パンデミック期間中、医療施設へのサイバーセキュリティ攻撃が公衆衛生上の問題になる危険性がありますが、Taneli Kaivola(タネリ・カイボラ)氏が率いるフィンランドのハッキングコミュニティの専門家が立ち上がり、国内のCOVID-19と戦う医療提供者に対してセキュリティ問題の防止、顧客環境のセキュリティのテスト、セキュリティ侵害の解決のための支援を提供します。エフセキュアのシニアセキュリティコンサルタントであるAntti Laatikainen(アンティ・ラーティカイネン)は、コミュニティサイバーレスポンスフォースKyberVPKのメンバーに加わりました。
利益を優先する一部のハッカー
フィッシング詐欺師などの攻撃者は、新型コロナウイルスが急速に世界中に蔓延することに乗じて、人々の危機下での恐怖の高まりを悪用するようになりました。そして、新型コロナウイルスと闘っている病院などの医療機関を標的にした攻撃が発生したことが引き金となって、Anttiを含めた多くの情報セキュリティの専門家がこの取り組みに参加することを決意しました。
「脅威アクターは特定されていませんが、これらの攻撃の一部が意図的な医療機関を標的にした意図的な攻撃であることを示す明確な兆候があります」と、Anttiは述べています。「世の中がどのような状況下であっても、儲けようとする連中が現れます」
しかしながら、今世紀最大の公衆衛生上の緊急事態を悪用するという企みは、Anttiにとっても想定外でした。
「私は、情報セキュリティの分野に従事している一員として、また、ひとりの人間としても、その背後にあるロジックを想像することは困難です。」
残念なことに、どんなに悲惨な事態が訪れようともかまわず、機会さえあれば一部の犯罪者は意図的にそれを利用しようとします。
走りながら考える
Anttiが企業を支援するために提供しているリスク管理のスキルは、平常時に適用するものですが、このパンデミックと闘う際には、新たな重要性を帯びることになります。
「人々がパニック状態に陥っているときは、ヒューマンエラーが避けられません」と彼は述べています。「人々は手っ取り早いやり方に走りがちです。社内サービスをインターネットへ接続して、適切な計画を立てずにテレワークをサポートするための修正とソリューションを実装します。そして、作業を素早く簡単にするために既存のセキュリティコントロールを除外します。これにより、日和見的な攻撃にさらされる恐れがあります。」
病院は、多くの大規模な公的機関と同様に、ことサイバーセキュリティに関しては、どれだけ努力しても苦戦を強いられています。だからこそ、病院は、ここ数年の間、ランサムウェア攻撃の共通の標的になっています。
これにはさまざまな理由があるとAnttiは指摘します。多くの医療機関が抱えている課題はリソースの制約です。また、ひとつの施設内に存在する膨大な数の部門と医療サービスが、医療ケアの提供に不可欠となったデジタルシステムのセキュリティ保護を困難にしています。
『強いセクショナリズムが考えられます。また、スタッフは多忙を極め、非常に機密性の高いデータを扱っていることはわかっていますが、「自分たちはIT企業ではない」と考えているため、データの保護に対する優先度は高くありません』
しかし、最近ではほとんどすべての企業がIT企業であるといっても過言ではありません。命を救うことを事業にしている企業でさえもです。そして、非常事態によって、これらの問題に対処するためのリソースがなくても、また生死にかかわる問題を無視できないとしても、サイバーセキュリティは迅速に対処しなければならない問題であることが明らかになりました。
「アドバイスすべきことは、これらの医療提供者を攻撃者から保護することです。また、可能な限り、彼らが運用機能を維持できるように支援し、将来再び侵害されることを防ぐために長期的な改善策を提案します」
ハッカーの役割
フィンランドでハッカーが独自に立ち上がったことは、ウイルスを封じ込めるための社会全体での取り組みにおいて、この国が苦労して獲得した生存本能が活かされていることを示すもう1つの例と見ることができます。この種の取り組みがパンデミックを超えて継続し、一種のボランティアのサイバー消防署のように機能するようになるかどうかは、定かではありません。
「今は、困難に屈指ない強い意志があります」とAnttiは述べています。「町が燃えているとき、ボランティア活動をすることを比較的容易なことです」
Anttiは、平常時にはさまざまな業界でセキュリティ管理コンサルタントとしての仕事を楽しんでいます。この緊急事態が終わった後も、ボランティアのセキュリティ専門家として、呼べばすぐ駆けつける消防隊のような活動を続けるでしょう。おそらく彼は、専門家はコミュニティにサービスを提供していますが、トップコンサルタントを雇うことができない人々にも支援を提供できると思っています。
「これはハッカーの役割です」と彼は述べています。
カテゴリ