يُظهر تقرير WannaCry أن رؤساء NHS على علم بالخطر الأمني ، لكن الإدارة لم تتخذ أي إجراء

لم يكن الضرر الذي تسببه برنامج الفدية في خدمة الصحة الوطنية في بريطانيا فشلًا للأمن السيبراني من الناحية العملية ولكنه فشل في إدارة الأمن السيبراني على أعلى مستوى.

تمت إعادة طباعة المقال التالي بإذن من The Conversation ، وهو منشور عبر الإنترنت يغطي أحدث الأبحاث.

تم الإبلاغ عن تقرير صادر عن مكتب التدقيق الوطني البرلماني في هجوم WannaCry ransomware الذي أسقط أجزاء كبيرة من خدمة الصحة الوطنية في بريطانيا في مايو 2017 بأنه يلوم صناديق NHS والمنظمات الأصغر داخل نظام الرعاية لفشلها في ضمان تدابير أمان الكمبيوتر المناسبة مثل تحديثات البرامج وجدران الحماية الآمنة.

لكن NHS Digital ، منظمة NHS IT المركزية ، قدمت تنبيهات أمنية والتصحيحات الصحيحة التي من شأنها حماية الأنظمة الضعيفة قبل وقت طويل من إصابة WannaCry. هذا ليس فشلًا للأمن السيبراني في الجوانب العملية ، ولكنه فشل في إدارة الأمن السيبراني على المستوى الأعلى.

على الرغم من التغطية الإخبارية المكثفة التي تلقاها ، كان WannaCry دعوة إيقاظ رئيسية لـ NHS بدلاً من كارثة صريحة. لم يكن هجوما معقدا. لكن أي هجوم يعتمد على ثغرة يوم الصفر الفعلية - خلل في البرنامج يؤدي إلى ثغرة أمنية غير معروفة للشركة المصنعة أو لم يتم الإعلان عنها ، وبالتالي لا يوجد دفاع أو تصحيح لمنع نجاح الهجوم - يمكن أن يصيب NHS أصعب بكثير مما فعل WannaCry.

بالنظر إلى الدروس المستفادة التي تمت مناقشتها في تقرير NAO ، نأمل أن يتم إعداد NHS بشكل أفضل في المرة القادمة. وبما أنه ستكون هناك بالتأكيد مرة قادمة ، من الأفضل أن تكون NHS قد تعلمت دروسها ، لأن الآثار المترتبة على عدم القيام بذلك يمكن أن تكون أكبر بكثير.

الفشل في التخطيط يقود إلى التخطيط للفشل

كما حدث ، فإن الكثير من الضرر الذي تسبب فيه WannaCry - بما في ذلك العديد من أكثر من 19000 موعد فائت - لم يكن له علاقة مباشرة بالهجوم. يوضح تقرير NAO أن NHS ككل تفتقر إلى الاستجابة المناسبة لحادث الأمن السيبراني الوطني. ولم يتم اختبار خطة استمرارية الأعمال في مواجهة مثل هذا الهجوم الخطير. على الرغم من إصابة عدد قليل نسبيًا من مؤسسات NHS بالفعل بواسطة WannaCry ، إلا أن أجزاء أخرى من NHS أغلقت أنظمتها كإجراء احترازي لمنع انتشار WannaCry حتى تأكدوا مما يجب عليهم فعله. تم إيقاف تشغيل أنظمة البريد الإلكتروني دون إنشاء بدائل أولاً ، مما أدى إلى الارتجال عبر الهاتف و WhatsApp.

على نطاق أوسع ، أصبح من الواضح أن اللامركزية قد تركت الأمن السيبراني NHS مكشوفًا للغاية عند تعرضه للهجوم. توفر NHS Digital تنبيهات وتصحيحات ، بالطبع ، ولكن يبدو أنه لا توجد آلية لأي شخص للتحقق ، ناهيك عن التنفيذ ، من تنفيذها. على أي حال ، فإن التنبيهات الأمنية معرضة لخطر الغرق في تدفق رسائل "الذئب البكاء" من صناعة الأمن السيبراني. تأخذ مجالس ثقة NHS القليل من الملكية في مسائل الأمن السيبراني ، ولا تخضع للمساءلة لأن لجنة جودة الرعاية ، وهي الجهة التنظيمية NHS ، لم تدرجها في عمليات التفتيش الخاصة بها.

كان رد الفعل الرسمي من NHS Digital على التقرير مقتضبًا - ولا عجب ، لأنه يخرج من هذه القضية التي نفذت ما كان متوقعًا منها. قدمت NHS Digital تقييمات للأمن السيبراني في الموقع في 88 مؤسسة NHS Trust في السنوات التي سبقت حادثة WannaCry ، وفشلت جميعًا. لكن من دون صلاحيات الإنفاذ ، لم تكن قادرة على الضغط من أجل التغييرات والتدابير الوقائية المطلوبة لتحسين الأمن. أثبتت مراجعة NHS Digital الخاصة بحادث WannaCry (كما ورد في تقرير NAO) أن معظم الصناديق لا تعتقد حتى أن الأمن السيبراني يمثل خطرًا على نتائج المرضى - وجهة نظر ساذجة وخطيرة في مؤسسة تعتمد بشكل كبير على الأنظمة الرقمية المتكاملة.

لم يغادر أحد ممسكًا بزمام الأمور

يقر تقرير NAO أنه لا يمكن إلقاء اللوم على ثقة NHS في بعض تحديثات البرامج المفقودة. يتم التحكم في بعض الأدوات الطبية مثل الماسحات الضوئية للتصوير بالرنين المغناطيسي بواسطة برنامج مكتوب للإصدارات القديمة وغير المدعومة من Windows ، على سبيل المثال ، أو في بعض الحالات من قبل الشركات التي توقفت عن العمل منذ ذلك الحين. سيؤدي فصل هذه الأجهزة عن الشبكة إلى حل مشاكل الأمن السيبراني الأكثر إلحاحًا ، ولكن على حساب تعقيد استخدامها وزيادة فرصة حدوث خطأ بشري. لا يبدو أن لدى NAO أو NHS Digital حلاً حتى الآن.

بالنسبة لمنظمات NHS الصغيرة ، مثل ممارسات GP الفردية ، من المحتمل أن تكون هناك مشكلة في الموارد. من سيكون لديه الوقت ، وفي أي مرحلة من يوم العمل الكامل بالفعل ، لضمان تحديث أجهزة الكمبيوتر؟ هل يجب على العديد من موظفي استقبال NHS انتظار اكتمال تحديثات Windows الخاصة بهم في بداية يومهم ، أو مساعدة مرضاهم ؟.

إذا كان نقص الموارد لا يشير بالفعل إلى نقص التمويل الحكومي لـ NHS ، فإن التقرير يشير بالتأكيد إلى الإخفاقات على المستوى الوطني ، لـ NHS England ووزارة الصحة. تم تزويده بتوصيات الأمن السيبراني من قبل كل من National Data Guardian ولجنة جودة الرعاية بحلول يوليو 2016 ، ولم يستجب أي من الهيئتين حتى يوليو 2017 ، بعد أشهر من WannaCry. يجب أن تكون الحاجة الملحة للتخطيط الفعال على المستوى الوطني لحوادث الأمن السيبراني في مثل هذا النظام اللامركزي مثل NHS واضحة الآن.

نجت NHS من التأثير الكامل لهجوم إلكتروني هذه المرة ، ويرجع ذلك أساسًا إلى أن الحل التقني - "مفتاح القفل" في برنامج الفدية - اكتشفه بسرعة الباحث في MalwareTech ماركوس هتشينز. في المرة القادمة قد لا تكون NHS محظوظة للغاية ، على الرغم من إجراء بحث جديد لهذه الغاية. ستنظر مشاريع مثل EPSRC EMPHASIS ليس فقط في الجوانب التقنية لهجمات برامج الفدية ، ولكن أيضًا الجوانب الاقتصادية والنفسية والاجتماعية للحصول على فهم أكثر تقريبًا لبرامج الفدية.

لن يؤدي هذا النهج متعدد التخصصات فقط إلى زيادة فهمنا لهجمات برامج الفدية ، ولكنه سيساعدنا أيضًا على التأكد بسرعة مما إذا كان الهجوم مصممًا اجتماعيًا أم لا - يتم تشغيله عن طريق فتح المستخدمين المرفقات أو النقر فوق مواقع الويب المصابة - أو يتم تشغيله من خلال وسائل تكنولوجية مثل كما هو الحال مع الدودة ، كما كان الحال مع WannaCry و not-Petya - يسعى الأخير إلى تعطيل البيانات ومسحها بشكل مدمر دون محاولة ابتزاز الأموال. من المهم أيضًا فهم الوسائل الجديدة للدفع عبر العملات المشفرة مثل البيتكوين ، لأن برامج الفدية عادة ما تكون جريمة ابتزاز. من خلال فهم أفضل لمهاجمينا ودوافعهم ، سنكون في وضع أفضل للدفاع ضدهم.