。
HIPAA プライバシー規則は、患者の健康情報を含む機密データが、当該患者の明示的な同意や知識なしに公開または共有されないように保護します。この規則には、医療専門家間での患者記録の共有と、悪意のある者やサイバー攻撃からの患者記録の保護の両方が含まれています。
攻撃対象領域管理はどのようにして IoT を保護できるのでしょうか?
リスクベースの脆弱性管理プログラムを採用することで、攻撃対象領域の管理を使用して医療機関の IoMT を保護できます。悪意のある者によるセキュリティ脆弱性の領域を減らすと、最初からサイバー攻撃が成功する可能性が低くなります。
成功する攻撃のほとんどは、攻撃の対象となる脆弱なデバイスへの侵入を通じて実行されます。
クラウドベースのデータベース、ネットワーク サービス、ファームウェア、特定の個別デバイス、ストレージ システム、サーバー、および Web ベースのアプリはそれぞれ、システム全体の堅牢なセキュリティ プログラムの安全性または脆弱性のいずれかに寄与する可能性があります。
組織のインターネットに面した攻撃対象領域を積極的に管理、測定、削減すると、ネットワーク侵害のリスクを大幅に軽減できます。
社内の専門知識と独自の自動化プラットフォームおよび攻撃対象領域分析ツールを組み合わせて使用することで、単一のポイントインタイムのリスク分析から、長期的な計画、実行、メトリクスの収集に至るまで、あらゆることを提供できます。インターネットベースの攻撃にさらされる可能性を減らします。
攻撃対象領域の管理には、制限された領域へのアクセスを要求する各ユーザーが、問題のデータへのアクセスが許可される前に十分に検証されることを保証する強力な認証保護手段が必要です。
自動化された悪用ツールが制限されたシステムに最初にアクセスすることが防止され、脆弱な認証領域にはパッチが適用され、より効果的なセキュリティ基盤が構築されます。
攻撃対象領域の管理により、インターネット ベースのサイバー攻撃に対する組織の潜在的な脆弱性が軽減されます。これは、すべての機密医療データが保存され、インターネット経由で通信されるため、相互接続された IoMT デバイスおよびシステムの全体的なセキュリティに直接影響します。
最終的な考え
ヘルスケア業界は過渡期にあり、IoMT から実行される相互接続されたスマート ヘルス デバイスに依存する組織が増えています。
医療モノのインターネットは、医療行為を更新し、強化された患者の状態分析と治療手順を提供するための革新的な方法を提供します。しかし、適切なセキュリティ対策がなければ、医療機関はセキュリティの脆弱性の増大にさらされることになります。
考えられるすべての脅威と脆弱性を特定することは、医療組織のデジタル ネットワークと社内ソフトウェア システムのあらゆる側面にわたって包括的な保護を提供する十分なセキュリティ対策を確立するための鍵となります。
HIPAA のガイドラインと基準へのコンプライアンスを維持することで、医療機関が十分なセキュリティ対策を講じることが保証されます。
攻撃対象領域の管理を実施すると、医療用モノのインターネット デバイスが実行されるインターネットの安全を確保できます。 IoMT テクノロジーが進化し続ける中、患者データと電子医療記録を保護することは、安全な医療システムを確保するための鍵となります。
Outpost24が後援および執筆
Comments