すだちの国からIT界隈をざわざわさせる、徳島県つるぎ町立半田病院のランサムウェア調査報告書(災害拠点病院でIT担当者が1人)。 (original) (raw)
目次
- 件の報告書はこちら
- ①100床ある災害拠点病院でIT担当者が1人
- ②報告書が批判する事業者・ベンダーとの契約は?
- ③善管注意義務ってなんだろう
- ④報告書のポエム感
- ⑤そのFortinetの穴&流出が伝わってれば……
- ⑥その他いろいろ
- つけたし
件の報告書はこちら
徳島県つるぎ町立半田病院
コンピュータウイルス感染事案有識者会議調査報告書について
https://www.handa-hospital.jp/topics/2022/0616/index.html
コンピュータウイルス感染事案有識者会議調査報告書(PDF)
https://www.handa-hospital.jp/topics/2022/0616/report_01.pdf
コンピュータウイルス感染事案有識者会議調査報告書ー技術編ー(PDF)
https://www.handa-hospital.jp/topics/2022/0616/report_02.pdf
主に「コンピュータウイルス感染事案有識者会議調査報告書(PDF)」が、議論を巻き起こした方です。
※半田病院は日本に複数あります。
半田病院と省略せず、「徳島県つるぎ町立半田病院」「半田市立半田病院」と表現するよう注意します。
日本のセキュリティの現状はこの報告書に凝縮されているのではないでしょうか。 / “コンピュータウイルス感染事案有識者会議調査報告書について つるぎ町立半田病院” htn.to/2L8ZqC9iML
①100床ある災害拠点病院でIT担当者が1人
「IT担当者が1人しかおらず・・・実態を知りながら支援しなかったベンダーを強く批判する」 契約の範囲に含まれていたのだろうか…? IT担当者が1人でなんとかなると考えていた町の責任じゃないかな?xtech.nikkei.com/atcl/nxt/colum…
こんなの調査報告書に140ページも割く必要ないやん。 ひとえに「半田病院が自身の院内で使用しているIT環境運営に対する当事者能力の欠如」の一言で終わる話。 ◽️ランサム被害の徳島・半田病院、報告書とベンダーの言い分から見える根深い問題 | 日経クロステック(xTECH) xtech.nikkei.com/atcl/nxt/colum…
何か半田病院のセキュリティインシデントの報告書が回って来たけど、完全に病院側が情シス周りの業務を舐め過ぎっすね
「報告書は半田病院のIT担当者が1人しかおらず、セキュリティーに手が回らない状態だったと同情する姿勢を見せる」「むしろ実態を知りながら支援しなかったとして、VPN装置やサーバーを設置したA社や、電子カルテシステムを販売したC社などIT企業を強く批判する」ええ…。
金がなくて増員なんてする気はない。ベンダーに頼るしかないけど保守契約はできない(???) pic.twitter.com/D03DvFvsmM
Tsuna-IT-Keibiin @TsunaITKeibiin
半田病院のレポートをざっと読みましたが、技術編だけ読めば十分ですね。 メインの報告書の内容は、悪意を持って読み解くと、「病院にも責任はあるかもしれないが、一人情シスだし仕方ないよね。一方、専門家のA社、B社、C社は悪いよね。」となります。 責任には相応の対価を払ってね。
本当にもう、保守管理みたいな作業の重要性は前にSE残酷物語で触れたけど、半田病院はその辺を軽視というかガン無視した結果、特大の地雷が大爆発を起こしたっていう…… トラブル無ければ人員削減、トラブル起きると責任問題 仁義なきSEの苦悩【薬理凶室対談シリーズ】 youtu.be/AlSScrdRIJs
半田病院報告書のまとめ「中小企業や公営企業などのIT 弱者……一人でシステム運用を行うような組織においてもより対応しやすい……」そもそも120床ある病院がIT弱者だったらおかしい。管理者1人なんて論外でそこを指摘してくれ、ほかのことは二の次でござる…… pic.twitter.com/jYdSg1ZWKJ
もうこの1文目が答えじゃん。 >半田病院は、情報システム管理者が一人であり pic.twitter.com/UfNmOVxaah
>担当者1人でシステム運用 >BCP BCPの意味理解してるのか? twitter.com/nfujita55a/sta…
おえー > 「半田病院は、情報システム管理者が一人であり、管理者は 200 台を超える端末と十数台のサーバー、閉域 網ネットワークの管理に加えて、電子カルテシステムの不足を補うサブシステムの開発を行っていた。」
なんでそんなベンダ間の責任や担当範囲があいまいなんじゃと思うが、まあねえ。1人情シスでこれだけ回してたらそんなコントロールできんじゃろな。技術編に乗ってる対策はもっともなんだけど一人でやれるボリュームじゃないでしょう
K.Namba/(お菓子|おやつ)エバンジェリストDX🍩 @ipv6labs
@nfujita55a せめて3人
@ipv6labs これ少なくとも3人はほしいですね…… (3人だと少数精鋭の予感) pic.twitter.com/lVXhBLbyCC
@nfujita55a 解説ありがとうございます🙇♂️ これからじっくりと読む予定ですが、あまりにも酷いですね。 「IT専任職員を雇える人件費が出ない。契約はしてないし、金はないけど宜しくなw」は流石にアウトですよね😱
@amagasaki820 すごい報告でした……プロの方だと、さらに泡吹きそうです。
@nfujita55a 一連のツイート拝見しただけでも頭がクラクラしてきました…。 平静を保ちながら全文ガチで読めるのかどうか心配になってきました😭
@amagasaki820 同業者でこんなこと書かれたら、私も冷静さを欠くと思います。😨
徳島県つるぎ町立半田病院の報告書に関するツイートを追ってみてる。「金がないから」という言い訳は決して免罪符にはならない。