NHS 计划忽略 WannaCry 后的安全建议

WannaCry 攻击导致全球许多最大的服务瘫痪,一直是热门话题,尤其是在英国。 NHS 是受灾最严重的服务之一,它推迟了数千名患者的预约。 由于英国 NHS 的中心化性质,这次打击不仅影响了全国各地的信托基金。 任命的溢出意味着其他信托基金不得不收拾残局。 总体而言,人们认为 WannaCry 花费了 NHS,进而花费了英国 9200 万英镑。

现在 NHS 表示他们将无视安全建议,因为他们认为预防措施并不物有所值。

WannaCry 是什么?

WannaCry 有一个相对较旧的勒索软件,它设法在整个组织中传播。 NHS 并不是唯一受到影响的政党,西班牙电信、本田和德国铁路等公司也在热门名单上。

WannaCry 利用了被称为 EternalBlue 的漏洞,这是一种在旧版 Windows 操作系统中发现的漏洞。 虽然微软已经发布了修复此漏洞的补丁,但受影响的公司并未实施该补丁。 这在 NHS 中极为常见,它依赖于在旧操作系统上运行的大量医疗软件。 通常,存在更新版本,但许可证可能会花费大量资金,而 NHS 往往只坚持他们知道有效的方法。

虽然这有利于节省成本的措施,但它会向大量漏洞打开 Trust,正如 WannaCry 攻击所证明的那样。

NHS 认为更好的网络安全“不是物有所值”

目前的英国政府在 NHS 方面尽可能地节省资金,这已不是什么秘密。 这就是导致英国政府决定实施更严格的网络安全不是一项具有成本效益的措施的原因。

这特别是关于让 NHS 满足称为 Cyber​​ Essentials Plus (CE+) 的网络安全标准。 建议是该组织在 2021 年之前达到该标准的要求,但人们认为这样做可能不是提高整体安全性的最具成本效益的方法。

HSJ.co.uk 根据《信息自由法》向他们发布的文件表明反对让整个组织达到 CE+ 标准。 NHS Digital 表示:“虽然 NHSD 相信使用 CE+ [Cyber Essentials Plus] 由于基准是有用的,让所有供应商都获得认证不会物有所值。”

网络攻击继续发生

虽然如果 WannaCry 是一次性事件,这种思路可能是有道理的,但事实并非如此。 HSJ 获得的报告显示,一些攻击,一些是持续的,另一些是一次性的,是一个大问题。

至少有一个 NHS 组织感染了 Orangeworm,这是一种专门针对医疗保健组织以提取私人数据的攻击。 网络钓鱼仍然是整个 NHS 的一个巨大问题。

这两个例子只是沧海一粟,NHS 不愿意投入必要的资金来确保不会再次发生灾难性事件。 NHS 正在成为一个容易的目标,随着不断削减开支,出现更具个人破坏性的事情只是时间问题。

WannaCry 在某种程度上是一种没有针对性的打击公司的努力,但像 Orangeworm 这样的事情可以直接影响使用 NHS 的人。 医疗保健公司存储大量私人数据,如果这些数据泄露出去,对每个英国公民来说都是一个巨大的问题。

NHS 和英国政府必须意识到,物有所值并不是网络安全的唯一因素。 一旦私人信息进入互联网,它就会永远存在,唯一受此影响的是整个英国人口。