Eksperci ostrzegają, że starzejący się sprzęt i infrastruktura informatyczna narażają NHS na niebezpieczeństwo poważniejszych naruszeń bezpieczeństwa i incydentów cybernetycznych, podobnych do ataków ransomware który w czerwcu dotknął dostawcę usług patologicznych Synnovispowodując poważne zakłócenia w podstawowej opiece zdrowotnej w Londynie.
Mówiąc do BBC, Ciaran Martindyrektor naczelny i założyciel brytyjskiego Narodowego Centrum Cyberbezpieczeństwa (NCSC), powiedział, że był „przerażony, ale nie całkowicie zaskoczony” atakiem z 4 czerwca.
Incydent doprowadził do odwołania tysięcy zabiegów medycznych i ostatecznie doprowadził do wyciek 400 GB poufnych danych przez gang Qilinpo tym jak Synnovis odmówił zapłacenia okupu.
Dodał, że „całkiem jasne” jest, że w NHS działa wiele przestarzałych systemów informatycznych, a także że NHS musi lepiej identyfikować i usuwać luki, które mogłyby umożliwić cyberprzestępcom dostęp do systemów, a także robić więcej, aby wdrażać podstawowe najlepsze praktyki w zakresie cyberbezpieczeństwa.
Obawy Martina potwierdzają lekarze, którzy mają wyznaczony termin na grudzień 2022 r. Raport Brytyjskiego Stowarzyszenia Medycznego (BMA) ujawniając, że lekarze marnowali ponad 13 milionów godzin rocznie z powodu opóźnień wynikających z „nieodpowiednich lub wadliwych” systemów i sprzętu. W tamtym czasie było to równowartość 8000 lekarzy na pełnym etacie lub 1 mld funtów.
Łącznie 80% lekarzy, którzy odpowiedzieli na ankietę, na której BMA oparło swój raport, stwierdziło, że ulepszenie infrastruktury informatycznej pozytywnie wpłynęłoby na zmniejszenie ogromnych zaległości w NHS.
Lekarze, z którymi rozmawiała ekipa śledcza BBC, poinformowali, że korzystali z 10-letnich komputerów z systemem Windows 7 i ubolewali nad 14 latami ciągłych cięć budżetowych dokonywanych przez poprzedni rząd.
Podstawy cyberbezpieczeństwa pominięte
Chociaż NHS England poinformowało, że od 2017 r. wydało prawie 340 mln funtów na poprawę cyberbezpieczeństwa w całej służbie zdrowia, ostrzeżenia Martina pojawiły się po tym, jak Computer Weekly ujawnił brak uwagi poświęcanej podstawowym kwestiom, takim jak uwierzytelnianie wieloskładnikowe (MFA) w niektórych obszarach służby zdrowia.
W zeszłym miesiącu sygnaliści podkreślili, jak Program wyników i rejestrów NHS England (ORP), którego celem jest gromadzenie danych z różnych rejestrów klinicznych w celu zapewnienia lepszej opieki nad pacjentami, potencjalnie narażał niezwykle poufne dane na ingerencję i kradzież, pozostawiając portal dostępowy programu widoczny w publicznym Internecie bez stosowania uwierzytelniania wieloskładnikowego.
NHS England poinformował Computer Weekly, że ORP został przetestowany zgodnie z odpowiednimi uprawnieniami, a dostawca, który miał uruchomić program, spełniał aktualne standardy. Stwierdzono, że gdy kontrakt został po raz pierwszy przyznany, MFA – uważane za fundamentalny kamień węgielny cyberobrony – nie było wymogiem dla zewnętrznych, internetowych systemów, ale że jest teraz wdrażane.
„Żadna branża nie jest nietykalna, jeśli chodzi o cyberprzestępczość, a niestety NHS jest głównym celem, biorąc pod uwagę starzejącą się infrastrukturę IT i ilość przechowywanych przez nią poufnych danych” — powiedział Gregg Hardie, dyrektor sektora publicznego w SailPoint. „Jej złożone sieci dostępu ułatwiają złośliwym podmiotom hakowanie i wykorzystywanie poufnych danych pacjentów.
„NHS i wszystkie firmy opieki zdrowotnej muszą upewnić się, że wdrażają wiele kontroli bezpieczeństwa, aby chronić się przed dzisiejszym szybko ewoluującym cybernetycznym krajobrazem” – powiedział. „Ale aby zmniejszyć ryzyko wystąpienia naruszenia, technologia taka jak bezpieczeństwo tożsamości jest kluczowa, aby zarządzać tym, kto ma dostęp do czego i natychmiast sygnalizować wszelkie podejrzane zachowania w organizacji”.