同氏は、医療事業者に対する攻撃が成功している大きな原因の1つに教育不足を挙げている。多くの病院は、スタッフがフィッシングメールや怪しいリンクを見分ける能力を持っていると、理由もなく信じているという。
サイバー攻撃に対する教育と警戒が欠けていることは問題だが、問題はそれだけではない。
「病院は自分たちは攻撃を受けないと思い込んでおり、ホワイトリストやパーミッションに基づくアクセス、ローカルドライブの書き込み禁止などの、実績のある技術的なアプローチを取っていない」とAllaway氏は述べている。
しかし、なぜサイバー攻撃者は医療関係組織を標的にするのだろうか。こういった重要なサービスがこうした攻撃を受けるはずはないと思う人もいるかもしれないが、道徳的にはさておき、医療情報やPIIは非常に価値が高い情報であり、これを対象としたビジネスが生まれつつある。
攻撃者が心臓ペースメーカーやインスリンポンプなどの個々の医療機器を操作しても、金銭的利益は得られないかもしれないが、Qualcomm LifeのプレジデントRick Valencia氏は、「犯罪者の動機はIoMTでも同じであり、ただ金額が上がるだけ」だと述べている。
「一般的に言って、ハッキングの目的は金銭か、破壊か、攻撃を可能にするための種(ボット)の埋め込みのいずれかだ」とValencia氏は言う。「医療業界では、情報の盗難や医療機器の制御は、さらに非道な意図で行われる可能性がある」
同氏は、「命に関わる医療機器に適切なセキュリティとプライバシー保護の対策が施されていなければ、患者が重傷を受けたり死んだりする可能性があるだけでなく、極端に言えば暗殺に使われるかもしれない」と付け加えた。
スマートフォンからスマート照明やモデムまで、幅広いデバイスを包含するモノのインターネット(IoT)は、セキュリティが不十分なデバイスが突然大量にインターネットにつながると何が起こるかを教えてくれた。
それらのIoTデバイスがマルウェアに感染すると、(ボットネット「Mirai」のように)恐ろしいボットネットが生まれる可能性があるが、ネットワークに接続された医療機器が登場すれば、状況はさらに悪化しそうに思える。
しかし、Black Duck Softwareのセキュリティ戦略担当バイスプレジデントMike Pittenger氏は、ボットネットとしての医療機器の利用は、単純に規模の面で、IoTほど大きな問題にはならないと考えている。
「医療機器にアクセスして乗っ取るのは、IoTデバイスよりも困難である可能性が高く、効果的なDDoS攻撃に必要な数のデバイスを集めるのは難しい」と同氏はコメントしている。
とは言え、たとえ医療機器を標的とするハッカーが、ボットネットの構築に興味がないとしても、攻撃が成功すれば患者の安全が脅かされるという問題は残る。キャリアや評判が傷つけられ、医療事業者のブランドもダメージを受ける可能性がある。
それに加え、患者に接続しているネットワークや医療機器によってPIIが流出した場合、医療機器メーカーや医療サービスは法的責任を問われるリスクを負うことになる。