四国の山奥の病院なんだから脇甘いだろう、、、て昨年は思ったが、今度は大阪の先端府立病院。
脇甘いのは病院共通、、、いやいやトヨタのティア1(あるいは2)クラスまで。
つまりライフラインやサプライチェーン全体が「脇甘い」って事になります。
何が拙かったのか?って、、、四国の山奥病院の調査報告書に凝縮されてます。
この手の事件で直感的に想像するのは「閉域網神話」の誤解ないし錯覚
扉も窓も有りませんから不正侵入はありません!ってそもそも有り得ない話。
扉も窓もなければ不正のみならず「不正でない」出入すら出来ない。
必ずバイパスルートなりある種の経路(コネクター然り)を作っている。
よく悪用されるのが、保守会社がリモートアクセスの為に利用するVPN。
そのVPNの脆弱性を突かれたってこと、、、なんですが、図の通り他にも絶句するような穴だらけで、サイバーテロリストさんいらっしゃい!と言っているようなものである。
自前でセキュリティリスクマネージャーを抱えていないのだから、高い報酬で高度なスキルを買うしかない。
サイバーテロ対策に湯水のような予算をつけてもらうには声の大きい剛腕なCIO次第(自分に技術がなくても技術の価値判断さえ出来れば)だが、、、まあ居ませんなあ(^^)
アタマと腕(もしかして倫理観)の最悪なベンダーを選定したのが最大の敗因だということ。
なんだかんだあって、、、復旧はしましたが、なんとも奇妙な展開になっていた。
身代金は払っていない筈だが、ハッカー集団は支払を受けたと言っているが?
仮に支払ったとして、誰が支払ったのだ?
暗号化されたデータを「暗号鍵」なくして復元できた事例って聞いた事がないし、仮に復元出来たとしてもかくも短期間に?
そんな「腕利きの東京の事業者」って誰だい?
ミステリーマニアならば、色んな想像を逞しくしますが、よくある話が「名探偵が犯人だった、第一発見者が犯人だった。被害者ヅラしたのが犯人だった」
真相は分からない。
ところで、このようなサイバーテロ攻撃は罪に問えるのかしら?
「不正指令電磁的記録に関する罪」
こんな微罪の扱い(最高で懲役三年又は50万円以下の罰金)でいいのかねえ?
それに読み違えていないと思いますが、日本国内で罪を犯した全てのヒトザルだけが処罰の対象。
サイバーテロの大半が海外からなのに......
0 件のコメント:
コメントを投稿