ドイツ 医療現場におけるサイバーセキュリティ:BSIの研究が示す緊急対策の必要性
こんにちは、丸山満彦です。
ドイツが診療所でのサイバーセキュリティ対策についての調査結果を公表していますね...
2/3の診療所が100点満点ではなかったようですね...
大学時代にドイツ語をちゃんと勉強しておけばよかった...
● Bundesamt für Sicherheit in der Informationstechnik; BSI
・2024.03.22 Cybersicherheit in Arztpraxen: BSI-Studien zeigen dringenden Handlungsbedarf auf
Cybersicherheit in Arztpraxen: BSI-Studien zeigen dringenden Handlungsbedarf auf | 医療現場におけるサイバーセキュリティ: BSIの調査は対策の緊急性を示している |
Cyberangriffe auf das Gesundheitswesen nehmen zu – medizinische Einrichtungen werden immer häufiger das Ziel von Hacker-Angriffen. Ein zentraler IT-Knotenpunkt unseres Gesundheitswesens ist die Telematikinfrastruktur (TI). Sie ist das Kommunikationsnetzwerk im deutschen Gesundheitssystem, wird regelmäßig kontrolliert und orientiert sich an strengen Spezifikationen. Die Sicherheitslage der IT-Infrastruktur von Arztpraxen in Deutschland hingegen wird bisher kaum erfasst, obwohl sie essenziell für die Verarbeitung sensibler Daten und direkt an die TI angeschlossen sind. Darum hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit zwei aktuellen Studien eine Datengrundlage geschaffen, mittels derer die IT-Sicherheit von Arztpraxen schnell und nachhaltig erhöht werden kann. | 医療分野へのサイバー攻撃は増加の一途をたどっており、医療施設はますますハッカー攻撃の標的になっている。医療システムの中心的なITハブはテレマティクス・インフラ(TI)である。これはドイツの医療システムにおける通信ネットワークであり、定期的に監視され、厳格な仕様に基づいている。しかし、ドイツの外科医のITインフラのセキュリティ状況は、機密データの処理に不可欠であり、TIに直接接続されているにもかかわらず、これまでほとんど記録されていない。このため、連邦情報セキュリティー局(BSI)は、診療所のITセキュリティーを迅速かつ持続的に向上させるために利用できる2つの最近の研究結果をデータ基盤として作成した。 |
Ergebnisse der Studie SiRiPrax | SiRiPrax調査の結果 |
In einer deutschlandweiten Umfrage konnte das BSI einen Einblick in die Umsetzung der IT-Sicherheitsrichtlinie gem. § 75b SGB V in ca. 1.600 Arztpraxen gewinnen. Die Richtlinie adressiert Voraussetzungen für die IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung und umfasst auch Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der TI, die in der vertragsärztlichen Versorgung genutzt werden. Ziel der Befragung war es, den Umsetzungsgrad der Richtlinie zu erheben und Verbesserungspotenziale zu identifizieren. | ドイツ全土を対象とした調査で、BSIは約1,600の診療所におけるSGB V第75b条に準拠したITセキュリティガイドラインの実施状況を把握することができた。同ガイドラインは、契約医療・歯科医療におけるITセキュリティの要件を扱っており、契約医療で使用されるTIコンポーネントやサービスの安全な設置や保守に関する要件も含まれている。調査の目的は、この指令の実施度合いを判定し、改善の可能性を特定することであった。 |
Lediglich ein Drittel der Befragten gab eine vollständige Umsetzung aller mit der Richtlinie vorgegebenen Schutzmaßnahmen an. Gleichzeitig ergab die Befragung, dass zehn Prozent der Arztpraxen bereits mindestens einmal von einem IT-Sicherheitsvorfall betroffen waren. Zusätzlich zeigte sich, dass bei der aktuellen Fassung der IT-Sicherheitsrichtlinie Optimierungsbedarf bezüglich Verständlichkeit und konkreter Hilfestellungen bei der Umsetzung bestehen. Zudem wurde festgestellt, dass der Einsatz eines Informationssicherheitsbeauftragten in Arztpraxen sich unmittelbar positiv auf die IT-Sicherheit auswirkt. | 回答者の3分の1だけが、指令で規定されている保護措置をすべて完全に実施していると答えた。同時に、調査の結果、診療所の10%がすでに一度はITセキュリティ・インシデントの影響を受けていることが明らかになった。また、ITセキュリティガイドラインの現行版を、わかりやすさや具体的な実施支援という点で最適化する必要性があることも示された。また、医療現場における情報セキュリティ担当者の任命は、ITセキュリティに直接的なプラスの効果をもたらすことも明らかになった。 |
Ergebnisse der Studie CyberPraxMed | CyberPraxMed調査の結果 |
Parallel wurde in einer Auswahl von 16 Arztpraxen eine Umfrage mit dem Ziel durchgeführt, Cyberrisikofaktoren und Angriffsmöglichkeiten qualitativ zu erfassen. Dafür wurden die Netzwerkstruktur, bereits vorhandene Sicherheitsvorkehrungen und der „Faktor Mensch“, also personelle Aspekte, in den Blick genommen. Die Auswahl der Arztpraxen erfolgte nach den Kriterien des Fachgebiets, der Anzahl der Mitarbeiterinnen und Mitarbeiter sowie der geografischen Lage. | 同時に、サイバーリスク要因と攻撃機会を定性的に記録することを目的として、16の診療所から選ばれた診療所を対象に調査が実施された。この目的のため、ネットワーク構造、既存のセキュリティ対策、「人的要因」、すなわち人的側面が分析された。診療所は、専門性、従業員数、地理的位置の基準に従って選ばれた。 |
Im Rahmen des Projekts hat das BSI teils schwerwiegende Sicherheitsmängel – unzureichender Schutz vor Schadsoftware, mangelndes Patchmanagement und fehlende Back-ups – festgestellt. So befand sich in allen untersuchten Praxen der Konnektor zur Anbindung an die TI im Parallelbetrieb zu einem gewöhnlichen Router und konnte dadurch seine Schutzwirkung nicht vollständig entfalten. Zudem waren in keiner der befragten Praxen sensible Patientendaten durch eine Festplattenverschlüsselung geschützt. | プロジェクトの一環として、BSIは、マルウェアに対する不十分な保護、不十分なパッチ管理、バックアップの欠如など、いくつかの深刻なセキュリティ上の欠陥を特定した。例えば、TIに接続するためのコネクターは、分析対象となったすべての診療所で通常のルーターと並行して運用されていたため、保護効果を十分に発揮できなかった。さらに、調査対象となった診療所のいずれにおいても、患者の機密データはハードディスクの暗号化によって保護されていなかった。 |
Ziel des Projekts ist es, Artpraxen einen Projektbericht, der die gefundenen Schwachstellen zusammen mit einer Risikobewertung und Handlungsempfehlungen auflistet, zur Verfügung zu stellen. Darin enthalten ist eine Handreichung mit pragmatischen, schnell umsetzbaren Maßnahmen, deren Umsetzung Ärztinnen und Ärzten die Möglichkeit bietet, ihre Praxen mit geringem Aufwand robuster gegen Cyberangriffe zu machen. | このプロジェクトの目的は、発見された脆弱性をリスク評価と対策勧告とともに記載したプロジェクト報告書を診療所に提供することである。これには、実用的ですぐに実行可能な対策が記載された配布資料も含まれており、これを実施することで、医師はわずかな労力でサイバー攻撃に対して診療所をより強固にする機会を得ることができる。 |
BSI-Präsidentin Claudia Plattner: „Die gute Nachricht ist: Viele der Sicherheitsmängel, die wir festgestellt haben, können schnell und ressourcenschonend behoben werden. Die Ergebnisse aus den Studien ermöglichen uns, die IT-Sicherheit in Arztpraxen durch pragmatischere Vorgaben gezielt zu verbessern und so die Digitalisierung des Gesundheitswesens weiter voranzutreiben. Damit uns das gelingt, brauchen wir einen festen Schulterschluss zwischen allen Akteuren.“ | BSIのクラウディア・プラットナー会長は、「我々が特定したセキュリティ上の欠陥の多くは、資源を浪費することなく、迅速に是正できることが朗報だ。この研究結果は、より現実的な要求事項を通じて、医療現場のITセキュリティを的を絞った形で改善し、医療部門のデジタル化をさらに進めることを可能にするだろう。そのためには、すべての関係者が緊密に協力する必要がある。" |
Gelegenheit zum direkten Austausch mit dem BSI zum Themenkomplex Digital Health gibt es auf der Gesundheits-IT-Fachmesse DMEA vom 9. bis 11. April 2024 in Berlin. Am Messestand 105b in Halle 06.2 haben Interessierte die Möglichkeit, sich zu aktuellen BSI-Aktivitäten rund um die TI und vernetzte Medizinprodukte sowie die Cybersicherheit in Arztpraxen und im Rettungswesen zu informieren. | 2024年4月9日から11日までベルリンで開催されるDMEAヘルスケアIT見本市では、デジタルヘルスをテーマにBSIと直接交流する機会が設けられる。ホール06.2のスタンド105bでは、関係者がTIやネットワーク化された医療機器、医療行為や救急サービスにおけるサイバーセキュリティに関するBSIの現在の活動について知ることができる。 |
Weitere Informationen | 詳細情報 |
E-Health | Eヘルス |
Projekte im Bereich der Medizintechnik | 医療技術分野のプロジェクト |
Hinweise zur IT-Sicherheitsrichtlinie nach § 75b SGB V | SGB V第75b条に基づくITセキュリティガイドラインに関する情報 |
DMEA 2024 | DMEA 2024 |
[PDF] Evaluierung der IT-Sicherheitsrichtlinie in Arztpraxen | [PDF] 医療現場におけるITセキュリティガイドラインの評価 |
[PDF] CyberPraxMed Abschlussbericht | [PDF] CyberPraxMed最終報告書 |
[PDF] Tätigkeitsbericht Gesundheit 2023 | [PDF] ヘルス2023活動報告 |
・2024.03.22 Evaluierung der IT-Sicherheitsrichtlinie in Arztpraxen
Evaluierung der IT-Sicherheitsrichtlinie in Arztpraxen | 医療現場におけるITセキュリティガイドラインの評価 |
Maßgeblich für die Etablierung einer ausreichenden und flächendeckenden IT-Sicherheit in Praxen ist neben der Angemessenheit der Anforderungen ebenfalls die Anwendbarkeit. Diese Anwendbarkeit ist stets auch von der allgemeinen Verständlichkeit der Anforderungen abhängig. Um einen Einblick in die bisherige Umsetzung und die Verständlichkeit der 2020 veröffentlichten IT-Sicherheitsrichtlinie zu erlangen, hat das BSI im Nachgang der belastenden Corona-Pandemie eine Befragung bei den Leistungserbringenden in der ambulanten Versorgung in Auftrag gegeben. | 医療現場において十分かつ包括的なITセキュリティを確立するためには、要求事項の適切性に加えて、適用可能性も決定的な要素となる。この適用可能性は、常に要求事項の一般的な理解可能性にも依存する。BSIは、2020年に発表されたITセキュリティガイドラインの実施状況と理解可能性を把握するため、ストレスの多いコロナウィルスの大流行を受けて、外来診療のサービスプロバイダーに調査を依頼した。 |
Das Vorgehen und die Ergebnisse, der von März bis Mai 2023 durchgeführten Befragung, werden in diesem Dokument vorgestellt. Hierzu wird zunächst die Ausgangslage und relevante Fragestellungen benannt, das Untersuchungsdesign der Befragung dargestellt und eine Einordnung der teilgenommenen Arztpraxen präsentiert. Anschließend werden die Ergebnisse zu einzelnen Fragestellungen dargelegt und schließlich eine Interpretation der Umfrageergebnisse vorgenommen. | 本書では、2023年3月から5月にかけて実施された調査の手順と結果を紹介する。まず、最初の状況および関連する質問項目が挙げられ、調査デザインが示され、参加した診療所が分類されている。その後、個々の質問の結果を示し、最後に調査結果の解釈を示す。 |
・[PDF]
目次...
1 Einleitung | 1 はじめに |
2 Hintergrund und Ausgangslage der Untersuchung | 2 研究の背景と出発点 |
2.1 Untersuchungsdesign | 2.1 研究デザイン |
2.2 Soziogram | 2.2 ソシオグラム |
3 IT-Sicherheitsrichtlinie und IT-Strukturen | 3 ITセキュリティ方針とIT構造 |
3.1 Umsetzung, Bekanntheit und Verständlichkeit | 3.1 導入、親しみやすさ、理解しやすさ |
3.2 IT-Ausstattung und deren Nutzen | 3.2 IT機器とそのメリット |
4 Schlussfolgerung und Erkenntnisse aus der Umfrage | 4 結論と調査結果 |
5 Literaturverzeichnis | 5 参考文献 |
マネジメントサマリー...
Management Summary | マネジメントサマリー |
Die IT-Sicherheitsrichtlinie gem. § 75b SGB V1 definiert Mindestanforderungen an die IT-Sicherheit für einen sicheren Betrieb in Arztpraxen. Das Bundesamt für Sicherheit in der Informationstechnik führte im Rahmen der gesetzlich vorgeschriebenen Evaluation von März bis Mai 2023 eine Umfrage zur IT-Sicherheit in Praxen, vor dem Hintergrund dieser IT-Sicherheitsrichtlinie, durch. Die ca. 1.600 Rückmeldungen der Befragten stellen einen Einblick in die derzeitige Berücksichtigung von IT-Sicherheit im Versorgungsalltag dar. | 第75b SGB V1に準拠したITセキュリティガイドラインは、医療現場における安全な運用のためのITセキュリティの最低要件を定義している。連邦情報セキュリティ局は、法律で定められた評価の一環として、このITセキュリティガイドラインを背景に、2023年3月から5月にかけて、診療所におけるITセキュリティに関する調査を実施した。回答者から寄せられた約1,600件の回答から、日常的な医療におけるITセキュリティの検討状況を知ることができる。 |
Arztpraxen verfügen über eine recht große Anzahl an technischen, digitalen und medizinischen Geräten, die in einem Netzwerk eingebunden oder extern verwendet werden. Des Weiteren arbeiten sie mit unterschiedlichen Programmen und branchenspezifischer Software. | 医療現場には、ネットワークに統合されたり、外部で使用されたりする技術機器、デジタル機器、医療機器が非常に多く存在する。また、さまざまなプログラムや業界特有のソフトウェアを使用している。 |
Die meisten Befragten sind um Sicherung und Schutz ihrer Daten bemüht und halten sich bei diesem Thema für gut informiert. In fast jeder Praxis gibt es einen IT-Sicherheitsbeauftragten. | ほとんどの回答者は、データの安全性と保護に関心を持っており、このトピックについて十分な情報を持っていると考えている。ほぼすべての診療所にITセキュリティ担当者がいる。 |
Dennoch verweist die durchwachsene Bekanntheit der IT-Richtlinie nach § 75b SGB V und ihrer Umsetzung darauf, dass das Thema und seine Bedeutung viele Praxen noch nicht erreicht hat. | とはいえ、第75b条SGB Vに準拠したITガイドラインとその実施に関する認識がまちまちであることから、このテーマとその重要性がまだ多くの診療所に浸透していないことがわかる。 |
Dass die Vorgaben aktuell nur in einem Drittel der Praxen vollumfänglich umgesetzt wurden, scheint zum einen mit Verständnisproblemen hinsichtlich der Vorgaben und Zweifel an deren Nutzen zu tun zu haben, zum anderen mit fehlendem oder unzureichendem Budget, Personal und Zeit. Möglicherweise empfinden viele Praxen zudem keine große Dringlichkeit, da sie meistens noch keinen IT-Sicherheitsvorfall hatten. | 現在、ガイドラインが3分の1の診療所でしか完全に実施されていないという事実は、ガイドラインを理解する上での問題や、ガイドラインの有用性に対する疑問、さらには予算、スタッフ、時間の不足や不足によるものと思われる。また、多くの診療所では、まだITセキュリティ事故が発生していないため、それほど緊急性を感じていない可能性もある。 |
Die flächendeckende Umsetzung der Richtlinie zur Etablierung eines Mindestschutzes bei den Arztpraxen bedarf weiterer Anstrengungen, damit bestehende Hürden, wie Verständnisprobleme oder unklare Umsetzungen ausgeräumt werden können. | 診療所における最低レベルの保護を確立するための指令の包括的な実施には、理解力の問題や実施方法の不明確さといった既存のハードルを克服できるよう、さらなる努力が必要である。 |
ガイド...
全国法定保険医協会(KBV)。2020年 ITセキュリティ確保要件に関するSGB V第75b条に基づく指令
・[PDF] Kassenärztliche Bundesvereinigung (KBV). 2020. Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit,
連邦法定保険歯科医協会(KZBV)。2021. ITセキュリティ確保の要件に関するSGB V第75b条に従ったガイドライン
Comments