将来に備える: ライフサイエンスのサイバーセキュリティの脅威

by Danilo Maruccia, Executive Consultant and Stephen Tyrpak Associate Vice President of MD Operations; US & Canada @ PQE Group

2022年のグローバルなマルウェア、ランサムウェア、フィッシング攻撃と、2023年のCIOの懸念事項について。

2022年の前半、世界で28億件に上るマルウェア攻撃 [1]があり、23610万件のランサムウェア攻撃 [2]が確認された。2022年末までに、60億件のフィッシング攻撃[3]がなされると予測された [4]。2023年を迎えても、サイバーセキュリティはCIOを悩ます案件のトップにあり続ける [5]。これは驚く事ではない。 

サイバー犯罪者は、ここ数年ヘルスケア企業に対するサイバーアタックに関わっている。そしてランサムウェアは、それに対する対策にも関わらず、問題で有り続けている。データの破壊はありふれた問題であり、企業は脆弱なままである。脅威は進化していて、攻撃ベクトルの多様によって、より巧妙、効果的になっている。マネージドサービスのプロバイダ、サプライチェーン、およびオープンソースソフトウェアは、狙われやすい対象である。政府が防衛により熱心になっている間、ヘルスケア企業は、それらの防御においてかつて無く大きな役割を担っている。[6]

Cybersecurity Threats for Life Sciences_blog sito

ランサムウェア攻撃:サイバーランドスケープにおける永続的な脅威と適応の必要性

脅威がより大きくなり、攻撃者が継続的に戦略と手法を変え続けていることで、企業はハッカーや彼らの侵入活動のかつてない増加に否応なく対応し続けねばならない [7]。ランサムウェア攻撃は、今日では恒常的なサイバー攻撃分野であり、件数の増加と巧妙化が見られる。ランサムウェア・アズ・ア・サービス(RaaS)の提供者は継続的にソフトウェアを改良しており、ターゲットに対してランサムウェアを仕掛けるために、RaaSあまり技術知識の無い–  多様な攻撃者が容易に利用できるようになっている。新たな枠組みは、ランサムウェアを設定し、保守する中心的な開発者のグループと支払サイト、そして犠牲者のネットワークを破壊してデバイスを暗号化する要員で構成されている。ランサムウェアの影響の重大さと拡大によって、米国サイバーセキュリティおよびインフラストラクチャエージェンシーは、ランサムウェアに関するガイダンスを発行した[8]。 

ヘルステクノロジー、医薬品、バイオテクノロジー、医療機器を含むライフサイエンスおよびヘルスケアプロバイダーへの攻撃は、ここ数年急激に増加していて、WHOも含めて、2020年の攻撃数の5倍にも上っている[9]。これらの企業に対するデータロスとランサムウェア攻撃の増加は、企業や組織を危険に晒し、医療製品や機器を無効にしてしまう。リスクは以下の壊滅的な状況をもたらしかねない: 

  • 患者の安全/ 
  • 知的財産の盗難 
  • 法的責任の訴訟 
  • 規制による罰則と罰金 
  • 風評被害 

進行中の活動に基づいて、サイバーセキュリティとプライバシーリスクの緩和のために、いくつかのステップを採用する[10]。以下の項目を含む: 

  • 潜在的なリスクと脆弱性の存在を特定するために、プライバシーまたはセキュリティリスクのアセスメントを実施し、特定されたリスクと脆弱性の緩和のために外部の顧問と協働する; 
  • 実在するプライバシーとセキュリティのポリシー、およびサイバーセキュリティ保険の補償範囲を評価し、障害時のコストを推定し、保証範囲のギャップを明確にする; 
  • 企業全体での個人情報の収集と保管手段を評価し、州、連邦、国際データ収集法などへの適合を達成する 
  • フィッシング、ランサムウェアの発見に関するベストプラクティスに関して、情報テクノロジー以外のあらゆるスタッフにトレーニングを実施する。(例、攻撃者の攻撃方法、攻撃者の狙い、脅威の発見と報告のための実践的助言) 
  • 危害を防止するために、ベンダーとの契約書にある補償、データ利用の制限、および他の条項の定期的な内容のレビュー 

つながる医療の未来:可能性とサイバーセキュリティ上のリスク

我々は、ヘルスケアの未来は医薬品と結びついていると信じている。統合された医薬/バイオテクノロジー製品と医療機器の可能性は無限である。それは、pH値や劣化を記録したり、患者や医師に感染症や合併症の通知ができる膝関節のインプラントのようなイノベーションを含んでいる。他の事例は、医師に診断結果をフィードバックして、薬理的な診療の最適化を支援する心臓弁や緩和ケア中の癌患者に癌の再発の診断結果を提示するような皮下埋め込み型のチップなどを含む。 

これらは有りそうに無いと思われるけれども、ペースメーカーが心疾患の人を救うと誰も信じない時期があった。これら全てに共通することは、それらが市場に導入される際には、適切なソフトウェアやIT通信に依存し、サイバーセキュリティの新たなレベルへの対応を求められる。今後、ほとんどのサイバーセキュリティの懸念は、患者と診療機関の情報の保護に集約され、それは重大でコスト負担が甚大である。どうあろうとも、技術の進歩に従って、サイバーセキュリティの脅威は企業の収益、名声、人々の生活に負担となる。 

医薬、バイオテクノロジーおよび医療機器企業は、強力なサイバーセキュリティ対策が埋め込まれた製品設計を行う必要があり、同時に適切なサイバーセキュリティリスクの評価をエキスパートの協力を得て実施する必要がある。技術は継続的に進歩するので、サイバーセキュリティに関して製品に影響する実際のリスクの特定のために、特別な専門家が重要である。全てのリスクマトリックスと同様に、潜在的な脅威を理解しなければリスクの緩和は困難である。 

結論

近年のランサムウェア攻撃の急増により、医療ビジネスはサイバー攻撃の可能性にますます懸念を抱いている。患者の安全性、知的財産の盗難、法的な影響、規制による罰金、評判への悪影響など、これらの攻撃の壊滅的な影響は数多くある。プライバシーとセキュリティのリスクアセスメント、プライバシーとセキュリティポリシーの見直し、スタッフトレーニング、ベンダー契約における免責条項の適用など、リスクを軽減するために積極的な対策が必要である。

技術が進化すると同時に、可能性のある攻撃から保護するため、医療企業は製品設計に強力なサイバーセキュリティ対策を組み込む必要がある。新製品に関連するリスクを検出し軽減するため、サイバーセキュリティの専門知識は非常に重要と考える。

***

PQEグルーブは、ISO9000認証を取得した、ライフサイエンス産業に特化したテクノロジーソリューションおよびコンプライアンスコンサルティングサービス企業であり、製品のライフサイクル全体を通じて、グローバルにその能力を提供可能である。創設は1998年であり、PQEは世界で30の事業所をゆうし、1500名以上の産業課題のプロフェッショナルを擁している。PQEはデータインテグリティ保証、デジタルガバナンスとサイバーセキュリティ、医療機器、検証とエンジニアリング、ラボラトリーエクセレンス、品質コンプライアンス、規制関連業務およびサードパーティ監査を含む分野に特化している。さらに、小規模、中規模、スタートアップ医薬、バイオテクノロジー、医療機器のクライアントと同様に、巨大な多サイトのプロジェクトの管理実績を有している。 

PQE グループの高度に専門的な産業課題のエキスパートは企業のITシステムがランサムウェア、ハッカー、および他のサイバー脅威に対する安全の実現支援を行う事が可能であるPQEグループとのパートナー契約により、FDA(および他の規制機関)へのコンプライアンスを維持し、製品の安全な開発及び製造を実現できる。 

参照

  1. Number of malware attacks per year 2022 | Statista 
  2. Number of ransomware attacks per year 2022 | Statista
  3. Phishing attack statistics 2022 (cybertalk.org)  
    (https://www.techrepublic.com/article/top-cybersecurity-threats/)
  4. Cybersecurity Tops the CIO Agenda as Threats Continue to Escalate - WSJ 
  5. Title (hhs.gov)Title (hhs.gov) 
    mandiant cyber security forecast 2023 - Search (bing.com)Title (hhs.gov) 
  6. CISA MS-ISAC Ransomware
  7. Guide2020: The Year the COVID-19
  8. Crisis Brought a Cyber Pandemic (govtech.com) 
  9. 2020: The Year the COVID-19 Crisis Brought a Cyber Pandemic (govtech.com)
  10. Cybersecurity and Privacy Threats and Risks for Life Sciences and Healthcare Companies (orrick.com) 

     



さらに詳しく

PQE Groupは、お客様のサイバーセキュリティが最高水準であることを確認し、可能な脆弱性を分析・解決し、将来の問題を予防するの総合的なアプローチを開発しました。

医療機器におけるサイバーセキュリティ対策について    お問い合わせ