大阪急性期・総合医療センターのインシデント報告書が公開されてた

大阪急性期・総合医療センターのインシデント報告書が公開されていたのでメモ。
昨年の 10 月にサイバー攻撃で電子カルテシステムがダウンして大騒ぎになっていたものですね。

• 情報セキュリティインシデント調査委員会報告書について | 地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター

報告書は 75 ページあるので、なかなか読み応えがあります。

サーバなどで共通の ID とパスワードが使い回されていたり、脆弱性に対するアップデートが行われていなかった VPN 装置が侵入経路になってしまっていたりと、なかなかずさんな IT 管理だったことが分かります。これに伴う損害は調査復旧で数億円以上、診療制限の逸失利益として十数億円以上と、とんでもない代償を払うことになりました。

復旧額が嵩んだのは、基幹システムサーバーの大部分がランサムウェアにより暗号化されたり、院内の約 2,200 台の PC に不正アクセスの痕跡があったため、これらの全てをクリーンインストールことになったことが大きかったようです。内部でこれだけ大規模にマルウェアが横展開されるという事例も珍しいですね。これにより基幹システム再稼働に 43 日間、全体の診療システム復旧に73 日間を要するなど目も当てられない状況になってしまったようです。

「医療機関は閉域網だからセキュリティは問題ない」といった誤った閉域網神話の中で、セキュリティに関する意識が薄れていたのが原因としてあげられていますが、世の中的に IT システムにきちんとお金をかけたり内部で人材育成をするための体制が足りていないんですよね。

† 参考

• 大阪急性期・総合医療センターへのランサムウェア攻撃に関する報告書「誤った閉域網神話によるセキュリティ意識の薄れ」指摘 | ScanNetSecurity