Kunne regjeringen eller etterretningsorganisasjoner har gjort mer for å beskytte helse tjenesten fra nettkriminelle?

NHS har blitt truffet av en stor cyber-angrep på sine datasystemer.
Foto: Daniel Leal-Olivas/AFP/Getty Images

Datakriminalitet

Hvem som er å klandre for å utsette NHS til cyber-angrep?

Kunne regjeringen eller etterretningsorganisasjoner har gjort mer for å beskytte helse tjenesten fra nettkriminelle?

• Del på Facebook

• Del på Twitter

• Del via E-post

• Se flere delingsalternativer

• Del på LinkedIn

• Del på Pinterest

• Del på Google+

• Del på WhatsApp

• Del på Messenger

• Lukk

@alexhern

Mandag 15. Mai 2017 14.43 BST

Sist endret på mandag 15 Mai 2017 16.46 BST

Tre dager etter WannaCry ransomware utbrudd, en rekke spørsmål har dukket opp. Kan USA og STORBRITANNIA etterretningsavdelinger – NSA og GCHQ – har gjort mer for å hindre angrep? Og, i STORBRITANNIA, må NHS dele noen av skylden for å tillate seg selv å være så sårbare?

Den kjede av hendelser som starter med NSA. Det oppdaget en svakhet som gjorde ransomware så produktive , som ble stjålet av en hacking gruppen kjent som Skygge Meglere, antatt å være knyttet til den russiske regjeringen.

Skyggen Meglere først dukket opp i fjor, og har publisert fem separate lekkasjer av hacking verktøy stjålet fra NSA siden da. “Responsible disclosure” – praksis advarsel selskaper før avslørende sikkerhetshull – er ikke noe konsernet tar del i, og dens data dumper synes å være timet for å fornærme NSA og usas regjering med lite omsorg for utilsiktet skade.

Den femte og siste dump inneholdt sårbarhet, kalt EternalBlue av NSA, som tillot WannaCry å spre seg så langt og fort. På forsiden av det, feilen ble fikset av Microsoft uten kommentar en måned før Skygge Meglere lekkasjen ble publisert, noe som fører mange til å anta NSA hadde tippet utvikleren av om eksistensen av sårbarhet.

Hva er WannaCry ransomware og hvorfor er det å angripe global datamaskiner?

Les mer

“Det virkelige problemet,” sa Ilia Kolochenko, administrerende direktør i sikkerhet rådgivning High-Tech Bridge, “er at i 2017, den største selskaper og regjeringer fortsatt ikke klarer å patch offentliggjort feil for måneder.” Microsoft selv gikk ut av sin vei for å utstede en gratis løsning for Windows XP, en versjon av operativsystemet som ikke har vært solgt for mer enn åtte år. Sikkerhet utstedte selskapet et sviende angrep på NSA, sammenligne lekke til “den AMERIKANSKE militære har noen av sine Tomahawk-missiler stjålet”.

Det er videre spørsmål for NSA og GCHQ. Begge etater teknisk har to ansvarsområder: å beskytte sin nasjonale IT-infrastruktur, og å bli effektive hackere i deres egen rett til å bryte inn i nettverk av motstandere innenlandske og utenlandske. Vi understreker at delt, Storbritannias National Cyber Security Centre er et datterselskap av GCHQ.

Jim Killock, administrerende direktør i Open Rights Group, peker på at de mandater konflikt, og som ikke er for første gang sikkerhetsorganisasjonene valgte å holde en sårbarhet hemmelig slik at de kan bruke det selv, snarere enn å hjelpe til med å fikse det slik at deres borgere ble gjort trygg. “GCHQ har mange spørsmål å svare på om deres svært farlig strategi for hamstring kunnskap om sikkerhet problemer,” Killock sa. “The National Cyber Security Centre bør gjøres uavhengig av GCHQ så disse risikoene kan bli balansert uten bias.”

NSA har lenge nektet hamstring sikkerhetsproblemer, krav i 2015 at det til slutt avslører 91% av svakheter det oppdager for utviklere, slik at de kan være fast (av 9% ikke offentliggjort, det sa mange ble løst før det kunne rapportere dem). Men mye av handlingsrommet finnes i word – “slutt”: NSA kan holde oppdaget svakheter hemmelig for måneder eller år for å opprettholde sin hacking evne.

I STORBRITANNIA, Investigatory Powers Act, kjempet gjennom i parlamentet av Theresa Kan da hun var hjemme sekretær, formalises evne til GCHQ er hacking lag å bryte seg inn i datamaskiner, øke enda mer motivasjon for hamstring slike svakheter før det er for sent. Storbritannia gjør lede an i offentlig avsløre slike feil, med GCHQ hjelper fikse 20 tidligere uoppdagede svakheter i 2015.

Som for NHS, hvorfor så mange av de stoler ikke klarer å bruke Microsoft fikser, eller patcher? Selv de stoler på at fortsatt kjøre datert Windows XP-operativsystemet er i stor grad å betale høye avgifter for “tilpasset støtte”, noe som betyr at de må ha hatt tilgang til sårbarhet løs i tid.

NHS Digital, helse tjenesten er sentralisert organ for DET, utstedt et varsel på 25 April forteller ansatte å oppdatere systemer, to uker etter Skyggen Meglere’ lekkasje og seks uker etter at Microsoft i utgangspunktet utstedt en patch. Men NHS trusts og organer til syvende og sist er gratis å avgjøre hvorvidt eller ikke å følge et slikt råd, og oppdateringer er ikke alltid enkle å administrere.

“Det er viktig å innse at patch utrullering er komplekse,” sa Adam Meyers, vice president of cyber security selskapet CrowdStrike. “Høy-profil patch fiascos har gjort DET avdelinger skeptisk til automatisk oppdatering installasjoner. Organisasjoner ofte kjører testing, for å dobbeltsjekke at du søker oppdateringen ikke banke over sine IT-systemer.”

For en helse tjeneste, slike hensyn er avgjørende. Dyrt spesialutstyr fungerer kanskje ikke med nyere operativsystemer, eller kreve en helt ny programvare til å være skrevet for å muliggjøre kompatibilitet. Oppgradering av en hjemme-pc til den nyeste versjonen av Windows er vanskelig nok, og de fleste Microsoft-kunder trenger ikke å gjøre en 15-år-gamle MR-maskin, og til sammen er det.

Og så kommer spørsmålet tilbake til penger. Nesten et år siden, Omsorg-Kvalitet-Kommisjonen og Nasjonale Data Guardian skrev et felles brev til helse-sekretær, Jeremy Hunt, varsling av risiko for “seriøse, store tap av data” hvis DET var venstre dårlige.

En bedre utrustet NHS kan ha hatt nok personell til å holde nettverk fungerer mens testing og bruk av patcher, kjøpe ny maskinvare, og oppdaterer operativsystemer, et punkt Arbeidskraft har vært opptatt av å gjøre i forbindelse med valgkampen.

Men mange andre organisasjoner rundt om i verden ble rammet av WannaCry; politikere er usannsynlig å anklage Telefonica, FedEx eller Deutsche Bahn av å være ressurs-utsultet, men også de falt byttedyr.

Hvis hensikten er å finne noen å skylde på, og deretter fingeren skal i hovedsak være rettet mot malware forfattere seg selv, som valgte å slippe løs WannaCry i et forsøk på å presse penger.

Den malware har spredt seg utover sine forfattere’ villeste drømmer – og deres mareritt. Bitcoin, medium der WannaCry krever betaling, kan gi en ferniss av anonymitet, men den kombinerte innsatsen til verdens sikkerhet byråer er nå søker hackere ut.