遠隔医療のサイバーセキュリティの何が問題なのか?
保健医療施設は、COVID-19に対応するため、2020年に遠隔治療を速やかに実施しました。 その行動の速さが、患者を過度のサイバーセキュリティリスクにさらしてしまったのでしょうか? プロバイダー組織、およびそれらをサポートする技術開発者は、急速な実装によって引き起こされる二次的なサイバーセキュリティの危機に対処する必要があります。 幸いなことに、ベストプラクティスと新しいソリューションはたくさんあります。
多くの介護施設は、規制機関が規制を解除するとすぐに、簡単な遠隔医療ソリューションの実装を大急ぎで行いましたが、あまりにも迅速に行動しなければならなかったため、データセキュリティに適切に対処する時間がありませんでした。
金融機関が来年の顧客の銀行情報を保護する必要がなくなったと政府が判断した場合に発生する不合理なサイバーセキュリティリスクを想像してみてください。 それはまさに2020年にヘルスケアで起こったことです。
同様に、多くのアプリケーション開発者は、ツールがこのような規模でこれほど急速に実装されることをまったく予想していませんでした。 その結果、多くの開発者は現在、潜在的に壊滅的なサイバーセキュリティの脆弱性が原因で顧客からアカウントのキャンセルの電話がかかってくる前に、自社のツールセットに内在する固有の脆弱性に迅速に対処する必要があるかもしれません。 医療従事者は、開発者がアプリケーションのセキュリティを強化することを要求しています。 これは特に遠隔医療の場合です。
コロナウイルスから遠隔医療のサイバー脅威まで
「私たちは、この国家的な公衆衛生上の緊急事態の間、彼らがどこにいても患者に対応できるように医療提供者に権利を与えています」
–HHSのOCRディレクター、Roger Severino氏。
2020 年 3 月 30 日、米国の保健福祉省 は、ケア専門家の規制要件のバランスを変更して、シンプルでコンプライアンスに準拠していない遠隔医療ソリューションを使用するようにしたとの通知を発表 しました。 他の国も同様に規制を緩和しましたが、この投稿ではアメリカの状況に焦点を当てます。
「OCRは執行の決定権を行使し、COVID-19の全国的な公衆衛生緊急事態における遠隔医療の誠実な提供に関連して、対象となる医療提供者に対してHIPAA Rulesに基づく規制要件に違反した場合の罰則を課すことはありません。」 — HHS
HHSからの新しい実施規定の前週 、CDCは前年から遠隔医療訪問が154%増加したことを確認 しました。 2020年4月までに、Medicareの初期診療訪問の43.5%が遠隔医療であり、2020年2月の0.1%から増加しました。 規制が緩和されたとき、遠隔医療の需要は急増しました。この動きは、低所得世帯の医療機関へのアクセスを維持することが主な原因でした。
これが医療機関にとって何を意味するかというと、数ヶ月や数年ではなく、ほんの数日のうちに遠隔医療を大急ぎで導入するということでした。 開発者は1849年のカリフォルニアの金鉱労働者のように、一生懸命、そして迅速に作業を進めました。 彼らが容量をスケーリングする方法を解明しなければ、何百万人もの命が危険にさらされていました。 彼らは命を救うために急いだので、不注意にも、サイバーセキュリティの赤ちゃんを風呂の水と一緒に捨ててしまったかもしれません!
医療制度が困難にうまく対処し、今日では、そうでなければ死んでいたであろう多くの人々が生きています。 状況が安定した今、医療機関は、これらすべての命を救うために実装したツール(Zoom、FaceTime、Skypeを介したクイックヒット遠隔医療ソリューションなど)が組織と患者を重大なサイバーリスクにさらしていることを認識しなければなりません。
遠隔医療ソリューションのリスクプロファイルとは何ですか?
すべてのソフトウェアには、多くの場合最初の数行からコードに組み込まれている脆弱性があります。 ソフトウェアベンダーや開発者は、プログラムに含まれているセキュリティ層
について喜んで説明しますが、実際には、サイバーセキュリティのリスクがコードの中心に存在しています。
ヘルスケアリーダーがセキュリティ機能について質問するのは簡単ですが、ソリューションが構築されているコードの最初の数行のレベルで、開発者がソフトウェアを攻撃から保護する方法についての詳細をますます深く掘り下げています。
ヘルスケアのコンテキストで規制されていない業界向けに設計された消費者向けアプリを適用する際の課題は、それらがPHIを保護することを意図したものではなかったことです。 内部向けまたはヘルスケアのみのアプリケーションとは異なり、HHSが一時的な使用を承認した消費者向けアプリは、ヘルスケア環境で定期的に発生するタイプのハッキングに耐えるほど堅牢であることを意図したものではありませんでした。 覚えているかもしれませんが、ZoomはCOVID-19が町にやってきたほぼ直後に、ちょっとしたホラー映画のシーンのようにハッキングされました。 2020年4月までに、数十万のプロファイルがダークウェブで販売され ました。 Zoomの価値提案は、Skypeよりも優れていることであり、遠隔医療のための安全なソリューションではなかったのですから、このハッキングは驚くべきことではありません!
この事実が意味するのは、Zoomのソースコードがすべてのアプリ(材料)と同様に脆弱性で満たされているだけでなく、チームがZoomのケーキを混ぜて焼いた方法よって、私たちが知っていて、時には愛しているツールに、たくさんの脆弱性が組み込まれているということです。もちろん、Zoomはここ数か月、セキュリティをレベルアップするために優れた仕事をし ており、これらの分野での作業を続けています。
遠隔医療ソリューションを利用する医療機関にとっての最後のリスクは、HIPAA、HITECH、Meaningful Use、PHI保護が米国の地では依然として法律であり、他の国でも同じような法律が適用されているという事実です。 上記のHHSからの引用では、PHIの開示は許可されていないことに注意してください。 代わりに、OCRは、現行法および既存の規則に違反した場合に罰則を課すことはないと述べています。 この変化は、HHSが公衆衛生上の緊急事態を「公式に終了」と宣言し、通常の行動が再開されると、数千の施設が直ちにコンプライアンス違反の罰則のリスクがあることについて援助することを意味します。
遠隔医療セキュリティレビューのためのアプローチ
医療機関が遠隔医療ソリューションを確保するために取るアプローチは、ソリューションをどれだけ早く実装するかによって異なります。 同様に、セキュリティ分析のレベルは、ソリューションが第三者のセキュリティ専門家によって精査されているかどうかによって異なります。
施設は、既存の遠隔医療機能を1つの部門またはユニットから他のユニットへと拡張できましたか? もしそうなら、ツールはすでにサイバーセキュリティ評価を受けています。 このような施設では、既存のセキュリティプロセスが新しいワークフローに適用されていることを確認し、簡単に見直す必要があります。
プロバイダー組織は規制当局が注意を払わなくなったために、他の業界向けに設計された複数のツールを使い始めたのでしょうか? その場合、組織はツールセットのセキュリティ面を十分に評価していない可能性があります。 彼らにとって、今こそ彼らの遠隔医療機能のセキュリティとワークフローを深く掘り下げる時です。
遠隔医療用のツールを利用している顧客が大幅に増加していることを確認したソフトウェア開発者は、ツールのサイバーセキュリティの状況を話し合うために多くの顧客が担当者に電話をかけ始めているため、準備をしておく必要があります。 これらの施設には、堅牢で安全なインフラを備えた遠隔医療機能のソリューションが必要になります。
従来のセキュリティフレームワーク
これまでに、すべてのプロバイダー組織のCIOとCISOは、サイバーセキュリティの従来のフレームワークの実装に精通しています。 しかし、ソフトウェア開発者は、それぞれの簡単な説明と、ヘルスケア組織が対応している深くて広いセキュリティ問題に関する詳細情報へのリンクから恩恵を受ける可能性があります。
HIPAA、医療保険の携行性と責任に関する法律 —この1996年の法律は、医療情報のプライバシーを保護するための基本的な要件を定めています。 これらの法律は、電子的に医療取引を行う医療計画、医療情報センター、および医療機関に適用されます。
HITECH、経済的および臨床的健康のための医療情報技術に関する法律 —この2009年の法律は、オバマ氏の刺激と回復パッケージの一部であり、医療ITの使用を促進および拡大の目的で作られました。 HITECH法が病院と医療システムに与える大きな影響は、医療機関が認証されたEHRSの採用を奨励するMeaningful Useプログラムでした。
NIST、国立標準技術研究所 —米国商務省の一部であるNISTは、重要な医療インフラの所有者が自発的に使用するための標準フレームワーク(バージョン1.1を参照)を作成および改訂します。
HITRUST — 2007年に設立されたこの会社は、医療機関とビジネスリーダーが評価と認定を通じてリスクを管理できるように展開および支援しています。 サイバーセキュリティ攻撃の数が増え続けるにつれて、これらの認定は、すべての組織の PCI(ペリフェラル・コンポーネント・インターコネクト)、 Payment Card Industry の一部としてますます重要になっ ています。この一連の要件は、デジタル移行によって支払いが提供されるすべての業界に及びます。
PCI、クレジットカード業界 — この一連の要件は、デジタルトランジションによって支払いが行われるすべての業界に及んでいます。 医療機関が消費者から直接支払いを受ける場所であればどこでも、PCI(ペリフェラル・コンポーネント・インターコネクト)はサイバーセキュリティインフラの重要な一部であるべきです。
ソフトウェアの問題にはどのように対処すればよいのでしょうか?
実際のところ、プロバイダーが強固なサイバーセキュリティ対策を盛り込んだ技術ソリューションを調達、選択するためにどれだけ努力しても、構成要素の内部に存在する確実な脆弱性には常に対処しなければなりません。 また、プロバイダーがサイバーセキュリティのフレームワークをどれほど熱心に実装しても、エンドポイントと開発者がツールセットに固有の脆弱性に対処しない限り、エンドポイントは依然として脆弱です。
Verimatrixは、ケア施設で使用されるアプリケーションを強化および保護するために独自の方法を用いています。 そして、その優れたものには、彼らのアプローチがどのように機能するかを説明する簡単な比喩があります。 セキュリティを検討するときは、ハッカーがエンドポイントの根底にある弱点を明らかにするために使用するプロセスをリバースエンジニアリングするのが最善です。
ハッカーはこの本を読むことができるでしょうか? — 難読化
このセキュリティの最初の層は、ハッカーがコードを解釈してソフトウェアを読み取るのを困難にします。 ソフトウェアは周知のものなので、あなたがしなければならないのはアプリをダウンロードしてコードを読み始めるだけです。 Verimatrixは、ハッカーや彼らがコードの解釈に使用するツールによってコード自体をはるかに読みにくくすることで、まず顧客を支援します。 これは、さまざまなフォントやテキストサイズを大量に使用し、おまけにそのすべてを細断するのと同じです。
ハッカーは動画を見ることができるでしょうか? —動的分析
次に、ハッカーはより動的な分析に移行し、プロセスの実行方法の「動画を見る」ことを望んでいます。 彼らは、アプリが信頼できるデバイス上でのみ実行されていることを確認します。これにより、ハッカーがアプリケーションの使用中にアプリケーションを再び見るのを防ぐことができます。
ハッカーはインタラクティブなゲームをプレイできるでしょうか? —変更
最後に、ハッカーは本を読んだり映画を見たりしたいだけではありません。 彼らはインタラクティブなゲームをしたいのです! 彼らは、特定のセキュリティ機能を停止させ、コードを改ざんし、あなたがツールでやりとりしたときに何が起こるかを確認したいのです。 Verimatrixは、何らかの特徴が改ざんされた場合、コードの操作をシャットダウンする改ざん検知機能を提供しています。 事実上、これはハッカーがソフトウェアとやりとりするのを防ぎます。
次は何ですか?
私たちのコミュニティとケア組織が感染の第2波、第3波に対応するにつれて、セキュリティリーダーは現在、遠隔医療のこの新しい環境におけるセキュリティリスクの見直しを始めています。 HIPAA規制を緩和するという政府の先見の明のおかげで、米国で遠隔医療へのアクセスが可能になり、多くの命が救われました。 しかし、それらの生命は自由ではありませんでした ; それらは、PHIに対するサイバーセキュリティリスクを根本的に増大させるという犠牲を払ってやって来ました。
ある時点で、危機は終わり、OCRとHHSは、他国の規制当局と同様に、HIPAAの規則や規制に違反したプロバイダー組織へのペナルティーを再開するでしょう。 施設はこれを知っています。 先進的な組織は、すでにベンダーやVerimatrixなどの第三者のセキュリティプロバイダーと協力してリスクを軽減しています。
ソフトウェア開発者にとって、プロバイダー組織は規制当局を満足させようとしているだけではないことを覚えておく価値があります。 現実の生活が危機に瀕しています。 最近 フィンランドでは、心理療法患者のグループ全員がPHIを盗まれました。 その後、ハッカーは施設ではなく個々の患者を脅迫しはじめました。 同様に、ドイツの検察当局は、ある女性の死を大学の医療センターへのサイバー攻撃に結び付けるために取り組ん でいます。
最終的に、最大のリスクは常に、データ侵害が発生したときに患者の信頼を失うことにあります。 この夏の調査によると、回答者の70%が、パンデミックが治まったら遠隔医療の利用に関心があると答えています。 その信頼を損なう可能性のある主要な問題の1つ は、回答者によると、仮想ケアに関するデータ侵害でした。 これらの例は、規制当局は別として、遠隔医療機関と医療技術インテグレーターは、システム、フィード、記録、データ、および生活が、彼らの管理下にあるデジタルインフラへの悪意のある攻撃によってひどく破壊されないように保証することが必要であることを示しています。
遠隔医療に関しては、不正な攻撃から後戻りすることはできません。
