医療サイバーセキュリティはなぜこれほど資金不足なのでしょうか?

Jun 28, 2023

トニー・ファイラー

@more__ハイブリッド

[email protected]

医療を再び安全にするためにはお金が不可欠です。

• 医療サイバーセキュリティの重要性は軽視されたり、誤解されたりすることがよくあります。• 十分な資金を獲得するには、臨床リスクの観点から医療サイバーセキュリティに関する会話を組み立てることが重要です。• 医療組織のサイバーセキュリティ面は非常に平坦です。

医療サービスはサイバー攻撃に対してますます脆弱になっています。 新しいプレイヤー、新しい、または少なくとも新たに微調整された攻撃ベクトル、常に存在する脆弱性への新たな焦点により、避難所や治療の拠点となるはずの場所をターゲットにすることに対する、悪意のある行為者側の倫理的な抵抗が打ち砕かれています。彼らのフィジカルベスト。

もし地獄があるとしたら、当然のことながら、サイバーセキュリティの脆弱性を持つ医療施設を狙う悪者たちは、間違いなくそこで永遠に焼きつくことになるでしょう。 しかし、遅れて形而上学的な罰を与えるという考えに何の慰めも感じない組織にとっては、今この場で皮膚の無駄遣いによる陰謀を阻止することが重要である。

私たちは、重要な国家インフラに対するこのようなサイバー攻撃の阻止に関して多大な努力を払っているサイバーセキュリティ専門組織であるチェック・ポイント・リサーチのフィールド CISO であるデリック・ミッチェルソン氏に再び連絡をとりました。

私たちが特にデリック氏に話を聞いたのは、彼がサイバーセキュリティの専門家であるだけでなく、英国のNHSスコットランドで働いていた経歴があり、医療サイバーセキュリティの分野において広範かつ特定の専門知識を持っているからです。

私たちは、2023 年になっても人々が依然として医療機関を標的にしている理由を彼に尋ねました。

THQ:

英国のNHSが特にサイバー攻撃に対して脆弱である理由については以前にもお話しましたが、現在では米国でも同様に大きな問題になりつつあります。 政府や組織の投資などの観点から、医療サイバーセキュリティは緊急性と脆弱性のどの段階に位置すると考えられますか? 当局の支出の優先順位の順に、これらの重要なインフラをサイバー攻撃から保護することはどこにあるのでしょうか?

DM:

誰かに尋ねれば、それがトップ 3 の優先事項だと答えるでしょう。 絶対に。 政府関係者や医療関係者なら誰でも、これが最優先事項の 3 つだと言うでしょう。

しかし、それはチェックボックスの優先順位であって、実際の優先順位ではありません。 彼らがそれが優先事項であると言う理由は、それがリスク登録簿に載っているからです。 つまり、取締役会と話し合って、「はい、誰かがこれを優先事項として所有しています」と言うことができるということです。 しかし、その後、これこれを実行するには、複数年にわたる医療サイバーセキュリティ プログラムへの投資を大幅に増やす必要があると誰かが言い続けても、そのお金は見つかりません。

つまり、それはまったく優先事項ではありません。 当然のことですが、本当に優先すべきことに対しては、常にお金を見つけることができます。

THQ:

多かれ少なかれ、それが実際の優先順位を定義する方法ですよね。 実際にお金を費やさなければならないもの、実際に費やすべきものは何でしょうか？

DM:

その通り。 医療サイバーセキュリティは、優先事項としてリスク登録の最上位に位置しているものの、適切に資金が提供されていない数少ないものの 1 つです。

そうですね、適切な資金が供給されていない場合、必要なレベルの投資が得られていない場合、実際にそのレベルの優先順位があり得るでしょうか? なぜなら、耐用年数が終わった機器の交換など、周囲にある他の事柄に投資資金が発生するからです。

人員不足を補ったり、勤務表を変更したり、設備投資プログラムを実行したりすることを検討している場合、それらに投資が行われます。

これについて文句を言うのは難しいですが、これらのものが最前線の医療を提供していることは知っています。 しかし、私が CIO としての役割を果たしていたとき、デジタルとサイバーセキュリティは最前線のケアを提供する上で大きな部分を占めていました。 人々がそれを可能にするデジタル サービスやサイバー サービスがなければ、最前線のケアを提供することはできません。 どちらかがなければ、もう一方は得られません。