以下文章经许可转载自The Conversation,这是一个报道最新研究的在线出版物。
一份来自议会国家审计署关于 2017 年 5 月 WannaCry 勒索软件攻击的报告,该攻击导致英国国家医疗服务体系的重要部门瘫痪,正如预期的那样,报告指责NHS 信托机构和护理系统内较小的组织未能确保采取适当的计算机安全措施,例如软件更新和安全防火墙。
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。 通过购买订阅,您将帮助确保有关发现和塑造我们当今世界的想法的具有影响力的故事的未来。
但是,NHS 中央 IT 组织 NHS Digital 在 WannaCry 攻击发生之前很久就提供了安全警报和正确的补丁,本可以保护易受攻击的系统。 这不是网络安全实践上的失败,而是高层网络安全管理的失败。
尽管 WannaCry 获得了广泛的新闻报道,但它对 NHS 来说是一次重要的警钟,而不是彻底的灾难。 它并非一次复杂的攻击。 但是,任何基于实际 零日漏洞 的攻击——即软件缺陷造成的安全漏洞,制造商尚不知晓或尚未公开,因此不存在防御或补丁来阻止攻击成功——都可能比 WannaCry 对 NHS 造成更大的打击。
鉴于国家审计署报告中讨论的经验教训,希望 NHS 下次能做好更好的准备。 而且,肯定会有下一次,NHS 最好吸取教训,因为不这样做的后果可能会更加严重。
不计划就是计划失败
事实上,WannaCry 造成的许多损害——包括超过 19,000 次错过的预约——与攻击没有直接关系。 国家审计署的报告明确指出,整个 NHS 缺乏对国家网络安全事件的适当响应。 业务连续性计划尚未针对如此严重的攻击进行测试。 尽管只有相对少数 NHS 组织实际上感染了 WannaCry,但 NHS 的其他部门关闭了他们的系统作为预防措施,以防止 WannaCry 传播,直到他们确定该怎么做。 电子邮件系统在没有首先建立替代方案的情况下被关闭,导致人们通过电话和 WhatsApp 进行即兴处理。
更广泛地说,很明显,权力下放使 NHS 的网络安全在受到攻击时非常脆弱。 当然,NHS Digital 提供了警报和补丁,但似乎没有任何机制可以检查,更不用说强制执行它们是否得到实施。 在任何情况下,安全警报都有可能淹没在网络安全行业“狼来了”的消息流中。 NHS 信托委员会对网络安全事务的责任感很低,并且没有被追究责任,因为 医疗质量委员会,NHS 监管机构,尚未将其纳入他们的检查中。
NHS Digital 对该报告的官方回应是简短的——难怪,因为它表明 NHS Digital 在这次事件中履行了其应尽的职责。 在 WannaCry 事件发生前的几年里,NHS Digital 在 88 个 NHS 信托机构提供了现场网络安全评估,但所有机构都未通过。 但是,由于没有强制执行的权力,它无法推动所需的变更和预防措施来提高安全性。 NHS Digital 自己对 WannaCry 事件的审查(如国家审计署报告中提到的)已确定,大多数信托机构甚至不认为网络安全是对患者预后的风险——在一个严重依赖集成数字系统的组织中,这是一种幼稚且危险的观点。
无人掌控缰绳
国家审计署的报告承认,NHS 信托机构不能因某些缺失的软件更新而受到责备。 例如,一些医疗仪器,如 MRI 扫描仪,由为旧的、不受支持的 Windows 版本编写的软件控制,或者在某些情况下由后来倒闭的公司控制。 将这些机器与网络断开连接可以解决最直接的网络安全问题,但会以复杂化其使用和增加人为错误的机会为代价。 国家审计署和 NHS Digital 似乎都没有找到解决方案。
对于小型 NHS 组织,例如个体全科医生诊所,可能存在资源问题。 谁有时间,以及在他们已经排满的工作日中的哪个时间点,来确保计算机得到更新? 许多 NHS 接待员应该在一天开始时等待他们的 Windows 更新完成,还是应该帮助他们的病人?
如果资源匮乏尚未指出政府对 NHS 的资金不足,那么该报告肯定指出了国家层面的失败,即 NHS England 和 卫生部。 国家数据卫士和 医疗质量委员会 在 2016 年 7 月提供了网络安全建议,但这两个机构直到 2017 年 7 月,即 WannaCry 事件发生几个月后才做出回应。 在像 NHS 这样权力下放的系统中,有效、国家级的网络安全事件计划的迫切需要现在必须是明确的。
NHS 这次幸免于网络攻击的全面影响,主要是因为技术解决方案——勒索软件中的“终止开关”——很快被 MalwareTech 研究员 Marcus Hutchins 发现。 下次 NHS 可能不会那么幸运,尽管为此目的已经委托进行了新的研究。 诸如 EPSRC EMPHASIS 等项目不仅将着眼于勒索软件攻击的技术方面,还将着眼于其经济、心理和社会方面,以获得对勒索软件更全面的理解。
这种跨学科的方法不仅将提高我们对勒索软件攻击的理解,而且还将帮助我们快速确定攻击是社会工程攻击(由用户打开附件或单击受感染的网站触发)还是通过技术手段触发的,例如蠕虫,就像 WannaCry 和 not-Petya 的情况一样——后者试图 破坏性地擦除数据,甚至不试图勒索钱财。 了解通过 比特币等加密货币 的新支付方式也很重要,因为 勒索软件 通常是一种敲诈勒索罪。 通过更好地了解我们的攻击者及其动机,我们将能够更好地防御他们。
本文最初发表于The Conversation。 阅读原始文章。