ヘルスケアシステムは人の生活に密着したものであり、ヘルスケア機関は社会の幸福のために重要な役割を果たしています。 サイバー犯罪者がヘルスケア分野を攻撃した場合、その被害は資本の損失にとどまらず、懐にも大きな打撃を与えます。 いくらよく見積もっても、収益と信頼を失うことになります。 ヘルスケアデータの流出は、最悪の場合、患者の生死を左右することになります。 業界が進化し、最新のITインフラや接続された医療機器の拡張エコシステムへの依存度が高まるにつれ、ヘルスケアセキュリティはこれまで以上に重要になっています。
保護対象保健情報(PHI)の価値について
サイバー犯罪者にとって、保護対象保健情報やカルテは、貴重な個人情報の宝庫です。
- IDを盗むための社会保障番号
- 不正購入を行うためのクレジットカード情報
- 脅迫や強要のための詳細な個人保健情報
- 治療や処方箋を得るための保険情報
クレジットカードや銀行口座の番号が盗まれても、被害者はすぐに変更したり交換したりすることができます。 しかし、ヘルスケア記録に含まれる情報(住所、生年月日、処方箋情報、診断コードなど)は変更することができません。 カルテの詳細がさらされると、取り返しのつかないことになります。
ハッカーはカルテ1件あたり最大で1000ドルを支払う
サイバー犯罪者が、クレジットカード番号には25セントしか払わないのに、たった1件のカルテには 最大で1000ドル ものお金を払うのはこのためです。 このような貴重な資産を保護するために、ヘルスケア機関が適切なセキュリティアプローチに投資すべき理由もここにあります。もしそうでなければ、データ流出によってヘルスケア機関は カルテ1件あたり408ドルの損害を被り、 1件あたり平均220万ドルの損害を被ることになります。
ヘルスケア機関へのサイバー攻撃の余波
Corvus社の新しいレポートによると、ヘルスケア事業者に対するランサムウェア攻撃は、2019年の最終四半期に350%増加しました。 また、これらの事件には間接的な費用もかかり、すぐに膨らんでしまいます。
間接費には一般的に次のようなものがあります。
ハックの通知 – 平均コストは21万ドル
無形コスト
患者記録の盗難は、ヘルスケア機関が心配しなければならない唯一の脅威です。 ランサムウェア攻撃でシステムや患者のデータが人質に取られると、組織は復号キーを取得してコントロールを取り戻すために、莫大な金額を支払うことを余儀なくされます。
支払いが完了し、システムが復旧するまでの間、ヘルスケア事業者は患者の治療に不可欠なソフトウェアにアクセスできない状態に置かれます。 病院にとって、データにアクセスできないことは生死に関わる問題です。
ヘルスケアデータの流出やランサムウェア攻撃が終わった後も、組織は風評被害やのれんの損失など、無形のコストに悩まされることになります。
データ流出を防ぐには
犯罪者に先んじて行動する
ヘルスケア事業者にとって、ITインフラの保護はサイバーセキュリティだけではなく、医療上の課題でもあります。 最新のITインフラは、サーバやPCだけではなく、ヘルスケア機関の内外で使用されるすべての接続された機器にまで及びます。 患者が自分の携帯電話のモバイルアプリを使ってセルフサービスをしたり、医師がタブレットを使って患者の記録を閲覧したりと、この拡張されたエコシステムのあらゆる部分を保護する必要があります。
サイバー犯罪者に先んじるには、コンプライアンスだけでは不十分です。 IBM社とPonemon Instituteが実施した調査では、 自動化されたセキュリティ技術を広範囲に導入している組織は、ハックの総コストを150万ドル以上削減できることがわかりました。
脅威と適切なセキュリティソリューションのマッチング
脆弱性にパッチを当て、より強固なバリアを構築し、ヘルスケア分野のサイバー犯罪を最小限に抑えるためには、組織はサイバーセキュリティに関する専門的な戦略に適応し、実施する必要があります。 インテリジェントで自動化されたセキュリティソリューションには、多要素認証、ソフトウェアーコード難読化、アプリの改ざん検知技術、そしてあらゆる攻撃から患者データをあらゆる面で保護するためのレイヤードプロテクションが含まれます。 ソフトウェアーコード保護 への投資は、コストに見合うだけの価値があることを数字が証明しています。
