5月、大規模なサイバー攻撃により、全米140の病院を含む医療提供会社アセンションで1カ月近く臨床業務が不能となった。捜査当局は、従業員のコンピュータに感染した悪意のあるランサムウェアが問題の原因であると突き止めた。

医療システムは貴重な個人データ、財務データ、健康データを保持しているため、サイバー犯罪の格好の標的となります。医療情報技術と IT セキュリティの専門家を対象とした 2023 年の調査では、組織の 88% が前年に平均 40 件の攻撃を経験したと報告されました。

重要な脆弱性の 1 つは、IT システムの複雑さの増大である、とテキサス マッコームズ大学の情報、リスク、および運用管理の准教授、フセイン タンリバーディ氏は述べています。これは、数十年にわたる合併と買収により、ますます大規模な複数の病院システムが形成された結果です。

「合併後、必ずしもテクノロジーとケアのプロセスを標準化するとは限りません」とタンリバーディ氏は言う。「医療システムは、さまざまな IT システム、まったく異なるケアプロセス、さまざまなガバナンス構造により、最終的に非常に複雑になります。」

しかし、複雑さがそのような問題の解決策を提供する可能性もあることが、新しい研究で発見されました。同氏は、共著者である香港城市大学のジュヒ・クォン氏、ルイビル大学のイム・ギヨン氏とともに、「適度な複雑さ」によって、さまざまなシステム、ケアプロセス、ガバナンス構造間のコミュニケーションが改善され、サイバー攻撃からの保護が強化されると述べている。事件。

作品は出版された日記でMIS 季刊。

複雑なものと複雑なもの

研究チームは、2009 年から 2017 年にわたる 445 の複数の病院グループからのデータを使用して、複雑さはセキュリティの敵であるというよく繰り返される概念を検討しました。

彼らは、問題の鍵となる 2 つの似たような IT 概念を区別しました。

• 複雑とは、システム内の多数の要素が構造化された方法で相互接続され、情報を共有することです。
• 複雑さは、合併や買収後にシステムを統合する場合など、多数の要素が非構造的な方法で相互接続し、情報を共有するときに発生します。

複雑なシステムには構造があるため、システムが何を行うかを予測して制御することは困難ですが、実行可能だとタンリバーディ氏は言います。これは、接続が構造化されていない複雑なシステムでは不可能です。

タンリバーディ氏は、医療システムが複雑になるにつれて、脆弱性が高まっていることに気づきました。最も複雑なシステム「ある病院から別の病院への医療サービスの紹介が最も多い」場合、侵害される可能性が平均より 29% 高かった。

同氏によると、問題は、そのようなシステムではハッカーが攻撃するためのデータ転送ポイントが増え、人間のユーザーがセキュリティ上のミスを犯す機会が増えることだという。

彼は、次のような他の形態の複雑さにも同様の脆弱性を発見しました。

• 多種多様な医療サービスを取り扱っております健康データ。
• 戦略的決定を企業センターで行うのではなく、加盟病院に分散化します。

データ標準の設定

研究者らはまた、さまざまなシステム間でのデータ共有を管理するための、集中型データ ウェアハウスなどの企業全体のデータ ガバナンス プラットフォームを構築するという解決策も提案しました。このようなプラットフォームは、異なるデータ型を共通のデータ型に変換し、データ フローを構造化し、セキュリティ構成を標準化します。

「彼らは複雑なシステムを複雑なシステムに変えるでしょう」と彼は言います。システムを単純化することで、複雑さのレベルをさらに下げることができます。

彼は、そのようなプラットフォームの作成によるサイバーセキュリティへの影響をテストしました。その結果、最も複雑なシステムでは侵害が最大 47% 減少することが判明しました。

データガバナンスを一元化することでハッカーの侵入経路が減るとタンリバーディ氏は言う。「アクセスポイントが減り、サイバーセキュリティ管理が簡素化され強化されることで、権限のない者が患者データに不正にアクセスする可能性が低くなります。」

同氏は、技術的管理をより強力な人間による管理で補完することも推奨しています。つまり、サイバーセキュリティの実践についてユーザーをトレーニングし、システムのさまざまな部分にアクセスできるユーザーをより適切に規制することです。

タンリヴェルディは、自分のアプローチに矛盾があることを認めています。新しいテクノロジー層に投資すると、最初は IT がより複雑になる可能性があります。しかし、長期的には、これは既存の、そしてより危険な種類の複雑さを抑制する、良い種類の複雑さです。

「実務家は、以前は場当たり的だった情報フローに構造を与える限り、IT の複雑さを受け入れる必要があります」と彼は言います。「テクノロジーが組織化され、適切に管理されていれば、サイバーセキュリティのリスクは軽減されます。」

詳細情報:Hüseyin Tanriverdi 他、複数病院システムのサイバーセキュリティにおける複雑性の抑制: 企業規模のデータ分析プラットフォームの役割、MIS 季刊（2024年）。DOI: 10.25300/MISQ/2024/17752