Kunne regeringen eller efterretningstjenester har gjort mere for at beskytte sundheden service fra it-kriminelle?

NHS har været ramt af en omfattende cyber-angreb på it-systemer.
Foto: Daniel Leal-Olivas/AFP/Getty Images

It-kriminalitet

Hvem har skylden for at udsætte NHS, at cyber-angreb?

Kunne regeringen eller efterretningstjenester har gjort mere for at beskytte sundheden service fra it-kriminelle?

• Del på Facebook

• Del på Twitter

• Del via e-Mail

• Se flere indstillinger for deling

• Del på LinkedIn

• Del på Pinterest

• Del på Google+

• Del på WhatsApp

• Del på Messenger

• Luk

@alexhern

Mandag den 15 Maj 2017 14.43 BST

Sidst opdateret mandag den 15 Maj 2017 16.46 BST

Tre dage efter WannaCry ransomware udbrud, en perlerække af spørgsmål, der er dukket op. Kunne de AMERIKANSKE og BRITISKE efterretningstjenester – NSA og GCHQ – har gjort mere for at forhindre angreb? Og i det forenede KONGERIGE, skal NHS dele nogle af skylden for at tillade sig selv at være så sårbare?

Den kæde af begivenheder, der starter med NSA. Det opdagede den svaghed, der gjorde ransomware så produktiv , som derefter blev stjålet af en ubehagelig gruppe, kendt som ” Shadow Mæglere, som menes at være knyttet til den russiske regering.

Skyggen Mæglere først dukkede op sidste år, og har udgivet fem separate lækager af hacking værktøjer stjålet fra NSA siden da. “Ansvarlig disclosure” – den praksis advarsel virksomheder inden afsløre sikkerhed fejl – er ikke noget, som gruppen tager del i det, og dens data lossepladser synes at være timet til at genere NSA og den AMERIKANSKE regering med lidt pleje for collateral damage.

Den femte og seneste dump indeholdt den sårbarhed, med tilnavnet EternalBlue af NSA, som tillod WannaCry at sprede sig så langt og hurtigt. På baggrund af det, fejlen var løst med Microsoft uden kommentar, en måned før Skygge Mæglere lækagen blev offentliggjort, fører mange til at antage, at NSA havde tippet udvikler off om eksistensen af sårbarhed.

Hvad er WannaCry ransomware og hvorfor er det at angribe globale computere?

Læs mere

“Det virkelige problem”, sagde Ilia Kolochenko, administrerende direktør for sikkerhed og konsulentbistand High-Tech Bridge, “er, at i 2017, de største virksomheder og regeringer, der stadig undlader at lappe offentligt afsløret mangler i flere måneder.” Microsoft selv gik ud af sin måde at udstede et gratis fix for Windows XP, en version af sit styresystem, der ikke er blevet solgt i mere end otte år. Den sikkerhed, virksomheden har udstedt et svidende angreb på NSA, at sammenligne den læk, at “det AMERIKANSKE militær, der har nogle af sine Tomahawk-missiler stjålet”.

Der er yderligere spørgsmål for NSA og GCHQ. Begge myndigheder teknisk set har to opgaver: at beskytte deres nationale IT-infrastruktur, og til at blive effektive hackere i deres egen ret, til at bryde ind i det netværk af modstandere indenlandske og udenlandske. De understreger, at split, Britain ‘ s National Cyber Security Center er et datterselskab af GCHQ.

Jim Killock, administrerende direktør for det Åbne Rettigheder-Gruppen påpeger, at de mandater, der er i konflikt, og at det er ikke første gang at den sikkerhed, agenturer har valgt at holde en svaghed hemmelighed, så de kunne bruge det selv, snarere end at hjælpe med at løse det, så deres borgere blev gjort sikker. “GCHQ har en masse spørgsmål at besvare, om deres meget farlig strategi, for hamstring viden om sikkerhedsmæssige problemer,” Killock sagde. “The National Cyber Security Center skal være uafhængig af GCHQ, så disse risici kan være afbalanceret, uden fordomme.”

NSA har længe nægtet hamstring sikkerhedshuller, hævder i 2015, at det i sidste ende afslører 91% af de svagheder, den opdager, at udviklere, så de kan være fast (af 9% ikke oplyst, det sagde mange blev rettet, før det kunne rapportere dem). Men en masse af de råderum der findes i word “i sidste ende”: NSA kan holde opdaget sikkerhedsmæssige svagheder hemmelighed for måneder eller endda år, at bevare sin hacking evne.

I det forenede KONGERIGE, Investigatory Powers Act, ledt gennem parlamentet, Theresa May, når hun var hjemme sekretær, formaliserer evne GCHQ ‘ s hacking hold til at bryde ind i computere, stigende til yderligere motivation for at hamstre disse svagheder, før det er for sent. Storbritannien fører den måde, at offentliggøre sådanne fejl, med GCHQ at hjælpe med at rette 20 hidtil uopdagede svagheder i 2015.

Som NHS, hvorfor så mange af de investeringsfonde, undlader at anvende Microsoft løser, eller pletter? Selv dem, der har tillid til, at stadig køre dateret Windows XP-operativsystemet er i høj grad betale høje gebyrer for “individuel støtte”, hvilket betyder, at de burde have haft adgang til den sårbarhed fix i gang.

NHS Digital sundhedsvæsenet er centralt organ for DET, udstedt en bekendtgørelse om 25 April fortæller personalet at opdatere systemer, to uger efter Skyggen Mæglere ” lække og seks uger efter, at Microsoft i første omgang udsendt en patch. Men NHS trust ” og organer, der i sidste ende er fri til at afgøre, om eller ikke at følge sådanne råd, og opdateringerne er ikke altid enkel at administrere.

“Det er vigtigt at anerkende, at patch opbygning er kompleks,” siger Adam Madsen, vice president for cyber-sikkerhed, virksomheden CrowdStrike. “Høj-profil patch fiaskoer har lavet IT-afdelinger på vagt over for automatiske programrettelse anlæg. Organisationer, der ofte køre test, for at dobbelt tjekke at anvende plasteret ikke banke over deres IT-systemer.”

For et sundhedsvæsen, sådanne overvejelser er afgørende. Dyre, specialiserede udstyr må ikke arbejde med nyere operativsystemer, eller kræve helt ny software til at være skrevet for at sætte kompatibilitet. Du opgraderer en computer i hjemmet til den nyeste version af Windows er vanskelig nok, og de fleste Microsoft-kunder behøver ikke at gøre en 15-årig MR-maskine arbejde sammen med det.

Og så det spørgsmål kommer tilbage til penge. For næsten et år siden, den Pleje, Kvalitet Kommissionen og de Nationale Data Guardian skrev et fælles brev til sundhed sekretær, Jeremy Hunt, advarer om risiko for alvorlige, store data-tab” hvis DET var venstre uforbedrede.

En bedre bemidlet NHS har måske haft nok personale til at holde netværk fungerer, samtidig med at teste og anvende programrettelser, at købe nyt hardware, og opdatering af operativsystemer, et punkt Arbejdskraft er ivrig efter at gøre i forbindelse med valgkampen.

Men mange andre organisationer rundt om i verden blev ramt af WannaCry; politikere er usandsynligt, at beskylde Telefonica, FedEx eller Deutsche Bahn for at være ressource-hungrende, men også de faldt i bytte.

Hvis hensigten er at finde nogen at skyde skylden på, så den finger, bør først og fremmest være rettet mod malware forfattere selv, der valgte at frigøre WannaCry i et forsøg på at presse penge.

Den malware har spredt sig ud over dens forfattere ” vildeste drømme – og deres mareridt. Bitcoin, det medium, hvorigennem WannaCry kræver betaling, kan give en finer af anonymitet, men den kombinerede indsats af verdens sikkerhed agenturer nu søger den hackere ude.