すだちの国からIT界隈をざわざわさせる、徳島県つるぎ町立半田病院のランサムウェア調査報告書(災害拠点病院でIT担当者が1人)。
-
nfujita55a
- 266108
- 1354
- 627
- 1024
-
- いいね!1024
②報告書が批判する事業者・ベンダーとの契約は?
ふじた_🐱♨️💻雑用係
@nfujita55a
FortigateのSSLVPN脆弱性つつかれた半田病院の報告書を見てるけど、山場はここだな ・アプリケーションはC社、Fortigate含むインフラはA社(黄色箇所)という契約形態 ・A社と稼働後のサポート契約してない(水色箇所) ……そもそも契約・役割分担の不手際。技術云々でどうにかなる事項ではない。 pic.twitter.com/tCkISbw2NK
2022-06-18 15:44:55
拡大
ふじた_🐱♨️💻雑用係
@nfujita55a
ハードベンダーA社と契約解消済みだから、対応でA社から紹介されたB社が出てくる。町にせっつかれるB社にはご愁傷さまとしか言いようがない。 「ハードベンダーA社と契約解消済み」って明確に書かないから読んでて「?」いっぱいになる。報告書として筋が悪い(町が悪くなるから書けなかったのか) pic.twitter.com/BcuTDf6UZn
2022-06-18 15:51:24
拡大
ふじた_🐱♨️💻雑用係
@nfujita55a
町(病院)とA社(ハード納入ベンダー)は ・ハードの保守契約:している ・運用支援契約:してない ってことっぽい。それは必要な脆弱性の情報を調査するところから町(病院)の役目だわ…… pic.twitter.com/aWlME2bkzT
2022-06-18 16:01:42
拡大
ふじた_🐱♨️💻雑用係
@nfujita55a
@yuki1202dam おそらく ・ハードの保守契約は契約済み → パッチは取得できるし、壊れたらセンドバック保守とかで交換、この場合、パッチ適用や情報収集は持ち主の責務 ・ハードの運用支援契約はしてない → 案内が来ることはない ではないかな、と。肝心のここが報告書にのってない💦
2022-06-18 17:32:46
ふじた_🐱♨️💻雑用係
@nfujita55a
半田病院で報告書で槍玉にされてるA社やC社はどこよ……と思って検索したら、あっさりとC社=JBCCヘルスケアとわかって草生える。えーと、これだ healthcare.jbcc.co.jp/product/ecru.h… そして、そこには病院が本来必要だったサービスがでかでかと書いてある。プロダクトだけ保守契約してこのSMAC未加入かな。 pic.twitter.com/snchT7wyxJ
2022-06-18 17:08:48
拡大
藤堂いなり feat. ネジさん
@nejigami
というわけで、できるだけ半田病院とは患者としても関わりたくないし、取引先にもなりたくないエンジニアの皆さん。私も同意です。 こんな形の報告書で契約もないのに一方的にディスられるベンダーの気持ちを考えるといたたまれないよね。 twitter.com/nejigami/statu…
2022-06-18 17:42:24
藤堂いなり feat. ネジさん
@nejigami
この報告書出した時点でこの胸糞病院の未来は決まったんよ…要するに気合と根性で病院に肩入れしまくる「カミカゼベンダー」しか近くに寄らないから、この病院に患者としても取引先としても関わりたくない。 未来を手放すときのゴッドハンドは鮮やかだよ。 twitter.com/leemanoid/stat…
2022-06-18 16:37:43
池田@無名なほう
@ikeda
酷いなこれ 保守契約してないし追加料金も払わないけどベンダーは専門家なんだから頑張ってる病院に進言提案するべきだ、って? どんな有識者なんだ一体 コンピュータウイルス感染事案有識者会議調査報告書について つるぎ町立半田病院 handa-hospital.jp/topics/2022/06…
2022-06-18 17:46:01
ラグ/銀色鼠
@RagWork
報告書の『5 再発防止策の実施と検討状況について』読んでると「自分たちはIT弱者で被害者!」意識が滲み出ててあらあらまぁまぁ……。 『6 まとめ』の最後も「半田病院の医師、看護師~は最大の賛辞が贈られるべきである。」で、ベンダー側はこき下ろしたまま〆るんかい……。
2022-06-18 18:07:09
Masanori Kusunoki / 楠 正憲
@masanork
他山の石。保守契約を結んでおらず、十分な予算化もされていないところに、ベンダーはどこまで責任を負うべきなのかな / “徳島の半田病院、ランサム被害の真因 管理者不在のマルチベンダー” htn.to/H8p5mMn9qk
2022-06-18 18:17:22
汝、翼を与える@ばってん先に翼ばくれんね イベント・・(parody)
@ryunosinfx
IT契約の意味を分かってないとしか思えない・・・ まあ、昔セキュリティについてヤバイっすよー とか言っても 実例がないからダイジョーブダイジョーブアルヨ! と効く耳持たなかったからその時代からアップデートされてないんじゃろうな・・・ twitter.com/nfujita55a/sta…
2022-06-18 17:30:45
Miyahan
@miyahancom
つるぎ町立半田病院のインシデント報告書、総じて「業者はクソ、病院にも至らぬ点は無数にあったけど人も金も限られてたので仕方ない」論調で中立性に欠けており、ただのお気持ち表明になってる印象。 そのうえ保守契約も結んでないのに対応してくれないとブーブー騒いでてあらまあという感じ。
2022-06-18 17:09:39
hmzn
@himajin_zip
つまるところあれでしょ、これからはライセンスケチりたいって言われたときに「つるぎ町立半田病院みたいになりますよ」って言える。
2022-06-18 16:38:27
bonMAXX
@bonMAXX
半田病院の件報告書を斜め読みしたけど駄目だこれ。 保守運用をベンダーに依頼しないということは100%全部自分たちで情報を集めて自分たちで何かもやり切らないといけないってこと、日本中の全企業が認識してくれ。 頼む。
2022-06-18 16:36:55
kaname
@kanametunes
つるぎ町立半田病院の読んだけど、有識者会議調査報告書が病院寄りだったのが違和感やったな 運用保守サポート契約がなかったと書いてるにも関わらず、稼働後に見つかった脆弱性に適切な対処ができてないってとことかも。 契約なくても脆弱性出たら適切に対処するのが当然って考えなんやろうか。。。
2022-06-17 10:43:45
社畜
@leemanoid
結局最後まで「病院は限られたリソースの中で頑張った、何もしなかったベンダーが悪い」だったわ 契約がなきゃ人は確保できないし、当然インシデント対応も想定できないよ 「情報の非対称性」を盾にしてるけど、それなら猶更日々フィードバックが得られるようコストをかけるべきやね
2022-06-18 00:03:22
社畜
@leemanoid
再度事業者の知識不足と。いや保守契約がなければセキュリティ意識もクソも無いて… 「情報セキュリティに関する専門知識が不足するため、それを補うパートナーシップが必須」なら猶更ちゃんと契約しようよ pic.twitter.com/UVsZygZWYp
2022-06-17 23:50:50
拡大
社畜
@leemanoid
やっぱり保守契約なかったんかい!そりゃ無理やで~~ てか保守契約ないのにベンダーを呼びつけてあれこれやらせてる時点で無茶やのに、よくもまぁここまで人のせいにできるなぁ。 pic.twitter.com/KUPHXM79zG
2022-06-17 23:21:55
拡大
社畜
@leemanoid
金がなくて増員なんてする気はない。ベンダーに頼るしかないけど保守契約はできない(???) pic.twitter.com/D03DvFvsmM
2022-06-17 23:27:33
拡大
社畜
@leemanoid
オオッ 「保守契約がなかったんだからベンダーに責任はないけど、病院側がITリソース不足で丸投げされてることを知ってたんだから善意で助けるべきだった。最悪の事態に至らしめた責任は重い。」 金も払ってないのにそりゃないっすよ… pic.twitter.com/RJEa06xwju
2022-06-17 23:33:19
拡大
社畜
@leemanoid
補足というかお願い→眠い中で斜め読みしかしてない上にかなり端折ってるのでぜひ原文を読んでね。 (適切な契約が無かったから仕方ない部分もあるとは思うけど)事業者側のインシデント対応は正直スムーズだったとは言い難いように見えるので、反面教師としても参考になるかと。
2022-06-18 15:42:33
ケビン松永
@Canary_Kun
サイバー攻撃によるランサムウェアで電子カルテシステムが閲覧できなくなってしまった半田病院の報告者が 保守契約も結んでないのに、ベンダーが社会的責任を果たしていなかったと、ベンダーにほとんど責任転嫁をしてて、地獄かこれ twitter.com/leemanoid/stat…
2022-06-18 17:18:19
社畜
@leemanoid
半田病院の報告書これか。 契約がどうなってたか知らんから何とも言えんけど、 「病院側はインシデント対応に不慣れな中めっちゃ頑張ってたのに、どの事業者は危機感がなく専門家も寄こさなかった!」 って終始ベンダーのせいにしてるのが目立つなぁ… handa-hospital.jp/topics/2022/06… pic.twitter.com/NEGVpWOnx9
2022-06-17 22:58:22
Joker
@JokerLunatic
半田病院の言い分通りなら「お金がなくて健康保険入ってないけど、治療費は保険診療分だけでいいよね!」が通る気がするんだけど、どう思う?
2022-06-18 15:37:17
Miyahan
@miyahancom
"半田病院との保守契約はハードウエアにとどまり、ファームウエア(基盤ソフト)の更新など設定に関する保守の契約は受注していない" これたぶんただの故障品交換サービスでしょ。これでファームや設定の面倒まで見ろというのは無理がある。。 nikkei.com/article/DGXZQO…
2022-06-18 17:19:07
ラグ/銀色鼠
@RagWork
わぁ、なんという胸糞案件……。 ・サポート切れOSを使い続け ・ハードもアプリも保守、サポートなし ・契約がないんだから当然脆弱性対応の義務もなし ・保守契約のお金は出したくないけど自分らはITど素人だからベンダーが上げ膳据え膳で全部面倒見ろ なにゆってんだおめー。 twitter.com/leemanoid/stat…
2022-06-18 17:27:31