ニューヨークに拠点を置く非営利医療システム「カトリック・ヘルス」では、データ漏洩により約50万人の患者の個人情報と医療情報が漏洩した可能性がある。エンタープライズ管理ソリューションプロバイダーのServiceaideによると、カトリック・ヘルスが管理するElasticsearchデータベースが不注意で公開され、患者の機密データが漏洩した可能性があるという。
同社は保健福祉省(HHS)に報告した。
Serviceaideは、情報が流出した証拠は見つからなかったものの、その可能性を完全に否定することはできない。
「今回の事案に関して、個人情報の盗難や詐欺の兆候は確認されてい��ませんが、調査の結果、影響を受けたデータに含まれる可能性のある情報には、氏名、社会保障番号、生年月日、医療記録番号、患者アカウント番号、医療/健康情報、健康保険情報、処方箋/治療情報、臨床情報、医療提供者名、医療提供者の所在地、メールアドレス/ユーザー名、パスワードなどが含まれる可能性があることが判明しました。問題となる情報の具体的な種類は個人によって異なります」と同社の声明には記されています。
同社はさらに、影響を受ける可能性のあるデータに情報が含まれていると判断され、有効な郵送先住所を有する個人に通知書を郵送すると付け加えました。「通知書を受け取っていないが、影響を受けているかどうかを知りたい場合は、専用サポートラインまでお電話ください。」
さらに、Serviceaidは顧客に対し、「今回のインシデントが個人情報に影響を与えた可能性があると思われる場合は、口座明細書を確認し、無料の信用情報レポートで異常なアクティビティやエラーがないか確認することで、個人情報窃盗事件への警戒を怠らないようお勧めします」とアドバイスしています。
個人は、3大信用情報機関に連絡して、無料の信用情報レポートの入手方法や、信用情報ファイルに不正行為警告やセキュリティフリーズを設定する方法についてアドバイスを受けることもできます。
長期化するリスク
「Serviceaideの侵害で漏洩した個人情報や医療の機密データの膨大な量は、医療分野全体にわたって強固なサイバーセキュリティ対策が今後も必��要であることを浮き彫りにしています」と、Keeper SecurityのCEO兼共同創設者であるDarren Guccione氏は述べています。 「この規模の侵害の真の影響を判断するには、組織がデータの漏洩範囲を完全に把握し、侵害報告書の正確性を検証し、変化する規制要件に対応しなければならないため、数ヶ月、あるいは数年かかることも珍しくありません。」
カトリック・ヘルスの漏洩データは依然として重大な脅威であると、グッチオーネ氏は述べています。「個人情報、医療情報、金融情報が漏洩すると、なりすまし、医療詐欺、標的型フィッシング攻撃のリスクが高まります。悪用の兆候がすぐに現れない場合でも、盗まれたデータは将来的に表面化し、個人と組織の両方にとってリスクが長期化する可能性があります。被害者は、個人識別情報(PII)の漏洩による被害を軽減するために、オンラインアカウントやアプリのログイン認証情報の変更、ダークウェブ監視サービスを利用して漏洩した認証情報を確認する、信用調査機関を監視または凍結する、一貫したサイバー衛生対策を実施するなど、積極的な対策を講じることができます。」
グッチオーネ氏はさらに、医療リーダーは、サイバーセキュリティが患者の安全の中核を担うだけでなく、専用のリソースと十分な予算を割り当てることで、サイバー脅威に対抗する積極的な姿勢を取る必要があると付け加えています。 「CISA、NIST、HIPAAなどの政府および業界のフレームワークに準拠することは、強力なセキュリティ対策を確実に実施するために不可欠です。」
ゼロトラストの導入
ColorTokensのCISOアドバイザリー担当バイスプレジデントであるAgnidipta Sarkar氏は、今回の侵害は安全でない直接オブジェクト参照(IDOR)の設定ミスが原因で、データがコピーされたという証拠がないまま機密データへの不正アクセスが可能になったと述べています。「これは、ニューヨーク州西部にあるCatholic Healthの75の拠点で医療を受けている個人に影響を与える可能性があり、非常に機密性の高い個人情報や健康情報が漏洩する可能性があるため、個人情報の盗難、金融詐欺、医療詐欺のリスクが高まります。」
Sarkar氏は、サイバーセキュリティチームにとって多くの教訓が得られるものの、実装は複雑だと付け加えます。「これには、設定ミスのリスク、検出の遅延、サードパーティベンダーのリスク、機密データの漏洩、規制への影響の防止が含まれます。医療セキュリティチームは、少なくともIDORの脆弱性を解決し、設定を監査し、変更ガバナンスを強化し、パスワードレスの最小権限アクセスを実装する必要があります。」
これらのコントロールには、チーム間の規律と相関関係、そしてサイバーセキュリティツールへの投資と監視が必要だとサーカー氏は述べている。「より容易な方法は、強化されたアイデンティティガバナンス、マイクロセグメンテーション、ソフトウェア定義境界といったゼロトラスト・メカニズムを導入し、強力なデータ漏洩防止を強化することです。」
侵害は避けられないと想定する
Pathlockの最高技術責任者であるハビブ・ロシュ氏は、最近の攻撃はCISOが「侵害は避けられないと想定する」という考え方に基づいて業務を遂行する必要性の重要性を浮き彫りにしていると述べている。「問題は、侵入されるかどうかではなく、次に何が起こるかです。具体的には、セキュリティリーダーはいくつかの重要な要素に基づいた戦略を組み込む必要があります。」
まず、ロシュ氏は、収益、信頼、あるいは業務を推進するシステムとデータといった、最も重要な資産を特定する必要があると述べている。 「第二に、重要なワークロードをセグメント化し、分離することは、ラテラルムーブメント(横方向の移動)を防ぐ上で重要です。第三に、リカバリ重視のインフラへの投資が必要です。このタスクには、高速リストア機能を備えた不変のバックアップの導入が含まれます。また、環境を迅速に再展開するために、インフラストラクチャ・アズ・コード(IaaS)を組み込むことも前提としています。最後に、モジュール式フェイルオーバーを実現するサーバーレスまたはコンテナベースのサービス、そしてリアルタイム監査とドリフト検出機能を備えた特権アクセスガバナンスが不可欠です。」
この戦略における最後でありながら重要な要素は、実環境下でレジリエンスを継続的にテストすることだとロシュ氏は締めくくります。「テストしなければ、肝心な時に機能しません。机上演習、レッドチーム演習、リカバリのドライランは、標準的なプラクティスでなければなりません。」
今日の現代的なセキュリティプログラムは、どれだけ多くの攻撃をブロックするかではなく、攻撃を受けた際にどれだけ確実にリカバリできるかによって定義されます。レジリエンスは今や最も重要なコントロールです。