Fox on Security

セキュリティリサーチャー(自称)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

英国民保険サービス(NHS)のパッチ当て

ZDNet Japanの10月30日記事を見て、考えてみたのですが、人の命を守る機器についてのパッチ当てというものは、訴訟問題にも発展しかねないので慎重になる医療機関が多いのかも知れませんね。

japan.zdnet.com

  • IT部門からパッチ適用の緊急警告を受けていた

結果、セキュリティに関する基本的なベストプラクティスが適用されていれば、WannaCryの被害を食い止められていた可能性がある

 

まったくもってその通りなのですが、パッチを当てたら動かなくなる(医療継続ができなくなる)。端末更新の予算が十分に取られてない。という問題があったとすると、病院側が抵抗したであろう事も予想がつきます。

 

だとすれば、パッチを当てられない事を前提とした、セキュリティ設計を考えるべきだったのかなと思いました。少なくても閉域網(クローズド環境)は維持していたとは思いますが、ネットワークが外部と接続している部分の脆弱性診断やFW、ネットワーク監視などが出来たのではないかな、、、と想像します。