For Kris Hagerman, administrerende direktør for UK-baseret it-sikkerhedsfirma Sophos Group Plc, har den seneste uge kunne have været dårlige. Den WannaCry “ransomware” angreb rokkede nogle af sine hospital kunder i Storbritanniens National Health Service, som tvinger dem til at vende sig væk ambulancer og aflyse operationer.
Virksomheden hurtigt fjernet en prale på sin hjemmeside, at “NHS er helt beskyttet med Sophos.” I mange industrier, den slags snuble sandsynligvis ville ramme en virksomheds omdømme hårdt.
Endnu på mandag, tre dage efter, at den globale malware-angreb blev først opdaget, Sophos lager sprang mere end 7 procent at sætte en rekord høj og steg yderligere på onsdag, efter at selskabet har øget sit finansielle prognoser.
Som for de fleste andre cyber-sikkerhed i virksomheder, meget omtalte cyber-angreb er en god forretning, selv om eksperter siger, at sådanne angreb understrege, at branchen mangler.
Franske Forskere med at Finde Sidste Forsøg på at Helbrede for at Låse Filer
“Vi har gjort gode fremskridt, og gør et godt stykke arbejde,” Hagerman sagde i et interview i denne uge. “Folk spørger ‘Hvordan kan det være, du ikke har løst cyber kriminalitet problem?’, og det er lidt ligesom at sige ‘Du menneskelige væsener har eksisteret i hundreder af tusinder af år, hvordan kan det være, du ikke har løst kriminalitet problem?’”
Hagerman påpegede, at hans virksomhed kun hævdes at beskytte 60 procent af NHS datterselskaber, og at andre faktorer har bidraget til katastrofen på sygehusene.
“De har deres egne budgetter. De har deres egen tilgang til IT generelt og IT-sikkerhed,” Hagerman sagde, at enkelte hospitaler, der udvælger deres egne operativsystemer, lappe cykler og netværk opsætninger. Microsoft har udsendt en programrettelse i Marts for fejl WannaCry udnyttes i Windows-operativsystemer.
Endnu Hagerman har erkendt, at Sophos ikke opdatere sin grundlæggende antivirus software til at blokere WannaCry, indtil timer efter det ramte kunder.
High stakes
Sikkerhedseksperter siger, hospitaler, hvor indsatserne er især høj, udgør et case-studie i, hvordan arven industrien har brug for, for at op deres cyber-sikkerhed spil.
“Vi har tolereret en temmelig dårlig effektivitet, fordi så vidt det følger af ikke have været acceptabelt,” sagde Josh Corman, en cyber-sikkerhed industri veteran nu arbejder med beslægtede emner på Atlantic-Rådet og et medlem af en sundhedsydelser security task force nedsat af den AMERIKANSKE Kongres.
“Vi kommer til at se fiasko målt i tab af menneskeliv og et hit til BNP, og folk vil blive meget overraskede.”
Nogle langvarig medicinsk udstyr har mere end tusind sårbarheder, Corman sagde, og måske 85 procent af OS medicinske institutioner har ingen personale, der er kvalificeret til grundlæggende it-sikkerhedsmæssige opgaver såsom patching af software, overvågning trussel bulletiner og adskillelse af netværk fra et andet.
Stadig mere alvorlige cyber-sikkerhed problemer er dels en uundgåelig konsekvens af den stigende kompleksitet af digital teknologi.
Men der er andre årsager, herunder en mangel på ansvarlighed, som stammer fra den brede vifte af teknologi-handlere: computer software leverandører, antivirus-leverandører, in-house fagfolk, konsulenter og forskellige myndigheder.
I sidste ende, Corman sagde, hospitaler har brug for at leje solid cyber-sikkerhed folk i stedet for en anden sygeplejerske eller to.
En god forretning
“Hvad der er brug for, er straf for uagtsom,” sagde Ross Anderson, en University of Cambridge pioner i at studere de økonomiske aspekter af informationssikkerhed, med henvisning til de sygehuse, som ikke stoppe WannaCry.
“Det handler ikke om teknologi. Det handler om mennesker begroning op i, hvordan folk ville få en pink slip” i mindre isolerede miljøer, han sagde, hvilket betyder at de ville miste deres job.
For nu, selvom der er nogle få tegn af enhver reform i store institutioner’ tilgang til it-sikkerhed – og lidt incitament for entreprenører i cyber-sikkerhed industrien til at ændre.
Sophos var ikke det eneste selskab, hvis bestanden steg mandag, da det globale omfang af WannaCry blev klart. Aktier i USA-baserede FireEye og Qualys både steg mere end 5 procent.
Men Sophos stod ud, hjulpet af højere forventninger til et produkt, virksomheden indført sidste år til at afværge ransomware – således kaldet, fordi forfatterne af den malware, der kræver et “løsesum” for at genoprette en bruger, der er inficeret computer, der arbejdede på hospitaler, der havde installeret det.
“Det er gode nyheder for vores forretning,” en Sophos medarbejder, som spurgte ikke at blive navngivet, fortalte Reuters i denne uge. “Vi var så oversvømmet med folk ringer til os.”
© Thomson Reuters 2017