アカウント名:
パスワード:
例えパッチが最新でも、感染することはありますからね……。
電子カルテってインターネットに接続する必要ないだろうから、誰かが感染端末を持ち込んでLANに繋いだんじゃないでしょうか。
原因は、その人orその人が行っている業務手順でしょうね。
大学病院になると研究や教育のネットワークが出てきてめんどいし、クリニックや小規模病院はネットワークを分けてないことも多いのでので、中規模の民間病院を想定して書いてみます。
まず、インターネットと電子カルテのネットワークは一応分かれています。ただし、情報機器や医療機器ベンダーのリモートメンテナンスやウイルス対策ソフトの更新、機材管理などのため、マルチホームホストがある場合もあります。また、最近では地域医療ネットワークといって、外部のクリニックなどにカルテを公開しているケースもあります。この場合は、公開用のサーバがマルチホーム
ちょっと引っ掛かりますね。
「診療報酬の請求」がレセプトデータのことを言っているのであれば、これは大半の中規模病院が電子カルテと連携のあるソフトウェアでデータを計算し、厚労省ガイドラインにのっとった通信方式(ただ鍵認証方式で暗号化しろ程度しか書いてない)で外部通信にてデータを渡しています。殆どのケース、この通信はいわゆるインターネットに接続された表のネットワークから行われるのではなく、電子カルテのある裏のネットワークから行われます。多くは線としてはパブリックインターネットを使い、その中でVPNを張るという形です。ルータでVPN以外のポートを遮断していますが、設定は各医療機関次第。その上、同じ通信ライン上で電子カルテベンダーなどからサポート用のインバウンド通信を許可している例が大半だと思います。ルータ自体の管理にも例えば初期パスワードの無効化忘れ等の穴があり得ます。
もう一つ、今回のランサムウェアの攻撃手順が分からないので何とも言えませんが、出入りしている大半のベンダーがウィルスチェックさえちゃんとしていれば大丈夫、という盲信があるように思います。標的型だと最新のAVSのテーブルであっても脆いものなのに、そこに対する認識は低いです。さらに上の方が記述されているように医療機器認定の問題がありAVSすら完全に導入されていないケースも多々あります。またウィルスチェックとは別にOS側のパッチとなると、心もとない機関が大半だと思います。Windows/10になって大分改善は見られますが、まだまだ10化は進んでいません。
別に煽るつもりはありませんが、とても電子カルテネットワークの安全性が仕組み的には安心できる、と断言できる状況にはないと思います。
レセプトの回線の接続については、病院の考え次第としか言えないと思います。電子カルテネットワークにつないでいる施設があってもおかしくないですし、そうじゃない施設も当然あります。ただ、社会保険診療報酬支払基金としては、「(レセコンとは別に)オンライン請求用のパソコンを別に準備することを推奨します」とは言っています(レセコンのネットワークにつなぐな、とは言ってないなw)。
で、まぁ、内情を知る者としては、仕組みは大丈夫。ただ運用はどうだろうか、思った通りになってるか分からないと思っています。さすがに書類上から問題があれば、監査でつつかれますからね。
#業界以外の方へ、病院の医療情報システムは、厚生省のガイドライン [mhlw.go.jp]に依って構築されています。多分。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
原因誤り (スコア:3)
○引っかかった馬鹿がいた
Re: (スコア:0)
例えパッチが最新でも、感染することはありますからね……。
電子カルテってインターネットに接続する必要ないだろうから、
誰かが感染端末を持ち込んでLANに繋いだんじゃないでしょうか。
原因は、その人orその人が行っている業務手順でしょうね。
Re: (スコア:5, 参考になる)
大学病院になると研究や教育のネットワークが出てきてめんどいし、クリニックや小規模病院はネットワークを分けてないことも多いのでので、中規模の民間病院を想定して書いてみます。
まず、インターネットと電子カルテのネットワークは一応分かれています。ただし、情報機器や医療機器ベンダーのリモートメンテナンスやウイルス対策ソフトの更新、機材管理などのため、マルチホームホストがある場合もあります。
また、最近では地域医療ネットワークといって、外部のクリニックなどにカルテを公開しているケースもあります。この場合は、公開用のサーバがマルチホーム
Re:原因誤り (スコア:0)
ちょっと引っ掛かりますね。
「診療報酬の請求」がレセプトデータのことを言っているのであれば、これは大半の中規模病院が電子カルテと連携のあるソフトウェアでデータを計算し、厚労省ガイドラインにのっとった通信方式(ただ鍵認証方式で暗号化しろ程度しか書いてない)で外部通信にてデータを渡しています。殆どのケース、この通信はいわゆるインターネットに接続された表のネットワークから行われるのではなく、電子カルテのある裏のネットワークから行われます。多くは線としてはパブリックインターネットを使い、その中でVPNを張るという形です。ルータでVPN以外のポートを遮断していますが、設定は各医療機関次第。その上、同じ通信ライン上で電子カルテベンダーなどからサポート用のインバウンド通信を許可している例が大半だと思います。ルータ自体の管理にも例えば初期パスワードの無効化忘れ等の穴があり得ます。
もう一つ、今回のランサムウェアの攻撃手順が分からないので何とも言えませんが、出入りしている大半のベンダーがウィルスチェックさえちゃんとしていれば大丈夫、という盲信があるように思います。標的型だと最新のAVSのテーブルであっても脆いものなのに、そこに対する認識は低いです。さらに上の方が記述されているように医療機器認定の問題がありAVSすら完全に導入されていないケースも多々あります。またウィルスチェックとは別にOS側のパッチとなると、心もとない機関が大半だと思います。Windows/10になって大分改善は見られますが、まだまだ10化は進んでいません。
別に煽るつもりはありませんが、とても電子カルテネットワークの安全性が仕組み的には安心できる、と断言できる状況にはないと思います。
Re: (スコア:0)
レセプトの回線の接続については、病院の考え次第としか言えないと思います。
電子カルテネットワークにつないでいる施設があってもおかしくないですし、そうじゃない施設も当然あります。
ただ、社会保険診療報酬支払基金としては、「(レセコンとは別に)オンライン請求用のパソコンを別に準備することを推奨します」とは言っています(レセコンのネットワークにつなぐな、とは言ってないなw)。
で、まぁ、内情を知る者としては、仕組みは大丈夫。ただ運用はどうだろうか、思った通りになってるか分からないと思っています。
さすがに書類上から問題があれば、監査でつつかれますからね。
#業界以外の方へ、病院の医療情報システムは、厚生省のガイドライン [mhlw.go.jp]に依って構築されています。多分。