ハッカーが医療業界への攻撃を強めている理由 19
ストーリー by hylom
手間の割に価値が高い、と 部門より
手間の割に価値が高い、と 部門より
あるAnonymous Coward 曰く、
近年医療環境に対するサイバー攻撃は増加する一方だという(HELP NET SECURITY、Slashdot)。
サイバー犯罪者にとって、医療データにはクレジットカード詐欺やほかのネット詐欺よりもはるかに価値があるという。医療情報には患者の病歴や処方箋などさまざまな情報が含まれているからだそうだ。近年病院の情報化が進んでおり、医療機器を含むさまざまな機器が病院内ネットワークに接続されていることも病院が狙われる理由だという。
にも関わらず、病院側は真剣な対処を行っていないという。強力な認証設定や複数の装置に並列のログインの抑制、重要な装置と医療データ格納サーバーをインターネット接続から切り離すなどの基本的なセキュリティ対策にも失敗している。処方薬自動分配器のようなシステムが改ざんされる自体になれば、人命の損失につながる可能性もあると指摘されている。
職員数百人の病院での対策 (スコア:2)
地方都市の広島市で既に医師会を狙った標的型攻撃の事例もあるし身近な問題です。
職員30人から500人規模の医療機関での対策を考えると
(1)「LanScope Cat」「SKYSEA Client View」などセキュリティソフト導入の必要あり
(2)導入のため専任エンジニア1人が現実には必要(パートタイム勤務でやや無理?)
(3)現場の職員にとって不便さが増えるので、職員教育が必要
(「USBメモリー持ち込み禁止とはけしからん」とワガママ言う人間を黙らせる作業など)
という手順になると思います。お金、ヒト、手間がかかります。
初期費用は当初の3年間合計で200-400万円程度かと思いますが、ランサムウェア身代金の金額や
情報流出時の信用低下を考えるとほぼ妥当な額かなと感じます。
(泥棒に1000万円盗まれるよりは防犯アラームに300万円かける気持ち)
参考記事ランサムウェアに感染した病院... [itmedia.co.jp]ロサンゼルスで、1万7000ドル相当を払った例もどうぞ。
改ざんされる自体に (スコア:0)
1. 自体
2. 事態
3. 辞退
4. 字体
Re:改ざんされる自体に(スコア:-∞, 脊髄反射) (スコア:0)
0xFF.痔痛い
蟷螂の斧 (スコア:0)
ハッカーって攻撃に対してそれらしい理由をつけるけど、結局は「儲かっている、勝ち組を狙う」というのが最近目立つな。
ただの僻みか?
まぁ、例えば、未だに4桁の暗証番号で「顧客の情報を守る」という銀行とか、クレジットカードなんかのようなセキュリティなんて端から考えていないようなシステムが現存していることには、不安を感じたりはするのだが。
Re:蟷螂の斧 (スコア:1)
ただの僻みか?
ただの金もうけだろ。押し入るならからのあばら家より金庫。
金を持っているかどうかってのはセキュリティの強弱には直接結びつかないしハッカーはハッカーで高度な技術を持った連中も多いから蟷螂の斧ってのは的外れ。
Re: (スコア:0)
4桁暗証番号は、小額決済システム用です。
大金を決済できる(預金されている)キャッシュカードを常時携行すること自体危険ですし。
WUを受けるべきか (スコア:0)
VBで書かれた基幹系が走ってるようなシステム(一式)はまた別格として、
文書作成にかかわる端末のWUはどうすべきか
例によって、専任担当者はなく、WSUSを置くことはできない
Officeは、最寄の電気店で「入ってるものを買ってくる」のでMSO
電源を除く絶縁、電気的に。ってことしかないのかな
Re:WUを受けるべきか (スコア:2)
厳格に管理したいなら、ボリューム ライセンス (VL) で MSI 形式の Office を利用することになるけど、そうでなければ、Windows Update は自動更新で良いのではないか。
Windows 10 の機能アップグレードに関しては、Current Branch for Business (CBB) に設定するとか、Windows Update for Business で管理すればよかろう。
Re: (スコア:0)
通常のWUにつなぐなら、絶縁になりません。
Re: (スコア:0)
個人院や、それにちょい毛が生えたレベルなら、
医療関係専門のOA屋をよんで、ソリューション買って丸投げでおk
遠隔で丸ごと管理してくれるよ。
専任の担当置くより安いが、若いにーちゃんを兼任管理者に仕立て上げ生け贄にして自前でやるよりは高い、と言うぐらいの予算感覚でできる。
Re: (スコア:0)
漏洩時の顧客対応、風評対応も丸投げにできるやつですか、従業員に代わって誰か失脚してくれますか
どんな価値があるのだろう? (スコア:0)
> 医療情報には患者の病歴や処方箋などさまざまな情報が含まれているからだそうだ。
たいして価値あるように思わないけど「さまざまな情報」でぼかされてるのかな?
Re: (スコア:0)
科にもよるかと。極端な話、美容外科とか、乳腺外科とか。
あと精神科なら、電子カルテに会話内容が記録されてるかも。
価値といえば、診断補助AIを国産するにあたって、生データの山は貴重ですが、
それをいかに適切に、どこに拠出するかという問題もあります。
えっ。ぐぐるか林檎社くらいだったら信用できるって?
Re: (スコア:0)
これ以上ないほどに個人のニーズを吸い上げられると思うんですけど。
Re: (スコア:0)
今時は日用品とかはポイントカードとかで集まる情報も多いでしょうから、より集まりにくい医療関係とかそういう方が希少価値も出ると思います。
加えて動く金の大きい業界の情報の方が高く売れるのもあると思います。
ガンとか糖尿病とか高血圧とかの患者リストとか、それに電話番号とか住所が付いて来れば、高値を付ける業界の人々が居そうだと思いませんか?
Re: (スコア:0)
身体的特徴 → ダイエット食品やカツラ屋、美容整形などなど
処方箋の履歴 → 保険適用外の薬使用=金持ち → 強盗などのターゲット
病歴 → 保険屋、葬儀屋
結構価値がありそうに思いますけど。
他にも、病歴そのものを隠したい人や麻薬関係等の通院歴から本人を恐喝することもできそうですね。
前のタレコミで (スコア:0)
オーストラリアの病院がサポート関連でいざこざを起こしているというのがあったけど
割とセキュリティというか情報機材にお金掛けられないものなのかね
Re: (スコア:0)
セキュリティに掛ける予算はありませんが
院長は高級車を何台も持っていますww
Re:前のタレコミで (スコア:1)
# それやったら1台でええやん