ملخص
- عطل هجوم برامج الفدية عام 2021 على الهيئة التنفيذية للخدمات الصحية في أيرلندا تكنولوجيا المعلومات الصحية الوطنية، وأجبر على إغلاق واسع النطاق وأعمال تعافي، وحول مرونة تكنولوجيا الصحة العامة إلى سؤال مساءلة عامة.
- المراجعة المستقلة من HSE/PwC هي سجل الإصلاح العام الأساسي. حددت نقاط الضعف في الاستعداد والحوكمة والرقابة التقنية والاستجابة، مع توصية ببرنامج تحسين كبير بدلاً من اعتبار الاستعادة نهاية الحادث.
- الفصل المتعلق بالأثر المالي من المراجع العام والحسابات يضيف طبقة مساءلة أخرى: تكلفة التعافي، تعطل الخدمة، إغلاق الشبكة، وحالة تنفيذ التوصيات مهمة لأن دافعي الضرائب والمرضى تحملوا جزءًا من الضرر.
- تنبيهات NCSC والإحاطات الخاصة بقطاع الصحة وإرشادات المرونة تظهر أن الاستجابة لبرامج الفدية ليست فقط تحقيقية. إنها استمرارية سريرية، إجراءات توقف، ثقة في النسخ الاحتياطية، تعافي مجزأ، إعادة بناء الهوية، مراقبة، مشتريات، وإشعار عام.
- الإصلاح القابل للتحقق يعني أن الجمهور يمكن أن يرى، على الأقل على مستوى مضبوط، ما تغير بعد الاستعادة: أي الأنظمة تم تجزئتها، أي النسخ الاحتياطية تم اختبارها، أي الهويات أعيد بناؤها، أي مراقبة تحسنت، أي سير عمل سريري تم التدرب عليه، وأي توصيات تم إغلاقها.
حادثة برامج فدية في الصحة العامة ليست حدثًا تقنيًا خاصًا
صفحة النشر الرسمية للهيئة التنفيذية للخدمات الصحية،هجوم Conti على HSE: مراجعة مستقلة بعد الحادث، والملف الكاملPDF المراجعة المستقلة بعد الحادث من HSE/PwCهما السجل العام الأساسي. يصف التقرير حادثة برامج فدية وطنية في الصحة العامة أثرت على خدمات تكنولوجيا المعلومات، والعمليات السريرية، والحوكمة، والاستجابة، والتعافي. يجب قراءته كوثيقة مساءلة للصحة العامة، وليس فقط كتقرير عن حادثة إلكترونية.
السبب بسيط: HSE ليست مؤسسة عادية. إنها تدعم المستشفيات والعيادات وإدارة الصحة العامة وخدمات المرضى والتشخيص والجدولة وسير عمل الموظفين والبنية التحتية الصحية الوطنية. عندما يتم تشفير الأنظمة أو فصلها أو إغلاقها لاحتواء التهديد، يصل التأثير إلى المرضى والأطباء. لذا فإن واجب الاستمرارية ليس فقط استعادة أجهزة الكمبيوتر. بل هو الحفاظ على الرعاية في ظل ظروف متدهورة وإثبات أن الهجوم التالي سيواجه نظامًا أقوى.
المراجعة المستقلة لـ HSE قيمة أيضًا لأنها لم تعامل الهجوم كلغز يتم حله بتسمية برامج الفدية. فحصت الاستعداد والكشف والاستجابة والحوكمة والدعم الخارجي والتوصيات. أقرت بصعوبة تعافي بيئة صحية كبيرة تحت الضغط العام. هذا الاتساع ضروري لأن برامج الفدية هي اختبار للنظام. يستغل المهاجمون نقاط الضعف، لكن الضرر يعتمد على التقسيم والنسخ الاحتياطية والهوية والمراقبة ومعرفة الأصول وقيادة الحوادث والرجوع السريري.
يجب أن يحافظ معيار المساءلة العامة على حدود نطاق التقرير. إنه مراجعة منقحة. اعتمد عمل PwC على المعلومات المتاحة وله حدود معلنة. لا ينبغي للجمهور أن يتظاهر بوجود إعادة بناء كاملة للحادث. لكن التقرير يعطي أدلة كافية لطرح أسئلة الإصلاح الصحيحة. أي التوصيات تم قبولها؟ أيها تم تمويلها؟ أيها تم تنفيذها؟ أيها تم اختبارها؟ أي الخدمات لا تزال معرضة لنفس خطر الاستمرارية؟
برامج الفدية في الصحة العامة قاسية بشكل فريد لأن التأخير بحد ذاته يمكن أن يكون ضررًا. قد تفقد الشركة إيرادات؛ قد يؤجل المستشفى الرعاية، يعيد توجيه المرضى، يعود إلى الورق، ويفقد القدرة التشخيصية. لذا ينتمي الهجوم إلى إطار المخاطر والمساءلة العامة: المرضى والأطباء ودافعو الضرائب والوكالات العامة والبائعين جميعهم بحاجة إلى دليل على أن التعافي أدى إلى تغيير دائم.
السجل التقني المبكر أظهر إلحاحًا وعدم يقين
أصدر المركز الوطني للأمن الإلكتروني في أيرلندا تنبيهًا مبكرًاتنبيه HSE Contiفي 14 مايو 2021، وتنبيهًا محدثًاتحديث التنبيهفي 16 مايو. هذه التنبيهات مهمة لأنها تظهر الحادثة كما كانت تدار، قبل أن تتاح للمراجعة المستقلة فرصة تجميع الدروس. تحدد سياق برامج الفدية وتنسيق الاستجابة والمؤشرات التقنية المفيدة للمدافعين.
يجب التعامل مع التنبيهات المبكرة على أنها أولية. ليست سجل السبب الجذري النهائي. قيمتها في المساءلة مختلفة: تظهر ما قاله المستجيبون في القطاع العام للمنظمات بينما كانت الحادثة لا تزال مستمرة. كما تظهر كيف تصبح برامج الفدية ضد جهة صحية مصدر قلق وطني أوسع. قد تحتاج المنظمات الأخرى إلى مؤشرات وخطوات دفاعية وتحذيرية قبل أن يكمل الضحية المراجعة الجنائية.
صفحة إرشادات NCSCصفحة الإرشاداتوإرشادات مواصفات الأمن الإلكترونيتساعد في تأطير سؤال المشتريات والضوابط الأمنية بعد الحادث. المرونة في القطاع العام ليست فقط ما تفعله المنظمة بعد الاختراق. بل أيضًا ما تحدده وتشتريه وتراقبه وتتدرب عليه قبل الاختراق. إذا كانت متطلبات الأمن غامضة أو غير ممولة أو مجزأة، تبدأ الاستجابة للحوادث بعيوب هيكلية.
أظهرت حادثة HSE كيف يمكن أن يصبح عدم اليقين جزءًا من العبء. احتاج الموظفون إلى معرفة أي الأنظمة آمنة وأيها مفصولة وأي الحلول البديلة معتمدة وأي خدمات المرضى متأثرة وكيفية التواصل مع الجمهور. احتاج المرضى إلى معرفة ما إذا كانت المواعيد والتشخيصات والسجلات والخدمات معطلة. كانت الاستجابة التقنية والاستجابة السريرية غير قابلتين للفصل.
لهذا السبب يهم الإشعار العام. لا يمكن تفسير حادثة برامج فدية في الصحة العامة لموظفي تكنولوجيا المعلومات فقط. يجب إبلاغ الأطباء والمرضى ووسائل الإعلام وصانعي السياسات والمنظمات الشريكة. يجب أن تكون الرسالة دقيقة دون كشف تفاصيل التعافي الحساسة. كما يجب أن تتغير مع تغير الحقائق. حادثة الصحة العامة لها ثقة الجمهور كأحد اعتمادات التعافي.
ملاحظة حول الطباعة
الأثر المالي جزء من سجل الإصلاح
فصل المراجع العام والحسابات،الأثر المالي لهجوم الأمن الإلكتروني، يضيف طبقة حوكمة لا يمكن للمراجعة التقنية توفيرها بالكامل. يناقش الأثر المالي وإغلاق الشبكة والتعافي وتنفيذ التوصيات. هذا مهم لأن مساءلة المال العام تتبع الحادثة. يحتاج دافعو الضرائب إلى معرفة ليس فقط ما تم إنفاقه للتعافي، ولكن ما إذا كان الإنفاق قد قلل من خطر التكرار.
يجب عدم اختزال الأثر المالي في رقم رئيسي. تشمل التكلفة الاستجابة للطوارئ والخبرة الخارجية واستبدال الأجهزة والبرامج والعمل الإضافي والمشاريع المؤجلة ورفع مستوى الأمن وتعطل الخدمة والنفقات الإدارية والإصلاح طويل الأمد. بعض التكاليف مباشرة وقابلة للقياس. البعض الآخر سريري أو اجتماعي أو تشغيلي. ينقل حدث برامج فدية في الصحة العامة التكلفة عبر الميزانيات ووقت الموظفين وتجربة المريض والتخطيط الرأسمالي المستقبلي.
يسجل التدقيق أيضًا في التمييز بين الاستعادة والإصلاح. الاستعادة تعيد الأنظمة. الإصلاح يغير الظروف التي جعلت الانقطاع ضارًا جدًا. يمكن لمنظمة عامة أن تنفق بكثافة على التعافي ولا تزال تفشل في اختبار المساءلة إذا لم يحسن الإنفاق التقسيم والهوية والمراقبة وضمان النسخ الاحتياطية ورؤية الأصول وقيادة الحوادث. على العكس، قد تكون تكلفة التعافي العالية مبررة إذا قللت بشكل واضح من خطر الصحة العامة في المستقبل.
حالة التنفيذ مهمة لأن التوصيات يمكن أن تصبح وثائق ثابتة. قد تحدد المراجعة العامة التحسينات اللازمة؛ قد يقبلها المجلس؛ قد يتم تخصيص التمويل؛ لكن سؤال المساءلة يظل مفتوحًا حتى يتم تنفيذ التغييرات واختبارها. بيئات تكنولوجيا الرعاية الصحية معقدة، والإصلاح يحتاج وقت. لهذا السبب بالضبط أدلة التقدم ضرورية.
يجب أن تشمل المساءلة المالية العامة أيضًا تكلفة الفرصة البديلة. الأموال التي تنفق على الإصلاح الطارئ لا يمكن إنفاقها في مكان آخر في الخدمات الصحية. وقت الموظفين في استعادة الأنظمة هو وقت لا يقضونه في الرعاية الروتينية والتحسين. لذا فإن برامج الفدية في الصحة العامة لها بعد مالي يتجاوز ميزانيات الأمن الإلكتروني. قد يبدو الاستثمار في المرونة قبل الحادثة باهظًا مقارنة بالتعافي الطارئ بعدها.

