هجوم Synnovis يسلط الضوء على الحالة المتدهورة والقديمة لتكنولوجيا المعلومات في هيئة الخدمات الصحية الوطنية
حذر الخبراء من أن المعدات والبنية الأساسية لتكنولوجيا المعلومات القديمة تجعل هيئة الخدمات الصحية الوطنية معرضة بشكل خطير لمزيد من الخروقات والحوادث الإلكترونية المدمرة على نفس المنوال مثل هجوم برامج الفدية التي ضربت شركة Synnovis لخدمات علم الأمراض في يونيومما تسبب في حدوث اضطرابات واسعة النطاق في الرعاية الصحية في لندن.
متحدثا إلى هيئة الإذاعة البريطانية (بي بي سي), سياران مارتنوقال الرئيس التنفيذي المؤسس لمركز الأمن السيبراني الوطني في المملكة المتحدة، ديفيد بيزوس، إنه شعر “بالرعب، ولكن ليس بالمفاجأة الكاملة” من الهجوم الذي وقع في الرابع من يونيو/حزيران.
وقد أدى الحادث إلى إلغاء آلاف الإجراءات الطبية، وفي النهاية شهد تسريب 400 جيجابايت من البيانات الحساسة من قبل عصابة تشيلينبعد أن رفضت شركة سينوفيس دفع فدية.
وقال إنه “من الواضح تمامًا” أن هيئة الخدمات الصحية الوطنية تدير الكثير من تكنولوجيا المعلومات القديمة، كما أن هيئة الخدمات الصحية الوطنية بحاجة إلى تحسين أدائها في تحديد ومعالجة النقاط الضعيفة التي قد تتيح للمجرمين الإلكترونيين الوصول إلى أنظمتها، وبذل المزيد من الجهود لمعالجة أفضل ممارسات الأمن السيبراني الأساسية.
وتدعم مخاوف مارتن الأطباء، حيث من المقرر أن يتم الإعلان عن موعد إجراء العملية في ديسمبر 2022. تقرير الجمعية الطبية البريطانية (BMA) وكشفت دراسة حديثة أن الأطباء يهدرون أكثر من 13 مليون ساعة سنويا بسبب التأخير الناجم عن “أنظمة ومعدات غير كافية أو معطلة”. وفي ذلك الوقت، كان هذا يعادل 8000 طبيب بدوام كامل، أو مليار جنيه إسترليني.
وقال ما مجموعه 80% من الأطباء الذين استجابوا للاستطلاع الذي استندت إليه الجمعية الطبية البريطانية في تقريرها إن تحسين البنية التحتية لتكنولوجيا المعلومات سيكون له تأثير إيجابي في إزالة التأخيرات الهائلة التي تواجهها هيئة الخدمات الصحية الوطنية.
وقال الأطباء الذين تحدثوا إلى فريق تحقيقات بي بي سي إنهم يستخدمون أجهزة كمبيوتر عمرها عشر سنوات تعمل بنظام التشغيل ويندوز 7، وأعربوا عن أسفهم لـ 14 عاما من خفض التمويل المستمر من قبل الحكومة السابقة.
أساسيات الأمن السيبراني مفقودة
على الرغم من أن هيئة الخدمات الصحية الوطنية في إنجلترا قالت إنها أنفقت ما يقرب من 340 مليون جنيه إسترليني على تحسين الأمن السيبراني في جميع أنحاء الخدمة الصحية منذ عام 2017، فإن تحذيرات مارتن تأتي بعد أن كشفت مجلة Computer Weekly عن عدم الاهتمام بقضايا أساسية مثل المصادقة متعددة العوامل (MFA) في أجزاء من الخدمة الصحية.
في الشهر الماضي، سلط المبلغون عن المخالفات الضوء على كيفية برنامج النتائج والسجلات التابع لهيئة الخدمات الصحية الوطنية في إنجلترا كان برنامج (ORP)، الذي يهدف إلى جمع البيانات من مختلف السجلات السريرية في خدمة رعاية المرضى بشكل أفضل، يعرض بيانات حساسة للغاية للتدخل والسرقة من خلال ترك بوابة الوصول إلى البرنامج مكشوفة للإنترنت العام، دون وجود مصادقة متعددة العوامل.
صرحت هيئة الخدمات الصحية الوطنية في إنجلترا لصحيفة Computer Weekly أن برنامج ORP تم اختباره للتأكد من مطابقته للمواصفات المطلوبة وأن المورد الذي تم اختياره لتشغيل البرنامج امتثل للمعايير الحالية. وقالت إنه عندما تم منح العقد لأول مرة، لم يكن MFA – الذي يعتبر حجر الزاوية الأساسي للدفاعات السيبرانية – شرطًا للأنظمة الخارجية القائمة على الإنترنت، ولكن تم وضعه الآن.
قال جريج هاردي، مدير القطاع العام في شركة سيل بوينت: “لا توجد صناعة بمنأى عن الجرائم الإلكترونية، ومن المؤسف أن هيئة الخدمات الصحية الوطنية هي هدف رئيسي نظرًا لبنيتها التحتية القديمة لتكنولوجيا المعلومات وكمية البيانات السرية التي تخزنها”. “إن شبكاتها المعقدة من احتياجات الوصول تجعل من السهل على الجهات الخبيثة اختراق واستغلال بيانات المرضى السرية.
وقال “يتعين على هيئة الخدمات الصحية الوطنية وجميع شركات الرعاية الصحية التأكد من تطبيق ضوابط أمنية متعددة للحماية من المشهد السيبراني سريع التطور اليوم”. “ولكن لتقليل خطر حدوث خرق في المقام الأول، فإن التكنولوجيا مثل أمان الهوية أمر بالغ الأهمية من أجل إدارة من لديه حق الوصول إلى ماذا والإبلاغ فورًا عن أي سلوك مشبوه داخل المؤسسة”.
