以下文章經許可轉載自The Conversation,這是一個報道最新研究的線上出版物。
一份來自議會國家審計署關於 2017 年 5 月 WannaCry 勒索軟體攻擊的報告,該攻擊導致英國國家醫療服務體系的重要部門癱瘓,正如預期的那樣,報告指責NHS 信託機構和護理系統內較小的組織未能確保採取適當的計算機安全措施,例如軟體更新和安全防火牆。
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。 透過購買訂閱,您將幫助確保有關發現和塑造我們當今世界的想法的具有影響力的故事的未來。
但是,NHS 中央 IT 組織 NHS Digital 在 WannaCry 攻擊發生之前很久就提供了安全警報和正確的補丁,本可以保護易受攻擊的系統。 這不是網路安全實踐上的失敗,而是高層網路安全管理的失敗。
儘管 WannaCry 獲得了廣泛的新聞報道,但它對 NHS 來說是一次重要的警鐘,而不是徹底的災難。 它並非一次複雜的攻擊。 但是,任何基於實際 零日漏洞 的攻擊——即軟體缺陷造成的安全漏洞,製造商尚不知曉或尚未公開,因此不存在防禦或補丁來阻止攻擊成功——都可能比 WannaCry 對 NHS 造成更大的打擊。
鑑於國家審計署報告中討論的經驗教訓,希望 NHS 下次能做好更好的準備。 而且,肯定會有下一次,NHS 最好吸取教訓,因為不這樣做的後果可能會更加嚴重。
不計劃就是計劃失敗
事實上,WannaCry 造成的許多損害——包括超過 19,000 次錯過的預約——與攻擊沒有直接關係。 國家審計署的報告明確指出,整個 NHS 缺乏對國家網路安全事件的適當響應。 業務連續性計劃尚未針對如此嚴重的攻擊進行測試。 儘管只有相對少數 NHS 組織實際上感染了 WannaCry,但 NHS 的其他部門關閉了他們的系統作為預防措施,以防止 WannaCry 傳播,直到他們確定該怎麼做。 電子郵件系統在沒有首先建立替代方案的情況下被關閉,導致人們透過電話和 WhatsApp 進行即興處理。
更廣泛地說,很明顯,權力下放使 NHS 的網路安全在受到攻擊時非常脆弱。 當然,NHS Digital 提供了警報和補丁,但似乎沒有任何機制可以檢查,更不用說強制執行它們是否得到實施。 在任何情況下,安全警報都有可能淹沒在網路安全行業“狼來了”的訊息流中。 NHS 信託委員會對網路安全事務的責任感很低,並且沒有被追究責任,因為 醫療質量委員會,NHS 監管機構,尚未將其納入他們的檢查中。
NHS Digital 對該報告的官方回應是簡短的——難怪,因為它表明 NHS Digital 在這次事件中履行了其應盡的職責。 在 WannaCry 事件發生前的幾年裡,NHS Digital 在 88 個 NHS 信託機構提供了現場網路安全評估,但所有機構都未透過。 但是,由於沒有強制執行的權力,它無法推動所需的變更和預防措施來提高安全性。 NHS Digital 自己對 WannaCry 事件的審查(如國家審計署報告中提到的)已確定,大多數信託機構甚至不認為網路安全是對患者預後的風險——在一個嚴重依賴整合數字系統的組織中,這是一種幼稚且危險的觀點。
無人掌控韁繩
國家審計署的報告承認,NHS 信託機構不能因某些缺失的軟體更新而受到責備。 例如,一些醫療儀器,如 MRI 掃描器,由為舊的、不受支援的 Windows 版本編寫的軟體控制,或者在某些情況下由後來倒閉的公司控制。 將這些機器與網路斷開連線可以解決最直接的網路安全問題,但會以複雜化其使用和增加人為錯誤的機會為代價。 國家審計署和 NHS Digital 似乎都沒有找到解決方案。
對於小型 NHS 組織,例如個體全科醫生診所,可能存在資源問題。 誰有時間,以及在他們已經排滿的工作日中的哪個時間點,來確保計算機得到更新? 許多 NHS 接待員應該在一天開始時等待他們的 Windows 更新完成,還是應該幫助他們的病人?
如果資源匱乏尚未指出政府對 NHS 的資金不足,那麼該報告肯定指出了國家層面的失敗,即 NHS England 和 衛生部。 國家資料衛士和 醫療質量委員會 在 2016 年 7 月提供了網路安全建議,但這兩個機構直到 2017 年 7 月,即 WannaCry 事件發生幾個月後才做出回應。 在像 NHS 這樣權力下放的系統中,有效、國家級的網路安全事件計劃的迫切需要現在必須是明確的。
NHS 這次倖免於網路攻擊的全面影響,主要是因為技術解決方案——勒索軟體中的“終止開關”——很快被 MalwareTech 研究員 Marcus Hutchins 發現。 下次 NHS 可能不會那麼幸運,儘管為此目的已經委託進行了新的研究。 諸如 EPSRC EMPHASIS 等專案不僅將著眼於勒索軟體攻擊的技術方面,還將著眼於其經濟、心理和社會方面,以獲得對勒索軟體更全面的理解。
這種跨學科的方法不僅將提高我們對勒索軟體攻擊的理解,而且還將幫助我們快速確定攻擊是社會工程攻擊(由使用者開啟附件或單擊受感染的網站觸發)還是透過技術手段觸發的,例如蠕蟲,就像 WannaCry 和 not-Petya 的情況一樣——後者試圖 破壞性地擦除資料,甚至不試圖勒索錢財。 瞭解透過 比特幣等加密貨幣 的新支付方式也很重要,因為 勒索軟體 通常是一種敲詐勒索罪。 透過更好地瞭解我們的攻擊者及其動機,我們將能夠更好地防禦他們。
本文最初發表於The Conversation。 閱讀原始文章。