Benhård kritik efter WannaCry lagde britiske sygehuse ned: I ignorerede jo XP-advarsler
Da ransomware-ormen WannaCry spredte sig i maj, var det britiske sundhedsvæsen NHS blandt de organisationer, som blev hårdt ramt. 81 sygehuse og andre større enheder samt 595 lægehuse var ifølge en ny rapport fra den britiske rigsrevision, National Audit Office, blandt ofrene
Angrebet gik således ud over patientbehandlingen, konkluderer rapporten, idet NHS har opgjort, at 6.912 patientaftaler blev aflyst - det reelle antal aflysninger er dog formentlig større, fremgår det.
Desuden måtte akutte patienter fra i hvert fald fem skadestuer flyttes til andre skadestuer, lyder det fra National Audit Office.
Også kommunikationen mellem de ansatte blev ramt. Eksempelvis kunne lokale enheder ikke e-maile med centrale afdelinger, idet deres systemer enten var låst af ransomwaren eller lukket ned af sikkerhedsgrunde.
Det betød, at personalet måtte kommunikere med egne mobiltelefoner og via WhatsApp.
Og det kunne alt sammen have været undgået, hvis NHS havde opdateret deres it-systemer.
»WannaCry-cyberangrebet kunne potentielt havde haft alvorlige konsekvenser for NHS og for behandlingen af patienterne. Det var et relativt simpelt angreb, som kunne have været forhindret, hvis NHS havde indført grundlæggende it-sikkerhed. Der er mere avancerede cybertrusler derude end WannaCry, så NHS bør iværksætte en indsats, der gør, at NHS bliver bedre beskyttet mod fremtidige angreb,« lyder det i en udtalelse fra den britiske rigsrevisor Amyas Morse.
National Audit Office påpeger altså, at man med relativt simple indsatser ('simple actions') kunne have beskyttet systemerne, idet de ramte enheder f.eks. havde upatchede systemer eller kørte på forældede Windows-versioner.
Undersøgelsen konkluderer også, at NHS var advaret om risikoen for et cyberangreb, og selv om man havde en indsats i gang, reagerede man ikke systematisk nok.
Således blev NHS allerede i 2014 advaret mod bl.a. Windows XP, og i april 2017 havde NHS Digital ligeledes udsendt advarsler til organisationens enheder om at patche systemerne mod WannaCry. Der blev dog ikke fulgt op på, om der blev reageret på advarslerne, kritiserer revisionen.
Efter angrebet har det dog vist sig, at de fleste ramte enheder kørte på Windows 7-systemer, som bare ikke var patched.
NHS tager handsken op
NHS har nu ifølge National Audit Office iværksat en række indsatser, som bl.a. handler om løbende opdatering af software, et styrket beredskab, som kan sættes i værk i tilfælde af angreb, og en indsats for, at der kan kommunikeres mellem NHS-enheder, uanset at it-systemerne lukkes ned under et angreb.
Ifølge oplysninger fra myndighederne betalte NHS ikke løsepenge. Omkostningen for de mange aflyste sygehusaftaler er ikke opgjort.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
