医療機関へのサイバー攻撃は、前述のように深刻化しており、医療業界のサイバーセキュリティ対策の早急な強化が必要だ。残念ながら、複数の指標で見る限り、医療機関の対策は他の業界と比べ、遅れている。アメリカの場合、医療機関の平均的なサイバーセキュリティ予算はIT予算の3〜4%にすぎず、金融機関はその倍以上の6〜14%だ。
NTTの2020年のサイバー脅威インテリジェンス報告書によると、金融機関やハイテク業界のサイバーセキュリティ成熟度が5.99満点中それぞれ1.86と1.64であるのに対し、医療機関のサイバーセキュリティ成熟度は1.12とかなり低い。
身代金要求型ウイルス攻撃をはじめ、サイバー攻撃でよく使われる手口であるなりすましメールへの有効な対策の1つが、メールのフィルタリングとスキャンだ。しかし、アメリカの保険会社「コーヴァス」によると、86%の医療機関はこの基本的な対策すら取っていない。
フィンランドでは恐喝事件も発生
さらには、身代金要求型ウイルスによる被害ではないようであるが、以前医療機関からサイバー攻撃で盗んでいたうつ病などの患者の個人情報をネタに、「個人情報を流出されたくなければ金を払え」と恐喝する事例も、10月下旬に見つかった。
サイバー攻撃を受けたのは、北欧フィンランドで25カ所の心理療法センターを運営し、うつ病などの患者にセラピーを行っている企業「ヴァスターモ」である。2018年11月から2019年3月の間に3回サイバー攻撃を受け、患者の個人情報に関するデータベースから4万人分の患者の情報を盗まれてしまった。
地元紙の報道によると、警察は同社に対し、捜査中を理由に患者を含め外部への本件の通知を一切しないよう求めていたという。同社が患者に連絡を取るようになったのは、10月21日に攻撃者が個人情報の暴露を始めてからだった。攻撃者が誰かは、現時点では不明である。
無料会員登録はこちら
ログインはこちら