Benhård kritik efter WannaCry lagde britiske sygehuse ned: I ignorerede jo XP-advarsler

Illustration: NHS
Næsten 7.000 patientaftaler blev aflyst i midten maj måned som følge af WannaCry. Det kunne have været undgået, hvis det britiske sundhedsvæsen havde patchet deres it-systemer, lyder det nu.

Da ransomware-ormen WannaCry spredte sig i maj, var det britiske sundhedsvæsen NHS blandt de organisationer, som blev hårdt ramt. 81 sygehuse og andre større enheder samt 595 lægehuse var ifølge en ny rapport fra den britiske rigsrevision, National Audit Office, blandt ofrene

Angrebet gik således ud over patientbehandlingen, konkluderer rapporten, idet NHS har opgjort, at 6.912 patientaftaler blev aflyst - det reelle antal aflysninger er dog formentlig større, fremgår det.

Desuden måtte akutte patienter fra i hvert fald fem skadestuer flyttes til andre skadestuer, lyder det fra National Audit Office.

Også kommunikationen mellem de ansatte blev ramt. Eksempelvis kunne lokale enheder ikke e-maile med centrale afdelinger, idet deres systemer enten var låst af ransomwaren eller lukket ned af sikkerhedsgrunde.

Det betød, at personalet måtte kommunikere med egne mobiltelefoner og via WhatsApp.

Og det kunne alt sammen have været undgået, hvis NHS havde opdateret deres it-systemer.

»WannaCry-cyberangrebet kunne potentielt havde haft alvorlige konsekvenser for NHS og for behandlingen af patienterne. Det var et relativt simpelt angreb, som kunne have været forhindret, hvis NHS havde indført grundlæggende it-sikkerhed. Der er mere avancerede cybertrusler derude end WannaCry, så NHS bør iværksætte en indsats, der gør, at NHS bliver bedre beskyttet mod fremtidige angreb,« lyder det i en udtalelse fra den britiske rigsrevisor Amyas Morse.

National Audit Office påpeger altså, at man med relativt simple indsatser ('simple actions') kunne have beskyttet systemerne, idet de ramte enheder f.eks. havde upatchede systemer eller kørte på forældede Windows-versioner.

Undersøgelsen konkluderer også, at NHS var advaret om risikoen for et cyberangreb, og selv om man havde en indsats i gang, reagerede man ikke systematisk nok.

Således blev NHS allerede i 2014 advaret mod bl.a. Windows XP, og i april 2017 havde NHS Digital ligeledes udsendt advarsler til organisationens enheder om at patche systemerne mod WannaCry. Der blev dog ikke fulgt op på, om der blev reageret på advarslerne, kritiserer revisionen.

Efter angrebet har det dog vist sig, at de fleste ramte enheder kørte på Windows 7-systemer, som bare ikke var patched.

NHS tager handsken op

NHS har nu ifølge National Audit Office iværksat en række indsatser, som bl.a. handler om løbende opdatering af software, et styrket beredskab, som kan sættes i værk i tilfælde af angreb, og en indsats for, at der kan kommunikeres mellem NHS-enheder, uanset at it-systemerne lukkes ned under et angreb.

Ifølge oplysninger fra myndighederne betalte NHS ikke løsepenge. Omkostningen for de mange aflyste sygehusaftaler er ikke opgjort.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Flemming Riis

2.5 NHS Digital told us that the majority of NHS devices infected were unpatched but on the supported Windows 7 operating system. Trusts using Windows 7 could have protected themselves against WannaCry by applying a patch (or update) issued by Microsoft in March 2017, and NHS Digital had issued CareCERT alerts on 17 March and 28 April asking trusts to apply the patch.2 According to the Department of Health (the Department), more than 90% of devices in the NHS use the Windows 7 operating system

  • 0
  • 0
Log ind eller Opret konto for at kommentere