すだちの国からIT界隈をざわざわさせる、徳島県つるぎ町立半田病院のランサムウェア調査報告書(災害拠点病院でIT担当者が1人)。
- nfujita55a
- 267485
- 1354
- 627
- 1024
この論法を使うと「我々一般人は医師免許を持っていない知識不足の中頑張っているのだから健康保険未加入だったとしても半田病院は3割負担で助ける道義的責任がある」にならないか? twitter.com/leemanoid/stat…
2022-06-18 17:48:43半田病院の報告書これか。 契約がどうなってたか知らんから何とも言えんけど、 「病院側はインシデント対応に不慣れな中めっちゃ頑張ってたのに、どの事業者は危機感がなく専門家も寄こさなかった!」 って終始ベンダーのせいにしてるのが目立つなぁ… handa-hospital.jp/topics/2022/06… pic.twitter.com/NEGVpWOnx9
2022-06-17 22:58:22③善管注意義務ってなんだろう
報告書「人件費からPCとサーバーで200台ある病院に専任IT担当1人おくことすら難しいので、納入事業者やベンダーは範囲外でも善管注意義務でがんばらないいかん」 ふじた🐱「🤔😱😭」 pic.twitter.com/9cKhFVPV3y
2022-06-18 16:11:29半田病院の報告書、外部委員からツッコミがあったのか自責を認めつつも、「だがしかし」でベンダの善管注意義務にすり替える他責の姿勢が抜けていなくてゲンナリする。 こういうのを見ると、情報セキュリティの教科書的な「組織的対策」の理解って大事だなって思う。>RT
2022-06-18 17:33:51@nfujita55a 善管注意義務とはみたいな話になりますねw でも実際は依頼がないと提案あんましないっすね。提案もタダじゃないし。
2022-06-18 17:41:22この場合ITベンダーの善管注意義務は「必要な対応を継続的に行えるサポートサービスを提案し契約において実施する」までだよなあ。 納入側のキャッシュフローを理由に、他の契約者に不利益を与える根本事由がねーよで弁護士送り。 twitter.com/nfujita55a/sta…
2022-06-18 17:48:22@c_a_p_engineer 再発防止のための報告書が、「人命かかってんだからベンダや事業者がんばるにきまってるじゃん」で、読んでてクラクラする。
2022-06-18 16:48:36④報告書のポエム感
(技術面のほうは違う)
報告書ざっと読んだんだけど、ポエムに始まりポエムで終わってるし、そもそも調査の目的とスコープが書かれてないし、誰に対する何の報告なのかを読み取ることができなかった。
2022-06-18 17:48:45半田病院の調査報告書、これから読もうとしてたら既にレポート内容が酷いという感想で溢れてて 有識者会議の設立をミスってそうな気配を感じる
2022-06-18 18:04:26全文読んだけど、終始言い訳でしかなかったね。 大前提として、これ第三者委員会みたいなのが作ったわけじゃなくて、半田病院が依頼して作られた報告書だから、バリバリに半田病院の意思が入ってるってことでしょ twitter.com/leemanoid/stat…
2022-06-18 17:41:26オオッ 「保守契約がなかったんだからベンダーに責任はないけど、病院側がITリソース不足で丸投げされてることを知ってたんだから善意で助けるべきだった。最悪の事態に至らしめた責任は重い。」 金も払ってないのにそりゃないっすよ… pic.twitter.com/RJEa06xwju
2022-06-17 23:33:19報告書の最後に至っては、ポエムがある。 「このネットワークをサイバー空間まで想像を広げて活用していくべきである。」って、なんでセキュリティーインシデントの対応がこんなことに。誰か訳して…… pic.twitter.com/Nz4NwGU6tZ
2022-06-18 16:16:37半田病院の報告書A社やC社を執拗に槍玉とするのなぜ?と調査委員会3人が所属する「Software ISAC」のページを見た。 softwareisac.jp/wp/?page_id=35… なるほど、そこには、ソフトウェアセキュリティーポエムな現状認識が書いてある。このユートピアと現況を比較し批判しているのだろう……解決しないじゃん😭 pic.twitter.com/8rN9ozmjrX
2022-06-18 18:05:28⑤そのFortinetの穴&流出が伝わってれば……
半田病院の報告書は病院寄りだけど、厚労省から令和3年06月28日(つまり事象発生の約4ヶ月前)に「医療機関を標的としたランサムウェアによるサイバー攻撃について(注意喚起)」って事務連絡が各都道府県衛生主管部宛にでてるのよ。 mhlw.go.jp/hourei/doc/tsu…
2022-06-18 17:01:212019年に判明したVPN装置の脆弱性(CVE-2018-13379)を放置 ↓ 被害に遭う直前の2021年9月、8万7000台の装置の認証情報が流出したとフォーティネットが公表し、その流出リストの中に半田病院も含まれていた。 ↓ にもかかわらず病院は気づかずに使い続けていた …あらまぁ。 twitter.com/mosriteowner/s…
2022-06-15 08:13:41あらまぁ。ハインリッヒの法則ですよえぇ。/「…調査報告書は半田病院のIT担当者が1人しかおらず、セキュリティーに手が回らない状態だったと同情する姿勢を見せる。」ランサム被害の徳島・半田病院、報告書とベンダーの言い分から見える根深い問題 xtech.nikkei.com/atcl/nxt/colum… pic.twitter.com/BlaLysftLy
2022-06-15 08:10:32『被害に遭う直前の2021年9月、8万7000台の装置の認証情報が流出したとフォーティネットが公表し、その流出リストの中に半田病院も含まれていた。にもかかわらず病院は気づかず』 にもかかわらず、って普通は気づかんよ。 それこそ流出リストから個別にどこかが連絡してあげたらと思うな。どこかが。 twitter.com/taku888infinit…
2022-06-14 13:12:12ランサム被害の徳島・半田病院、報告書とベンダーの言い分から見える根深い問題 xtech.nikkei.com/atcl/nxt/colum…
2022-06-14 12:10:36⑥その他いろいろ
医療費がらみ
半田病院の件で裁判になって業者の責任が大幅に認められたら、その影響で弱小町村の引き受け手がなくなるとか、リスク分を受託価格に上乗せされて経費が嵩むか。何てことは起きるだろうか?
2022-06-18 17:32:36