Benhård kritik efter WannaCry lagde britiske sygehuse ned: I ignorerede jo XP-advarsler

30. oktober 2017 kl. 10:351
Benhård kritik efter WannaCry lagde britiske sygehuse ned: I ignorerede jo XP-advarsler
Illustration: NHS.
Næsten 7.000 patientaftaler blev aflyst i midten maj måned som følge af WannaCry. Det kunne have været undgået, hvis det britiske sundhedsvæsen havde patchet deres it-systemer, lyder det nu.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Da ransomware-ormen WannaCry spredte sig i maj, var det britiske sundhedsvæsen NHS blandt de organisationer, som blev hårdt ramt. 81 sygehuse og andre større enheder samt 595 lægehuse var ifølge en ny rapport fra den britiske rigsrevision, National Audit Office, blandt ofrene

Angrebet gik således ud over patientbehandlingen, konkluderer rapporten, idet NHS har opgjort, at 6.912 patientaftaler blev aflyst - det reelle antal aflysninger er dog formentlig større, fremgår det.

Desuden måtte akutte patienter fra i hvert fald fem skadestuer flyttes til andre skadestuer, lyder det fra National Audit Office.

Også kommunikationen mellem de ansatte blev ramt. Eksempelvis kunne lokale enheder ikke e-maile med centrale afdelinger, idet deres systemer enten var låst af ransomwaren eller lukket ned af sikkerhedsgrunde.

Artiklen fortsætter efter annoncen

Det betød, at personalet måtte kommunikere med egne mobiltelefoner og via WhatsApp.

Og det kunne alt sammen have været undgået, hvis NHS havde opdateret deres it-systemer.

»WannaCry-cyberangrebet kunne potentielt havde haft alvorlige konsekvenser for NHS og for behandlingen af patienterne. Det var et relativt simpelt angreb, som kunne have været forhindret, hvis NHS havde indført grundlæggende it-sikkerhed. Der er mere avancerede cybertrusler derude end WannaCry, så NHS bør iværksætte en indsats, der gør, at NHS bliver bedre beskyttet mod fremtidige angreb,« lyder det i en udtalelse fra den britiske rigsrevisor Amyas Morse.

National Audit Office påpeger altså, at man med relativt simple indsatser ('simple actions') kunne have beskyttet systemerne, idet de ramte enheder f.eks. havde upatchede systemer eller kørte på forældede Windows-versioner.

Artiklen fortsætter efter annoncen

Undersøgelsen konkluderer også, at NHS var advaret om risikoen for et cyberangreb, og selv om man havde en indsats i gang, reagerede man ikke systematisk nok.

Således blev NHS allerede i 2014 advaret mod bl.a. Windows XP, og i april 2017 havde NHS Digital ligeledes udsendt advarsler til organisationens enheder om at patche systemerne mod WannaCry. Der blev dog ikke fulgt op på, om der blev reageret på advarslerne, kritiserer revisionen.

Efter angrebet har det dog vist sig, at de fleste ramte enheder kørte på Windows 7-systemer, som bare ikke var patched.

NHS tager handsken op

NHS har nu ifølge National Audit Office iværksat en række indsatser, som bl.a. handler om løbende opdatering af software, et styrket beredskab, som kan sættes i værk i tilfælde af angreb, og en indsats for, at der kan kommunikeres mellem NHS-enheder, uanset at it-systemerne lukkes ned under et angreb.

Artiklen fortsætter efter annoncen

Ifølge oplysninger fra myndighederne betalte NHS ikke løsepenge. Omkostningen for de mange aflyste sygehusaftaler er ikke opgjort.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
30. oktober 2017 kl. 12:54

2.5 NHS Digital told us that the majority of NHS devices infected were unpatched but on the supported Windows 7 operating system. Trusts using Windows 7 could have protected themselves against WannaCry by applying a patch (or update) issued by Microsoft in March 2017, and NHS Digital had issued CareCERT alerts on 17 March and 28 April asking trusts to apply the patch.2 According to the Department of Health (the Department), more than 90% of devices in the NHS use the Windows 7 operating system