半田病院
手が空いたので、例の半田病院の報告書をちょい詳しめに読んだのだが、ちょっと微妙。
ファイルの暗号化の話は触れられているのだが、肝心のデータベースはどうなったのか?という件はほとんど触れられていない。
半田病院のシステムがどうなっていたかは知る由はないのだが、通常、電カルの主要な情報は検索性高めるためにデータベースに格納する。
一般に、電カルのデータベースの置き場所を外部から特定して侵入するのは難易度高い。今回も周辺の設定ファイルなどを荒らしただけのような気がしないでもない。
なんで、これで業務全体がストップするのか、よくわからない。
オープンソース
半田病院の件の影響なのか「では、オープンソースの電子カルテはセキュリティの観点から安全なのか?」という話題が某所で上がった。
さて、どうなんでしょ?
OpenDolphin
私がある程度知っているオープンソースの電子カルテというと OpenDolphin なのだが、これに関していえばログイン認証などはクローズドで開発されたものに比べればやはり甘いと思う。
なにしろログイン認証の方式などセキュリティに関わる情報を教えているようなものなので、クラッキングする側から見れば「事前に問題をバラした筆記試験に挑む」ようなものだろう。
だが、それがそのまま弱点につながるかというと、そんなに単純なものでもないと思う。
半田病院の件で言えば、切れ切れに漏れてくる情報から察するに担当者がどの程度の被害なのかさえ把握できていなかった節がある。
これがもしオープンソースであり、担当者がシステムに対してある程度の知見を持っていたならば、状況はかなり違っていたものになっていたのではないかと思う。
(追記)この問題に関しては、WebDolphORCA のページなどで「3層クラサバ構成にする」というアイディアを出してます。
大阪急性期・総合医療センター病院との対比
大阪の病院でも似たような事件が起きた。
だが、こちらの方は早期に復旧した。
これは、この病院がバックアップデータを保管していて、そこから直接カルテ記載情報を復号することに成功したからだ。
半田病院はバックアップデータを取るのを怠っていたか、取っていても復号できなかったとしか考えようがなく、かなり初心者的なミスと考えられるだろう。