2021年、世界経済フォーラムのブログは、COVID-19の流行に伴う医療分野へのサイバー攻撃の急増を検証し、1年強で1,000万件以上の記録が盗難されたことを指摘しました。パンデミックは(今のところ)終息しましたが、サイバー攻撃の脅威は依然として高まっており、プロスペクト・メディカル・ホールディングスやHCAヘルスケアといった医療業界の企業に対する最近の攻撃が、2023年もデータ侵害の山に積み重なっています。
サイバーセキュリティ企業Critical Insightの新たな調査によると、医療施設への侵害件数は減少しているものの、攻撃を受けた人の数は急増しており、サプライチェーンや第三者への攻撃も増加しているとのことです。また、攻撃者はサービス拒否攻撃だけでなく、恐喝にも力を入れていることも調査で明らかになりました。
実際、新しい 2023 年医療データ サイバー侵害レポートでは、逆説的に、今年は 2019 年以来最も侵害が少なくなる見込みである一方で、侵害された個々の記録は 6 か月間で過去最高となっていることが示されています (図 A )。
図A
ジャンプ先:
- 侵害は減少しているが、侵害された個人記録の数は大幅に増加している
- サードパーティの脆弱性が脅威の増大要因に
- 病院、診療所、医師グループが主な標的
- 保健機関は、パートナーの
侵害は減少しているが、侵害された個人記録の数は大幅に増加している
報告書によると、医療機関が米国保健福祉省に報告したデータ侵害の分析に基づき、組織における侵害の総数は、2022年後半と比較して、今年の上半期に15%減少した。
しかし、侵害された個人記録の数は2022年後半の3100万人と比較して31%増加し、4000万人に影響を与えた(同社によれば、2022年に影響を受けた個人の総数の74%で、6か月間の記録としては過去最高)。
Critical InsightのCISO、マイケル・ハミルトン氏は、攻撃者がより大きなROIとより低いリスクを求めるようになったことが、標的の規模拡大と、より小規模な、あるいは潜在能力の限られた標的のロングテールの短縮化につながっていると述べています。「攻撃者の優先順位の変化は、自身のリスクを最小限に抑え、自身の成果を最大化することに関係しています。1つの組織を攻撃してより高いROIを得られるなら、彼らはそうするでしょう。まさにそれが私たちの現状です」とハミルトン氏は述べました。
侵害 1 件あたりの影響を受けた個人の平均数も過去最高の 131,000 人に達し、侵害件数の減少と大規模な侵害が全体平均に影響を与えていることを反映しています。
被害者団体の中には、
- 歯科保険給付管理会社であるマネージドケア・オブ・ノースアメリカでは、890万件の個人記録が侵害された。
- 薬局サービスプロバイダーの PharMerica では、ランサムウェア攻撃により 580 万件の記録が漏洩しました。
Critical Insights によると、これら 2 件の侵害は、これまでに報告された侵害の中で 3 番目と 4 番目に大きいものでした。
報告書によると、ハッキングとITインシデントによる侵害は全体の73%を占めており、攻撃者がネットワークサーバーの脆弱性に注力しているのは、組織がメールエンドポイントのセキュリティを強化していることが一因だと著者らは述べています。報告書によると、ネットワークサーバーの侵害は、影響を受けた個人記録の97%を占め、メール侵害による侵害はわずか2%でした(図B)。
図B
サードパーティの脆弱性が脅威の増大要因に
ハッカーは、サードパーティ組織への攻撃にも横展開しています。調査によると、サードパーティのパートナーへの攻撃は、「医療機関や健康保険関連の侵害で被害を受けた個人よりも大幅に多かった」とのことです。Critical Insightの報告によると、漏洩した4,000万件の記録のうち、48%はビジネス関係者、43%は医療機関に関連していました(図C)。
図C
Critical Insights が挙げたサードパーティの脆弱性を介した攻撃の一例として、補足福利厚生会社 NationsBenefits Holdings が挙げられます。同社は、サードパーティのサイバーセキュリティ サービス プロバイダーに起因する侵害により、システム内の 300 万人が影響を受けたことを明らかにしました。
「当社のレポートでは、ハッカーがサプライチェーンの最も弱い部分や脆弱な点、具体的には医療機関にサービスを提供するビジネスパートナーやサードパーティ企業をますます狙っていることが分かり、効果的なインシデント対応計画と積極的な防御戦略の重要性が強調されています」と、クリティカル・インサイトのヘルスケア・サイバーセキュリティ戦略家であり、クライスト・ヘルスの副社長であるジョン・デラノ氏は声明で述べた。
病院、診療所、医師グループが主な標的
報告書の著者らは、ハッキングや IT インシデントによる被害が最も多かったのは専門クリニックであり、次いで以下の点が挙げられた。
- 病院システム
- 医師グループ
- サービスと供給
- 行動健康
- 外来施設
- 在宅介護サービス提供者
レポートでは、単一の大規模攻撃がこれらの調査結果を歪める可能性があることも指摘しており、サービスおよびサプライカテゴリーの個人のうち、2021年に攻撃の影響を受けたのはわずか4%であったのに対し、2022年上半期には19%に急増したと指摘しています。PharMericaへの攻撃だけでも、この割合は今年42%にまで上昇しました。同様に、レポートによると、340万件の個人記録に影響を与えたRegal Medical Groupへの攻撃は、医師グループのマイクロセグメントにおける攻撃の割合を、2022年下半期の4%から2023年上半期には22%にまで押し上げました。
エンゾ・クリニカル・ラボは、約250万人が関与する侵害を報告しており、診断セグメントは2022年後半の3%から2023年前半には15%に押し上げられる見込みだ。
保健機関は、パートナーの
Critical Insights は、組織が次のことを実行すべきだと提案しています。
- インシデント対応計画と NIST-CSF ベースのリスク評価から始めて、複数年にわたる戦略を構築します。
- より安全な環境を維持するために不可欠な重要なパートナーのサイバー衛生を追跡します。
- サードパーティベンダー、ビジネスアソシエイト、サプライヤーを脆弱性から保護することに重点を置きます。
- 投資にとって最も重要な影響を強調し、取締役会からのサポートを確保します。
