ENISA 健康分野のサイバーセキュリティ状況 (2023.07.05)
こんにちは、丸山満彦です。
ENISAが、健康分野のサイバーセキュリティ状況(2021-2023)を公表していますね。。。
健康分野のインシデントの54%がランサムウェアということのようですね。。。比較的ランサムウェア比率が高いようです。業務がクリティカルな割に、対策が十分ではないので、狙いやすいということなんでしょうかね。。。
● ENISA
・2023.07.05 Checking-up on Health: Ransomware Accounts for 54% of Cybersecurity Threats
| Checking-up on Health: Ransomware Accounts for 54% of Cybersecurity Threats | 健康分野をチェックする:サイバーセキュリティ脅威の54%をランサムウェアが占める |
| The European Union Agency for Cybersecurity (ENISA) releases today its first cyber threat landscape for the health sector. The report found that ransomware accounts for 54% of cybersecurity threats in the health sector. | 欧州連合サイバーセキュリティ機関(ENISA)は本日、健康分野における初のサイバー脅威の状況を発表した。同報告書によると、健康分野におけるサイバーセキュリティの脅威の54%はランサムウェアである。 |
| The comprehensive analysis maps and studies cyberattacks, identifying prime threats, actors, impacts, and trends for a period of over 2 years, providing valuable insights for the healthcare community and policy makers. The analysis is based on a total of 215 publicly reported incidents in the EU and neighbouring countries. | この包括的な分析では、サイバー攻撃をマッピングして研究し、2年以上の期間にわたって主要な脅威、脅威行為者、影響、傾向を特定し、医療コミュニティや政策立案者に貴重な洞察を提供している。この分析は、EUおよび近隣諸国で公に報告された合計215件のインシデントに基づいている。 |
| Executive Director of the European Union Agency for Cybersecurity (ENISA), Juhan Lepassaar, said: “A high common level of cybersecurity for the healthcare sector in the EU is essential to ensure health organisations can operate in the safest way. The rise of the covid-19 pandemic showed us how we critically depend on health systems. What I consider as a wake-up call confirmed we need to get a clear view of the risks, the attack surface and the vulnerabilities specific to the sector. Access to incident reporting data must therefore be facilitated to better visualise and comprehend our cyber threat environment and identify the appropriate mitigation measures we need to implement.” | 欧州連合サイバーセキュリティ機関(ENISA)のジュハン・レパサール事務局長は、次のように述べている: 「医療機関が最も安全な方法で活動できるようにするためには、EUにおける健康分野のサイバーセキュリティの高い共通レベルが不可欠である。Covid-19の大流行は、私たちがいかに医療システムに依存しているかを示した。私が警鐘を鳴らしたと考えるのは、このセクターに特有のリスク、攻撃対象、脆弱性を明確に把握する必要があることを確認したことだ。したがって、インシデント報告データへのアクセスを容易にし、サイバー脅威環境をよりよく可視化し、理解し、実施すべき適切な軽減策を特定する必要がある。 |
| The findings | 調査結果 |
| The report reveals a concerning reality of the challenges faced by the EU health sector during the reporting period. | 報告書は、報告期間中にEUの健康分野が直面した課題について、懸念すべき現実を明らかにしている。 |
| Widespread incidents. The European health sector experienced a significant number of incidents, with healthcare providers accounting for 53% of the total incidents. Hospitals, in particular, bore the brunt, with 42% of incidents reported. Additionally, health authorities, bodies and agencies (14%), and the pharmaceutical industry (9%) were targeted. | 広範なインシデント。 欧州の健康分野は相当数のインシデントに見舞われ、医療プロバイダがインシデント全体の53%を占めた。特に病院がその矢面に立たされ、報告されたインシデントの42%を占めた。 さらに、保健当局、団体、機関(14%)、製薬業界(9%)が標的となった。 |
| Ransomware and data breaches. Ransomware emerged as one of the primary threats in the health sector (54% of incidents). This trend is seen as likely to continue. Only 27% of surveyed organisations in the health sector have a dedicated ransomware defence programme. Driven by financial gain, cybercriminals extort both health organisations and patients, threatening to disclose data, personal or sensitive in nature. Patient data, including electronic health records, were the most targeted assets (30%). Alarmingly, nearly half of all incidents (46%) aimed to steal or leak health organisations' data. | ランサムウェアとデータ侵害 ランサムウェアは、健康分野における主要な脅威の1つに浮上した(インシデントの54%)。この傾向は今後も続くと見られている。健康分野の調査対象組織のうち、ランサムウェア専用の防御プログラムを導入しているのはわずか27%に過ぎない。 金銭的な利益を追求するサイバー犯罪者は、医療機関と患者の双方を脅し、個人データや機密データを開示させる。 電子カルテを含む患者データが最も狙われた資産であった(30%)。驚くべきことに、インシデントの約半数(46%)が医療機関のデータの窃盗や漏洩を目的としていた。 |
| Impact and lessons learned by the COVID-19 Pandemic. It is essential to note that the reporting period coincided with a significant portion of the COVID-19 pandemic era, during which the healthcare sector became a prime target for attackers. Financially motivated threat actors, driven by the value of patient data, were responsible for the majority of attacks (53%). The pandemic saw multiple instances of data leakage from COVID-19-related systems and testing laboratories in various EU countries. Insiders and poor security practices, including misconfigurations, were identified as primary causes of these leaks. The incidents serve as a stark reminder of the importance of robust cybersecurity practices, particularly in times of urgent operational needs. | COVID-19パンデミックの影響と教訓 報告期間は、COVID-19パンデミック時代のかなりの部分と重なり、その間に健康分野が攻撃者の格好の標的となったことに注意する必要がある。患者データの価値を原動力とする金銭的動機に基づく脅威行為者が、攻撃の大部分(53%)を担っていた。 パンデミックでは、EU各国のCOVID-19関連システムや検査機関からデータが流出する事例が多発した。これらの流出の主な原因として、設定ミスを含むインサイダーと不十分なセキュリティ慣行が特定された。これらのインシデントは、特に緊急の業務が必要な場合において、強固なサイバーセキュリティの実践の重要性を痛感させるものである。 |
| Vulnerabilities in Healthcare Systems. Attacks on healthcare supply chains and service providers resulted in disruptions or losses to health organisations (7%). Such types of attacks are expected to remain significant in the future, given the risks posed by vulnerabilities in healthcare systems and medical devices. A recent study by ENISA revealed that healthcare organisations reported the highest number of security incidents related to vulnerabilities in software or hardware, with 80% of respondents citing vulnerabilities as the cause of more than 61% of their security incidents. | 医療システムの脆弱性。 ヘルスケアのサプライチェーンやプロバイダに対する攻撃は、医療機関に混乱や損失をもたらした(7%)。医療システムや医療機器の脆弱性がもたらすリスクを考えると、このようなタイプの攻撃は今後も重要であると予想される。ENISAによる最近の調査では、ソフトウェアまたはハードウェアの脆弱性に関連するセキュリティインシデントの報告数が医療機関が最も多く、回答者の80%がセキュリティインシデントの61%以上の原因が脆弱性にあると回答していることが明らかになった。 |
| Geopolitical Developments and DDoS Attacks. Geopolitical developments and hacktivist activity led to a surge in Distributed Denial of Service (DDoS) attacks by pro-Russian hacktivist groups against hospitals and health authorities in early 2023, accounting for 9% of total incidents. While this trend is expected to continue, the actual impact of these attacks remains relatively low. | 地政学的動向とDDoS攻撃。地政学的動向とハクティビストの活動により、2023年初頭には親ロシア派のハクティビスト・グループによる病院や医療当局に対する分散型サービス拒否(DDoS)攻撃が急増し、インシデント全体の9%を占めた。この傾向は今後も続くと予想されるが、これらの攻撃による実際の影響は比較的低いままである。 |
| The incidents examined in the report had significant consequences for health organisations, primarily resulting in breaches or theft of data (43%) disrupted healthcare services (22%) and disrupted services not related to healthcare (26%). The report also highlights the financial losses incurred, with the median cost of a major security incident in the health sector estimated at €300,000 according to the ENISA NIS Investment 2022 study. | 報告書で調査されたインシデントは、主にデータの漏洩や盗難(43%)、医療サービスの中断(22%)、医療とは関係のないサービスの中断(26%)をもたらし、医療機関に重大な影響を与えた。 また、ENISA NIS Investment 2022の調査によると、医療セクターにおける大規模なセキュリティインシデントのコストの中央値は30万ユーロと推定されており、報告書は、発生した金銭的損失にも焦点を当てている。 |
| Patient safety emerges as a paramount concern for the health community, given potential delays in triage and treatment caused by cyber incidents. | サイバーインシデントによってトリアージや治療に遅れが生じる可能性があることから、患者の安全が医療界にとって最も重要な懸念事項として浮上している。 |
| New report from the NIS Cooperation Group | NIS協力グループの新報告書 |
| The NIS Cooperation Group releases today its report on “Threats and risk management in the health sector – Under the NIS Directive”. As a first assessment on the measures currently in place, the study sheds light on the different cybersecurity challenges in risk mitigation faced by the EU health sector. Together with relevant threat taxonomies and cyber incident data, the report discloses business continuity and mitigation recommendations to limit the likelihood and impacts of a cyber related incident. | NIS協力グループは本日、「健康分野における脅威とリスクマネジメント-NIS指令の下で-」に関する報告書を発表した。現在実施されている対策の最初のアセスメントとして、本研究はEUの健康分野が直面するリスク低減におけるサイバーセキュリティのさまざまな課題に光を当てている。関連する脅威分類とサイバーインシデントデータとともに、報告書はサイバー関連インシデントの可能性と影響を制限するための事業継続と低減に関する推奨事項を開示している。 |
| Background | 背景 |
| The ENISA threat landscape reports map the cyber threat landscape to help decision makers, policy makers and security specialists define strategies to defend citizens, organisations and cyberspace. | ENISAの脅威状況報告書は、意思決定者、政策立案者、セキュリティ専門家が、市民、組織、サイバー空間を守るための戦略を定義するのに役立つよう、サイバー脅威の状況をマッピングしている。 |
| The report’s content is gathered from open sources such as media articles, expert opinions, intelligence reports, incident analysis and security research reports; as well as through the members of the ENISA Cyber Threat Landscapes Working Group (CTL working group). | 報告書の内容は、メディア記事、専門家の意見、インテリジェンスレポート、インシデント分析、セキュリティリサーチレポートなどのオープンソースや、ENISAサイバー脅威状況ワーキンググループ(CTLワーキンググループ)のメンバーを通じて収集される。 |
| The analysis and views of the threat landscape by ENISA is meant to be industry and vendor neutral. Information based on OSINT (Open-Source Intelligence) and the work of ENISA on Situational Awareness also helped document the analysis presented in the report. | ENISAによる脅威の分析および見解は、業界およびベンダーに中立であることを意図している。また、OSINT(オープンソースインテリジェンス)に基づく情報やENISAの状況認識に関する作業も、本報告書に掲載された分析の文書化に役立った。 |
| Further Information | 詳細情報 |
| Health Threat Landscape – ENISA report 2023 | 健康分野の脅威の展望 - ENISAレポート2023 |
| ENISA topic: Health | ENISAのトピック 健康分野 |
| ENISA topic: Cyber threats | ENISAのトピック サイバー脅威 |
| CSIRT capabilities in healthcare sector – ENISA report 2021 | 健康分野におけるCSIRTの能力 - ENISAレポート 2021年 |
| Cloud security for healthcare services – ENISA report 2021 | 健康サービスのクラウドセキュリティ - ENISAレポート2021 |
| Procurement guidelines for cybersecurity in hospitals | 病院におけるサイバーセキュリティのための調達ガイドライン |
・2023.07.05 Health Threat Landscape
| Health Threat Landscape | 医療の脅威の状況 |
| This is the first analysis conducted by the European Union Agency for Cybersecurity (ENISA) of the cyber threat landscape of the health sector in the EU. The report aims to bring new insights into the reality of the health sector by mapping and studying cyber incidents from January 2021 to March 2023. It identifies prime threats, actors, impacts and trends based on the analysis of cyberattacks targeting health organisations over a period of more than 2 years. | 本報告書は、欧州連合サイバーセキュリティ機関(ENISA)が実施した、EUにおける健康分野のサイバー脅威状況に関する初の分析である。本報告書は、2021年1月から2023年3月までのサイバーインシデントをマッピングし調査することで、健康分野の実態に新たな洞察をもたらすことを目的としている。2年以上にわたる医療機関を標的としたサイバー攻撃の分析に基づき、主要な脅威、行為者、影響、傾向を特定している。 |
・[PDF]
目次...
| 1. INTRODUCTION | 1. 序文 |
| 2. THREATS | 2. 脅威 |
| 2.1 RANSOMWARE | 2.1 ランサムウェア |
| 2.2 THREATS AGAINST DATA | 2.2 データに対する脅威 |
| 2.3 DENIAL OF SERVICE ATTACKS | 2.3 サービス妨害攻撃 |
| 2.4 MALWARE | 2.4 マルウェア |
| 2.5 SOCIAL ENGINEERING THREATS | 2.5 ソーシャル・エンジニアリングによる脅威 |
| 2.6 SUPPLY-CHAIN ATTACKS | 2.6 サプライチェーン攻撃 |
| 2.7 ERRORS, MISCONFIGURATIONS AND POOR SECURITY PRACTICES | 2.7 誤り、設定ミス、不十分なセキュリティ慣行 |
| 2.8 MISINFORMATION/DISINFORMATION | 2.8 誤情報/偽情報 |
| 2.9 INTRUSION | 2.9 侵入 |
| 3. THREAT ACTORS AND MOTIVATION | 3. 脅威行為者と動機 |
| 3.1 CYBERCRIMINALS | 3.1 サイバー犯罪者 |
| 3.2 HACKTIVISTS | 3.2 ハクティビスト |
| 4. IMPACT | 4. 影響 |
| 4.1 BREACH OR THEFT OF DATA | 4.1 データ侵害または盗難 |
| 4.2 DISRUPTION OF HEALTHCARE SERVICES | 4.2 医療サービスの中断 |
| 4.3 DISRUPTION OF SERVICES NOT RELATED TO HEALTHCARE | 4.3 医療に関連しないサービスの中断 |
| 4.4 PATIENT SAFETY | 4.4 患者の安全 |
| 5. CONCLUSIONS | 5. 結論 |
エグゼクティブサマリー...
| EXECUTIVE SUMMARY | エグゼクティブサマリー |
| This is the first analysis conducted by the European Union Agency for Cybersecurity (ENISA) of the cyber threat landscape of the health sector in the EU. The report aims to bring new insights into the reality of the health sector by mapping and studying cyber incidents from January 2021 to March 2023. It identifies prime threats, actors, impacts and trends based on the analysis of cyberattacks targeting health organisations over a period of more than 2 years. | 本報告書は、欧州連合サイバーセキュリティ機関(ENISA)が実施した、EUにおける健康分野のサイバー脅威状況に関する初の分析である。本報告書は、2021年1月から2023年3月までのサイバーインシデントをマッピングして調査することにより、健康分野の実態に新たな洞察をもたらすことを目的としている。2年以上にわたる医療機関を標的としたサイバー攻撃の分析に基づき、主要な脅威、行為者、影響、傾向を特定している。 |
| During this period, the European health sector faced a significant number of incidents. EU healthcare providers (53% of the total incidents), and especially hospitals (42%) were particularly affected. We also observed incidents targeting health authorities, bodies and agencies (14%) and attacks to the pharmaceutical industry (9%). | この期間、欧州の医療セクターは相当数のインシデントに直面した。EUの医療プロバイダ(インシデント全体の53%)、特に病院(42%)が特に被害を受けた。また、保健当局、団体、機関を標的としたインシデント(14%)、製薬業界への攻撃(9%)も確認された。 |
| Ransomware is one of the prime threats in the health sector (54%), both in the number of incidents but also in its impact on health organisations. We expect this trend to continue. In fact, 43% of ransomware incidents are coupled with a data breach or data theft, while disruptions are the other common effect of the attack. Almost half of total incidents (99 incidents, 46%) are a form of threat against the data of health organisations (data breaches, data leaks). Data related threats continue to be one of the main threats in the sector, not only for Europe but also globally. | ランサムウェアは、インシデントの数だけでなく、医療機関への影響においても、健康分野における主要な脅威のひとつである(54%)。この傾向は今後も続くと予想される。実際、ランサムウェアのインシデントの43%は、データ漏洩やデータ盗難と関連しており、攻撃による他の一般的な影響としては混乱がある。インシデント全体のほぼ半分(99件、46%)は、医療機関のデータに対する脅威(データ侵害、データ漏えい)である。データ関連の脅威は、ヨーロッパのみならず世界的にも、この分野における主要な脅威のひとつであり続けている。 |
| It is important to note that the reporting period covers a large part of the Covid-19 pandemic era, when the healthcare sector was one of the prime victims of cyber attackers. During the reporting period, cybercriminals had the heaviest impact on the sector, in particular ransomware threat actors driven by financial gain (53%). This is linked to the increase in ransomware attacks in general but also to the value of patient data including electronic health records. In fact, patient data were the most targeted assets (30%) throughout the reporting period. | 報告対象期間は、健康分野がサイバー攻撃者の主要な犠牲者の一人であったCovid-19パンデミック時代の大部分をカバーしていることに留意することが重要である。報告期間中、サイバー犯罪者はこのセクターに最も大きな影響を及ぼし、特に金銭的利益(53%)を目的としたランサムウェア脅威行為者が多かった。これは、一般的なランサムウェア攻撃の増加だけでなく、電子カルテを含む患者データの価値とも関連している。実際、報告期間中、患者データは最も標的とされた資産(30%)であった。 |
| The pandemic caused data leakage of patient data from Covid-19 related systems or from testing laboratories on multiple occasions and in multiple countries. These leaks were either due to the collaboration of malicious insiders or, in most cases, accidental due to poor security practices and misconfigurations. These incidents offer lessons to be learned on poor cybersecurity practises when there are pressing operational needs, in this case even more pressing due to the pandemic. | パンデミックにより、Covid-19に関連するシステムや検査室からの患者データの流出が複数回、複数の国で発生した。これらの情報漏えいは、悪意のある内部関係者の協力によるものか、ほとんどの場合、セキュリティ対策の不備や設定ミスによる偶発的なものであった。これらのインシデントは、差し迫った業務上のニーズがある場合、サイバーセキュリティの不備について学ぶべき教訓を提供するものであり、今回はパンデミックのためにさらに差し迫ったものであった。 |
| Attacks on healthcare supply chain and service providers caused disruptions or losses to organisations in the health sector (7%). We assess that these types of attacks will remain highly relevant for the sector in the future, especially in conjunction with the risks posed by vulnerabilities in healthcare systems and medical devices. In a recent ENISA study, healthcare was the sector that declared the most security incidents related to vulnerabilities in software or hardware. Indeed, 80% of the healthcare organisations interviewed declared that more than 61% of their security incidents were caused by vulnerabilities. | ヘルスケアのサプライチェーンやサービスプロバイダーに対する攻撃は、健康分野の組織に混乱や損失をもたらした(7%)。この種の攻撃は、特に医療システムや医療機器の脆弱性がもたらすリスクと関連して、今後も医療セクターにとって大きな意味を持ち続けると我々は評価している。最近のENISAの調査では、ソフトウェアやハードウェアの脆弱性に関連するセキュリティ・インシデントが最も多かったのは健康分野だった。実際、インタビューに応じた医療機関の80%が、セキュリティ・インシデントの61%以上が脆弱性によって引き起こされたと回答している。 |
| Geopolitical developments and hacktivist activity increased the number of DDoS attacks against hospitals and health authorities in early 2023, reaching 9% of total incidents. This was due to a surge in DDoS attacks by pro-Russian hacktivist groups who aimed to disrupt healthcare providers and health authorities in the EU. We expect this trend to continue; however the actual impact of these attacks remains relatively low. | 地政学的な動きとハクティビストの活動により、2023年初頭には病院や医療機関に対するDDoS攻撃の件数が増加し、インシデント全体の9%に達した。これは、EUの医療プロバイダや医療当局を混乱させることを目的とした親ロシア派のハクティビスト集団によるDDoS攻撃が急増したためである。この傾向は今後も続くと予想されるが、これらの攻撃による実際の影響は比較的低いままである。 |
| In terms of impact, the incidents observed caused mainly breaches or theft of data (43%), disrupted healthcare services (22%) and other services not related to healthcare (26%). Data breaches affected healthcare entities in 40% of the total number of incidents, and, in particular, hospitals (27%) and primary care (8%). Disruption of healthcare services took place when healthcare entities (82%) and health authorities (12%) were disrupted. | 影響という点では、観測されたインシデントは、主にデータの漏洩または盗難(43%)、医療サービスの中断(22%)、医療とは関係のないその他のサービス(26%)を引き起こした。データ漏洩が医療事業体に影響を与えたのはインシデント総数の40%で、特に病院(27%)とプライマリーケア(8%)であった。医療サービスの中断は、医療事業体(82%)と保健当局(12%)が中断された場合に起こった。 |
| Other impacts include financial losses but this is an impact which is difficult to assess. The ENISA NIS Investment 2022 study indicates that the median cost of a major security incident in the health sector is 300 000 Euro. We also observed sanctions imposed by data protection authorities as well as reputational harm to healthcare providers after major data breaches. | その他の影響としては、経済的損失が挙げられるが、これは評価が難しい影響である。ENISA NIS Investment 2022の調査によると、健康分野における大規模なセキュリティ・インシデントのコストの中央値は300,000ユーロである。また、データ保護当局による制裁や、大規模なデータ漏えい後の医療プロバイダへの風評被害も確認されている。 |
| Patient safety remains a top concern for the health community due to potential delays in the triage and treatment of patients, or due to potential effects on the well-being of patients whose sensitive information is being revealed or who are being subjected to extortion. | 患者の安全性は、患者のトリアージや治療に遅れが生じたり、機密情報が漏えいしたり、恐喝を受けたりする患者の幸福に影響を及ぼす可能性があるため、医療界にとって依然として最大の懸念事項である。 |
| According to a recent study by ENISA, only 27% of organisations surveyed in the health sector have a dedicated ransomware defence programme and 40% of the original equipment suppliers (OES) surveyed have no security awareness programme for non-IT staff. In another recent survey by the NIS cooperation group, 95% of the health organisations surveys face challenges when performing risk assessments, while 46% have never performed a risk analysis. These findings highlight the pressing need for health organisations to apply cyber hygiene practices. These may include offline encrypted backups of critical data, awareness raising and training programmes for healthcare professionals, vulnerability handling and patching, stronger authentication methods, cyber incident response plans and contingency plans, and more. The commitment of senior management is key, especially now that the NIS2 directive introduces liabilities for top management. | ENISAの最近の調査によると、医療セクターの調査対象組織のうち、ランサムウェア対策に特化したプログラムを実施しているのはわずか27%に過ぎず、調査対象となった相手先商標製品供給会社(OES)の40%は、非ITスタッフ向けのセキュリティ意識向上プログラムを実施していない。NIS協力グループによる別の最近の調査では、調査対象の医療機関の95%がリスクアセスメントを実施する際に課題に直面しており、46%はリスク分析を実施したことがない。これらの調査結果は、医療機関がサイバー衛生を実践することが急務であることを浮き彫りにしている。これには、重要データのオフライン暗号化バックアップ、医療従事者の意識向上およびトレーニングプログラム、脆弱性ハンドリングおよびパッチ適用、認証方法の強化、サイバーインシデント対応計画および危機管理計画などが含まれる。特に、NIS2指令が経営トップの責任を導入した現在では、経営幹部のコミットメントが鍵となる。 |
« 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27) | Main | 欧州委員会 安全で信頼できるEUと米国のデータフローに関する新たな十分性認定を採択 »
Comments