ملخص
- كشف هجوم WannaCry في مايو 2017 عن فشل نمط مشترك في NHS: كانت العديد من مؤسسات الرعاية المحلية تعتمد على أنظمة Windows ضعيفة، وتوزيع غير متساوٍ للتصحيحات، وافتراضات خدمات مشتركة، واتصالات طوارئ يمكن أن تتعطل معًا عندما ينتشر برنامج الفدية عبر نفس الثغرة.
- لا تتعلق مسألة المساءلة بما إذا كان مستشفى واحدًا، أو إصدار برنامج واحد، أو مسؤول واحد قد تسبب في الاضطراب. بل بمن كان لديه السيطرة العملية على إزالة الأنظمة القديمة، ونشر التصحيحات، وحوكمة الثقة، وتجزئة الشبكة، والتوجيه المركزي، والأدلة على أن استمرارية الرعاية لم تعد تعتمد على ثغرة واحدة قابلة للاستغلال.
- تُظهر سجلات National Audit Office و Department of Health and Social Care و National Cyber Security Centre و NHS Digital و Microsoft و CISA والبرلمان معًا أن تصحيحًا كان متاحًا قبل الهجوم، وأن العديد من المؤسسات كانت لا تزال ضعيفة، وأن النتيجة العامة كانت إلغاء المواعيد، وتحويل سيارات الإسعاف، وتدهور العمليات السريرية.
- يجب قياس الإصلاح الدائم كحماية للرعاية: جرد الأصول، البرمجيات المدعومة، الامتثال للتصحيحات، كشف التهديدات الطرفية، خطط الاستمرارية دون اتصال، نتائج التمارين المحلية، التصعيد الإقليمي، وأدلة مرئية لمجلس الإدارة على أن الخدمة السريرية يمكن أن تتدهور دون فقدان القدرة على علاج المرضى بأمان.
كان الحادث برنامج فدية، لكن الاعتماد كان أقدم
وصل WannaCry إلى NHS في 12 مايو 2017، مستخدمًا ثغرة في Windows قابلة للانتشار تمت معالجتها بالفعل بواسطة تحديث الأمان MS17-010 من Microsoft. نُشرتنشرة الأمان MS17-010من Microsoft في مارس 2017، ووصفتوجيه العملاء خلال هجمات WannaCryptمن Microsoft الحاجة إلى تطبيق التحديث، وحماية الأنظمة غير المدعومة، وسد مسارات الهجوم. أظهرتنبيه CISA في مايو 2017والبيان العام لـ Europolأن الهجوم كان عالميًا وليس خاصًا بـ NHS.
جاءت أهمية NHS من التعرض لنمط مشترك. وجدتحقيق National Audit Office في WannaCry و NHSأن الهجوم أثر على ما لا يقل عن 80 من أصل 236 هيئة NHS في إنجلترا، بالإضافة إلى 603 مؤسسة NHS بما في ذلك عيادات الأطباء العامين (GP) وهيئات NHS الأخرى. كما سجلالتقرير الكامل للـ National Audit Office (PDF)آلاف المواعيد والعمليات الملغاة، وتحويلات سيارات الإسعاف المتأثرة، وحقيقة أنه لم تدفع أي جهة في NHS الفدية. هذه الحقائق تجعل الحالة حدث استمرارية خدمة عامة، وليس مجرد إصابة ببرمجيات خبيثة.
كانت مشكلة النمط المشترك هي أن العديد من المؤسسات قد تفشل من خلال نفس فئة الضعف. قد تكون هيئة محلية قد صححت بعض الأجهزة، وتركت أخرى مكشوفة، واعتمدت على أنظمة تشغيل غير مدعومة، ووصلت أنظمة تشخيصية أو إدارية قديمة بشبكات أوسع، أو افتقرت إلى جرد كامل للأصول. قد يكون لدى هيئة أخرى تصحيح أقوى ولكنها لا تزال تعتمد على شركاء إقليميين، أو قنوات إحالة مشتركة، أو خدمات شبكية. يصبح برنامج الفدية بعد ذلك اختبار استمرارية لبيئة الخدمة الصحية بأكملها، لأن رعاية المرضى تعتمد على جاهزية العديد من الأنظمة المحلية في نفس الوقت.
السؤال المسؤول عملي. من كان يمكنه تقليل الاعتماد المشترك قبل مايو 2017؟ كانت هيئات NHS المحلية تتحكم في أصولها، وانضباط التصحيح، وتجزئة الشبكة، وتمارين استمرارية الأعمال. وكانت الهيئات الوطنية تتحكم في التوجيه، وضغط التمويل، والتأمين، وتوقعات العقود، ووضوح المخاطر غير المحلولة. وكان الموردون يتحكمون في شروط الدعم، وتوفر التصحيحات، واعتماديات برمجيات الأجهزة الطبية. وكان الوزراء ومجالس الإدارة يتحكمون في المدة التي تم فيها التسامح مع الأنظمة القديمة كحل وسط لتوفير التكاليف. ولم يكن المرضى يتحكمون في أي من تلك الأمور.
كان التصحيح موجودًا، لكن التصحيح ليس نشرًا
وجود MS17-010 أساسي لأنه يُظهر الفرق بين التوافر والتنفيذ. أصدرت Microsoft التحديث ذا الصلة قبل الهجوم. هذه الحقيقة لا تثبت أن كل هيئة NHS تجاهلت تعليمات بسيطة. تحتوي بيئات الصحة على معدات قديمة، وتكوينات معتمدة من البائعين، وقيود جدولة سريرية، وشبكات لا يمكن تغييرها دائمًا دون مخاطر على الخدمة. لكنها تُظهر أن المشكلة انتقلت من ضعف برمجي بحت إلى حوكمة النشر. لا يحمي التصحيح المتاح على موقع البائع مريضًا إذا بقيت الجهاز المتأثر غير مصحح في الجناح، أو العيادة، أو المختبر، أو المكتب الإداري.
حذرتنبيه CareCERT السيبراني CC-1353من NHS Digital مؤسسات NHS بضرورة تطبيق تحديثات Microsoft وحماية الأنظمة. أكدت مراجعةالدروس المستفادةمن Department of Health and Social Care لاحقًا على إدارة الأصول، والتصحيح، ومكافحة الفيروسات، والأنظمة غير المدعومة، وتجزئة الشبكة، والاستجابة للحوادث. يُعدنسخة PDF من المراجعةمهمة لأنها تعتبر الاستعداد السيبراني مسؤولية نظام وليس مجرد إصلاح تقني واحد.
هنا تدخل دورة الحياة والارتباط في سجل المساءلة. غالبًا ما تُحتفظ بالأنظمة غير المدعومة لأن الاستبدال مكلف، أو لأن البرمجيات المتخصصة تعتمد على منصات قديمة، أو لأن للأجهزة السريرية أعمارًا طويلة، أو لأن المؤسسات المحلية تواجه ضغوطًا متنافسة. قد يكون كل سبب مفهومًا. يصبح التأثير المشترك خطيرًا عندما تتشارك العديد من المؤسسات نفس الضعف القديم. تصبح مخاطر دورة حياة البرمجيات اعتمادًا في الخدمة العامة لأن الخدمة الصحية يمكن أن تحمل تعرضًا خفيًا لاستمرارية الخدمة لا يكتشفه المرضى إلا عند إلغاء المواعيد.
لذا يجب أن يتجنب دليل الإصلاح الادعاء الضيق بأن "التصحيح قد تحسن". سيُظهر سجل ناضج أي الأنظمة الحرجة لا تزال غير مدعومة، وأيها لديه ضوابط تعويضية، وأيها معزول، وأيها لديه التزامات ترقية من البائعين، وأيها لا يمكن استبداله دون تغييرات في المعدات السريرية، وأي مجالس قبلت المخاطر المتبقية بلغة المصلحة العامة. البرمجيات القديمة ليست متهورة تلقائيًا. المشكلة الحقيقية هي البرمجيات القديمة غير المرئية وغير المدارة في العمليات السريرية.
التحكم المحلي والتحكم الوطني متشابكان
NHS ليست غرفة آلات واحدة. إنها خدمة عامة فدرالية تضم منظمات محلية، وهيئات وطنية، وموردين، وفرقًا سريرية، وبنية تحتية مشتركة. هذا الهيكل يُعقد المساءلة، لكنه لا يلغيها. كل من تقرير National Audit Office وتقريرلجنة الحسابات العامة لعام 2018 حول الهجوم السيبرانيسلطا الضوء على تحدي معرفة ما إذا كانت جميع الهيئات المحلية قد اتبعت التوجيهات وما إذا كانت الهيئات المركزية لديها رؤية كافية لضمان الجاهزية.
كانت الهيئات المحلية تسيطر سيطرة مباشرة على العديد من الضمانات العملية. كان بإمكانها الحفاظ على جرد الأصول، وتطبيق تحديثات الأمان، واستبدال الأنظمة غير المدعومة، وتجزئة الشبكات، وتدريب الموظفين، واختبار خطط الاستمرارية، ومراقبة مؤشرات البرمجيات الخبيثة. وكان بإمكانها التأكد من أن الوظائف السريرية الحرجة لديها إجراءات احتياطية ورقية أو دون اتصال، وأن قنوات التصعيد صمدت في وجه انقطاع رقمي. وكان بإمكانها أيضًا تسجيل عندما تؤخر مخاوف المخاطر السريرية التصحيح وما هي الضوابط التعويضية المطبقة.
سيطرت الهيئات الوطنية على طبقة مختلفة. كان بإمكانها تحديد معايير إلزامية، وتنسيق المعلومات الاستخباراتية، وتمويل التحسين، وفرض المواعيد النهائية، وجمع أدلة التأمين، وإنشاء استجابة إقليمية للحوادث. لعبت كل من NHS Digital و NHS England و Department of Health، ولاحقًا NHSX والهيئات ذات الصلة أدوارًا في بيئة الجاهزية الوطنية. يُظهرتأمل National Cyber Security Centre بعد عام من WannaCryوإرشاداته حول التخفيف من هجمات البرمجيات الخبيثة وبرامج الفديةكيف صاغ التوجيه السيبراني المركزي الدروس للمؤسسات العامة والخاصة.
يخلق الهيكل المشترك خطرًا متكررًا: يمكن للهيئات المحلية أن تقول إنها كانت تعاني من نقص التمويل، أو مقيدة، أو تعتمد على أنظمة مركزية؛ ويمكن للهيئات المركزية أن تقول إن المؤسسات المحلية كانت مسؤولة عن تصحيحها الخاص؛ ويمكن للموردين أن يقولوا إن الترقيات كانت متاحة رهنًا بالمشتريات؛ ويمكن لمجالس الإدارة أن تقول إن الطلب السريري جعل الانقطاعات غير مقبولة. يمكن أن يحتوي كل بيان على حقيقة. تسأل المساءلة من يمكنه جعل النظام بأكمله أقل اعتمادًا على نفس الضعف. يتطلب ذلك رؤية وطنية للمخاطر المحلية وتنفيذًا محليًا للمعايير الوطنية.
كان ضرر المريض غير مباشر لكنه حقيقي
لم يكن WannaCry بحاجة إلى تشفير كل نظام سريري للتأثير على الرعاية. سجل National Audit Office مواعيد ملغاة، وخدمات GP معطلة، وتحويلات سيارات إسعاف، وتشخيصات متأثرة. هذه النتائج غير مباشرة لأن البرمجيات الخبيثة هاجمت أجهزة الكمبيوتر، وليس المرضى. لكنها حقيقية لأن الرعاية تعتمد على أجهزة الكمبيوتر في الجدولة، والسجلات، والتصوير، والتواصل، والوصفات الطبية، والإحالات، والتنسيق. يصبح الحادث السيبراني في الخدمة الصحية مشكلة سلامة المرضى عندما يتباطأ العمل السريري، أو ينحرف، أو يفقد معلومات ضرورية.
هذا مهم لقياس الأثر. إذا أحصت المؤسسة فقط مدفوعات الفدية أو الملفات التالفة، فإنها تفوت ضرر الخدمة العامة. لم تدفع NHS فدية، لكن المرضى ما زالوا فقدوا مواعيد وتكبدت الخدمة تكاليف استرداد. تم إيقاف بعض الأنظمة احترازيًا حتى في حالة عدم حدوث إصابة. اضطرت بعض المؤسسات إلى إلغاء الرعاية لأنها لم تستطع الثقة في البيئة الرقمية. تمكن البعض الآخر من الاستمرار لأن لديهم تجزئة أو خطط احتياطية أفضل. كان الضرر موزعًا عبر الخدمة، وهذا التوزيع هو الدرس.
سيربط سجل أثر أقوى الحالات التقنية بحالات الرعاية. أي الأنظمة أصيبت؟ أيها تم فصله كإجراء احترازي؟ أي المواعيد ألغيت بسبب عدم توفر أنظمة محددة؟ أي تحويلات سيارات الإسعاف نتجت عن مشاكل في القدرة أو الثقة المحلية؟ أي المختبرات وخدمات التصوير وأنظمة السجلات تأثرت؟ أي المؤسسات أبقت على سير الرعاية بفضل خطط احتياطية مختبرة؟ بدون هذا الربط، يرى الجمهور اضطرابًا كبيرًا لكنه لا يستطيع تحديد الضوابط التي حمَت المرضى والتي فشلتهم.
لذا ينبغي تقييم أعمال الصمود السيبراني اللاحقة لـ NHS مقابل الاستمرارية السريرية. من المفيد حساب الأجهزة المصححة، وتغطية نقاط النهاية، وإكمال التدريب السيبراني. من الأكثر فائدة معرفة ما إذا كانت هيئة ما يمكنها مواصلة الرعاية العاجلة بأمان أثناء عزل الأنظمة المتأثرة؛ وما إذا كان بإمكان الأطباء الوصول إلى حقائق المرضى الأساسية عند تدهور الشبكات؛ وما إذا كان الشركاء الإقليميون يعرفون كيفية توجيه المرضى؛ وما إذا كان قادة الحوادث السيبرانية قادرين على اتخاذ القرارات مع القادة السريريين بدلاً من التعامل مع الحدث كمشكلة تقنية معلومات فقط.
قضية الأنظمة غير المدعومة هي قضية حوكمة
البرمجيات غير المدعومة ليست مجرد فئة دين تقني. في بيئة الصحة العامة، إنها قرار حوكمة حول من يتحمل المخاطر. قد تحتفظ هيئة بجهاز قديم لأن جهازًا سريريًا مكلف الاستبدال. قد يدعم مورد جهازًا فقط على منصة قديمة. قد تؤجل عملية شراء الاستبدال. قد يقبل مجلس الإدارة مخاطرة لأن ميزانية رأس المال ضيقة. ومع ذلك، لا يعيش المريض سوى الفشل النهائي في الاستمرارية.
اعتبرت مراجعة الدروس المستفادة في المملكة المتحدة الأنظمة غير المدعومة أحد مواضيع المعالجة المهمة. هذا صحيح، لكن حالة عدم الدعم وحدها ليست المؤشر الوحيد. يمكن أن يكون النظام المدعوم غير المصحح ضعيفًا. قد يمثل النظام غير المدعوم المعزول والمراقب عن كثب والمجدول للاستبدال مخاطر تشغيلية أقل من نظام مدعوم بدون مالك. سؤال الحوكمة هو ما إذا كان لكل أصل عالي المخاطر مالك مسمى، وخطة دورة حياة، وضوابط تعويضية، ورؤية لمجلس الإدارة.
تعقّد التكنولوجيا الطبية والتشغيلية المسألة. لا يمكن تصحيح بعض الأجهزة السريرية دون تحقق من البائع. تدعم بعض الأنظمة القديمة مسارات عمل متخصصة. تتطلب بعض عمليات الاستبدال فترات توقف تؤثر على الرعاية. هذه القيود حقيقية، لكن ينبغي أن تكون مرئية كاستثناءات، لا مخفية كعمليات عادية. إذا تعذر تصحيح جهاز، يجب أن يُظهر السجل السبب، وكيف يتم عزله، وكم سيبقى، وما الخدمة التي تعتمد عليه، وماذا سيحدث إذا فشل.
يتجاوز درس القطاع العام في المملكة المتحدة NHS. المدارس والمجالس والشرطة وهيئات النقل وخدمات الطوارئ جميعها تحمل برمجيات قديمة في مكان ما. حالة NHS حية لأن رعاية المرضى مباشرة، لكن نمط النمط المشترك أوسع. تحتاج الخدمات العامة إلى طريقة لمعرفة متى تعتمد العديد من الهيئات المحلية على نفس التقنية غير المدعومة أو غير المصححة، لأن المهاجم أو الدودة لن يحترم الحدود التنظيمية.
لا يمكن لأتمتة الأمان المساعدة إلا بعد وضوح الملكية
الأتمتة الأمنية مغرية بعد WannaCry. يمكن لأدوات نقاط النهاية، وماسحات الثغرات، وتنسيق التصحيحات، واكتشاف الأصول، وخلاصات معلومات التهديدات، والاحتواء الآلي أن تقلل جميعها من التعرض. لكن الأتمتة لا يمكنها إصلاح أصل لا يملكه أحد، أو جهاز سريري لا يمكن تصحيحه، أو شبكة لم يتم رسمها أبدًا، أو مجلس إدارة يعامل البرمجيات القديمة كمسألة تكلفة غير مرئية. الأتمتة تعزز الحوكمة؛ ولا يمكن أن تحل محلها.
أكثر أتمتة قيمة ستجيب أولاً على الأسئلة الأساسية. ما الأجهزة الموجودة؟ ما أنظمة التشغيل التي تشغّلها؟ أيها غير مدعوم؟ أيها تفتقد تصحيحات MS17-010 أو تصحيحات حرجة مكافئة؟ أي الأنظمة يمكن الوصول إليها من بعضها البعض؟ أيها متصل بمسارات العمل السريرية؟ أيها مستبعد من الفحص بسبب قيود البائع؟ أي الهيئات المحلية لديها فجوات غير مفسرة؟ تحوّل هذه الإجابات خطرًا عامًا إلى سجل مُدار.
الطبقة التالية هي الإجراء. يمكن للتصحيح الآلي نشر التحديثات حيث تكون آمنة. يمكن لإدارة الثغرات تحديد أولويات التعرضات الحرجة. يمكن لمراقبة الشبكة اكتشاف حركة تشبه الدودة. يمكن لكشف نقاط النهاية احتواء البرمجيات الخبيثة. يمكن لأنظمة النسخ الاحتياطي دعم الاسترداد. لكن كل إجراء آلي يحتاج إلى عملية استثناء للسلامة السريرية. إذا تعذر تطبيق تحديث لأنه قد يعطل جهازًا تشخيصيًا، يجب أن يؤدي ذلك الاستثناء إلى تخطيط للعزل والاستبدال بدلاً من التسامح غير المحدد.
تعدإرشادات National Cyber Security Centre العامة حول برامج الفديةمفيدة لأنها تجمع بين الوقاية والنسخ الاحتياطي والاستجابة للحوادث والاسترداد. يُظهر WannaCry لماذا تنتمي هذه الفئات معًا. لا يمكن لخدمة صحية أن تعامل الصمود أمام برامج الفدية كشراء منتج واحد. إنها تحتاج إلى حوكمة التصحيح، والتجزئة، والنسخ الاحتياطي، وتثقيف المستخدم، والاسترداد المختبر، والتصعيد السريري. يختفي اعتماد النمط المشترك فقط عندما تتداخل ضمانات متعددة.
يجب أن يكون دليل الإصلاح عامًا بما يكفي لبناء الثقة
لا يحتاج المرضى إلى عنوان IP لكل جهاز ضعيف. لكنهم يحتاجون إلى الثقة بأن الخدمة الصحية تعلمت من اضطراب ألغى الرعاية. يمكن تصميم الضمان العام دون كشف خرائط مفصلة للمهاجمين. يمكنه الإبلاغ عن عدد المؤسسات التي تستوفي المعايير السيبرانية الحالية، وكيف تتجه أعداد الأنظمة غير المدعومة، وكم مرة تُجرى تمارين الاستمرارية، ومدى سرعة تطبيق التصحيحات الحرجة، وكيف تتعامل مجالس الإدارة مع الاستثناءات. يمكنه أيضًا الإبلاغ عما إذا كانت عمليات التدقيق المستقلة تجد فجوات نظامية غير محلولة.
تظهر سجلات National Audit Office ولجنة الحسابات العامة لماذا يهم الضمان المستقل. قبل WannaCry، كان التوجيه موجودًا، لكن الضمان على التنفيذ المحلي كان غير مكتمل. بعد WannaCry، لم يكن الدرس مجرد إصدار نصائح أفضل. بل كان معرفة ما إذا كانت النصائح قد غيرت حالة الأنظمة التي تقدم الرعاية. هيئة وطنية لا يمكنها رؤية التنفيذ المحلي لا يمكنها إخبار الجمهور ما إذا كان اعتماد النمط المشترك قد انخفض.
يجب أن يميز سجل الإصلاح أيضًا بين الصمود والاستجابة. تسأل الاستجابة ما إذا كانت NHS قادرة على اكتشاف واحتواء واسترداد حادث. يسأل الصمود ما إذا كان يمكن منع الحادث أو تقييده قبل إلغاء الرعاية. كلاهما مهم. المستشفى الذي يمكنه الاستعادة بسرعة ما زال يضر المرضى إذا ألغيت مواعيد كثيرة. المستشفى الذي يمنع الانتشار لكن ليس لديه خطة احتياطية قد يكافح أثناء الإغلاقات الدفاعية. أقوى وضعية تقلل احتمالية العدوى، وتحد من الانتشار، وتحافظ على الرعاية الأساسية، وتسترد الأدلة بسرعة.
المعيار المتمحور حول المريض بسيط: هل يمكن للخدمة الصحية مواصلة الرعاية العاجلة عندما يتم استغلال ضعف برمجي مشترك؟ يجبر هذا المعيار القادة على طرح أسئلة تشغيلية بدلاً من التقنية فقط. هل الإجراءات الورقية حديثة؟ هل يمكن للأطباء تحديد المرضى بدون النظام الإلكتروني؟ هل يمكن إعادة توجيه سيارات الإسعاف بأمان؟ هل يمكن توصيل نتائج التشخيص بشكل آمن؟ هل يمكن للرعاية الأولية الحفاظ على خدمة كافية؟ هل يمكن للهيئات الوطنية تنسيق الحقائق المحلية بسرعة؟ تجعل هذه الأسئلة الصمود السيبراني تخصصًا لاستمرارية الرعاية.
لا ينبغي أن يكون حدث نمط مشترك مستقبلي مفاجئًا
كان WannaCry دراميًا لأنه انتشر بسرعة وعلى مستوى العالم. قد يكون حدث النمط المشترك التالي أكثر هدوءًا. قد يكون تحديثًا مخترقًا، أو انقطاع هوية سحابية، أو فشل شهادة، أو خطأ في أمان نقطة النهاية، أو خرق مورد، أو ثغرة في برمجيات طبية واسعة الاستخدام. الدرس المشترك هو أن العديد من مؤسسات الخدمة العامة المحلية يمكن أن تعتمد على نفس الحالة التقنية دون أن ترى نفسها معرضة بشكل مشترك.
يمكن لـ NHS تقليل هذا الخطر بمعاملة تماثل التقنية كتعرض يجب قياسه. إذا اعتمدت هيئات كثيرة على نفس النظام غير المدعوم، فهذا خطر نمط مشترك. إذا لم تستطع هيئات كثيرة تصحيح فئة من الأجهزة بسبب قيود الموردين، فهذا خطر نمط مشترك. إذا اعتمدت هيئات محلية كثيرة على نفس منتج الوصول عن بُعد، أو مزود الهوية، أو منتج النسخ الاحتياطي، فهذا خطر نمط مشترك. لا ينبغي أن يكون سجل المخاطر محليًا فقط؛ بل ينبغي أن يجمع الأنماط عبر الخدمة.
لدور المشتريات دور هنا. يجب أن تتطلب عقود التقنية السريرية والإدارية دعم دورة الحياة، وشفافية التصحيح، والإفصاح عن الثغرات، ومسارات ترقية مختبرة. يجب ربط ادعاءات الموردين بواجبات استمرارية الرعاية. الجهاز الذي لا يمكن تصحيحه دون أشهر من التفاوض ليس مجرد إزعاج تقني؛ إنه اعتماد على سلامة المرضى. المورد الذي يتحكم في مسار الترقية يجب أن يشارك في المساءلة عن جعل مسار الترقية ممكنًا.
دور مجلس الإدارة مهم بنفس القدر. يجب ألا تقول أوراق مجلس الإدارة فقط إن الخطر السيبراني مرتفع. يجب أن تحدد الأنظمة غير المدعومة، واستثناءات التصحيح، واعتماديات الخدمة الحرجة، ونتائج التمارين، وقيود الموردين غير المحلولة. يجب أن يكون التنفيذيون قادرين على شرح ما سيحدث إذا ظهرت ثغرة قابلة للانتشار غدًا. يجب إشراك القادة السريريين لأن الأولوية هي استمرارية الرعاية، وليس فقط استعادة التقنية. يجب إشراك قادة المالية لأن استبدال الأنظمة القديمة غالبًا ما يكون قرارًا رأسماليًا.
الدرس العام من WannaCry ليس أنه يجب أن تختفي كل الأنظمة القديمة بين عشية وضحاها. بل هو أن البرمجيات القديمة تصبح خطيرة عندما تصبح غير مرئية، ومشتركة، وغير محكومة. لذلك ينبغي الحكم على سجل مساءلة NHS من خلال ما إذا كانت مخاطر الأنظمة القديمة والتصحيح مرئية بما يكفي للعمل عليها قبل أن يشعر بها المرضى. كان تصحيح موجودًا. كان التوجيه موجودًا. كان الجزء المفقود هو الجاهزية المؤكدة على مستوى الخدمة. ولهذا يبقى WannaCry حالة اعتماد نمط مشترك وليس مجرد ذكرى عن برنامج فدية بسيط.
يجب تصميم نوافذ التصحيح حول الرعاية، لا ضدها
أحد أسباب فشل التصحيح في المستشفيات هو أن التوقف بحد ذاته قد يكون محفوفًا بالمخاطر. قد يدعم نظام الجناح، أو جهاز التصوير، أو جهاز المختبر، أو منصة الجدولة الرعاية الحية. قد يؤدي التحديث غير المبالي إلى مقاطعة الخدمة، أو كسر تكوين جهاز معتمد، أو إجبار الفرق السريرية على حلول بديلة غير آمنة. غالبًا ما يصبح هذا الواقع حجة التأخير. الإجابة الأفضل للمساءلة ليست المطالبة بتصحيح متهور؛ بل إنشاء نوافذ تصحيح واعية بالرعاية مخططة ومختبرة ومُصعّدة عند تفويتها. يجب أن تعرف الهيئة أي الأنظمة يمكن تحديثها تلقائيًا، وأيها يحتاج إلى تحقق من البائع، وأيها يتطلب موافقة على التوقف السريري، وأيها يحمل ضوابط تعويضية أثناء الانتظار.
أظهر حادث NHS أن غياب حوكمة التصحيح المخطط يمكن أن يخلق توقفًا أسوأ لاحقًا. أحيانًا يكون إلغاء نافذة صيانة محدودة أسهل من شرح انقطاع خدمة قصير. لكن إذا اتخذت هيئات محلية كثيرة هذا القرار مرارًا، تبني الخدمة الصحية تعرضًا خفيًا. لا تنتظر الدودة جدولًا سريريًا مناسبًا. يصبح سؤال المساءلة هو ما إذا كان القادة قد جعلوا الخطر مرئيًا قبل أن يجعله المهاجم مرئيًا. يجب أن يكون للاستثناء المحلي تاريخ، ومالك، ومبرر سريري، ومبرر أمني، وضابط تعويضي، ونقطة مراجعة. عندما يظهر نفس الاستثناء عبر هيئات كثيرة، يجب أن تعامله الهيئات الوطنية كخطر مشترك يحتاج إلى تمويل، أو تفاوض مع الموردين، أو تغيير هيكلي.
تحركت لغة الصمود السيبراني الأوسع لحكومة المملكة المتحدة بعد WannaCry في هذا الاتجاه. صاغ كل من Cabinet Office و National Cyber Security Centre مرارًا الأمن السيبراني للقطاع العام كمسألة صمود تشغيلي، ويعطيإطار تقييم الإنترنت (CAF)من National Cyber Security Centre المؤسسات هيكلًا للوظائف الأساسية، والحماية، والكشف، والاستجابة، والاسترداد. إن CAF ليس مصدرًا جنائيًا لـ WannaCry، لكنه طريقة مفيدة للتعبير عن الدرس: الوظيفة ذات الصلة هي رعاية المرضى، وليس مجرد وجود نظام تقنية معلومات. ينبغي الحكم على التصحيح وضوابط دورة الحياة من خلال مساهمتها في تلك الوظيفة الأساسية.
لذلك ينتمي القادة السريريون إلى حوكمة التصحيح. قد يعرف مجلس إدارة تقني بحت أي تحديث مفقود لكن لا يعرف أي خدمة ستكون غير آمنة أثناء تثبيت متسرع. قد يعرف مجلس إدارة سريري بحت خطر الخدمة لكن لا يعرف التعرض السيبراني للتأخير غير المحدد. يحتاج القرار كلاهما. إذا تعذر تطبيق تصحيح هذا الأسبوع لأن جهاز تشخيص قيد الاستخدام الكثيف، يجب أن يذكر السجل ما يحمي ذلك الجهاز اليوم، وما الإجراء المطلوب من المورد، ومتى سيُعاد النظر في القرار. إذا تكررت الإجابة لأشهر، يجب أن تصبح خطرًا على مستوى مجلس الإدارة بدلاً من حاشية في مكتب المساعدة.
يحسن هذا النهج أيضًا التفسير العام. عندما يحدث حادث سيبراني آخر في NHS، لا يحتاج الجمهور إلى بيان عام بأن الأنظمة قيد الاستعادة. يحتاج إلى الثقة بأن القادة كانوا يعرفون مسبقًا أي الأنظمة الأكثر أهمية، وأي المخاطر قبلت، وأي الخدمات لديها خطط احتياطية. كلما كان سجل استثناءات التصحيح أكثر انضباطًا قبل الحادث، كان التفسير العام أسرع بعده. لا يمكن لخدمة صحية مشاركة كل التفاصيل التقنية، لكن يمكنها مشاركة حقيقة أن الاستثناءات محكومة بدلاً من منسية.
التجزئة هي ضابط استمرارية رعاية
جعل انتشار WannaCry القابل للانتشار تجزئة الشبكة أمرًا مركزيًا. غالبًا ما توصف التجزئة في مخططات تقنية، لكن في سياق NHS هي ضابط لاستمرارية الرعاية. إنها تحدد ما إذا كان جهاز إداري ضعيف يمكن أن يؤثر على الخدمات السريرية، وما إذا كان موقع محلي واحد يمكن أن يلوث آخر، وما إذا كان يمكن عزل الأجهزة التشخيصية دون فقدان كل الوصول، وما إذا كان يمكن احتواء حادث بينما تستمر الرعاية العاجلة. إذا وثق كل جزء من البيئة بكل جزء آخر، يمكن لضعف قديم واحد أن يصبح انقطاعًا على مستوى الخدمة.
يجب أن تكون التجزئة أيضًا قابلة للاستخدام أثناء الأزمة. الشبكة التي لا يمكن تجزئتها إلا من قبل فريق صغير خلال ساعات العمل أقل فائدة عندما ينتشر برنامج الفدية بسرعة. يجب أن تعرف الهيئة أي الاتصالات يمكن إغلاقها، وما الأثر السريري للإغلاق، وكيف سيعمل الأطباء إذا عُزلت خدمة. يجب أن تختبر العزل في ظل ظروف واقعية. هل يمكن لمستشفى فصل قطاع شبكة مشبوه مع الاستمرار في علاج مرضى الطوارئ؟ هل يمكن لعيادة GP مواصلة الخدمة الأساسية بينما الأنظمة المركزية غير متاحة؟ هل يمكن لمنطقة إعادة توجيه المرضى عندما تفقد هيئة الثقة في الأنظمة الرقمية؟ هذه أسئلة سيبرانية فقط لأنها أسئلة رعاية أولاً.
سجل تقرير National Audit Office أن بعض المؤسسات فصلت أنظمة كإجراء احترازي وأن التواصل بين المؤسسات تأثر. هذا يعني أن التجزئة والاتصالات الطارئة مرتبطتان. إذا عزلت هيئة أنظمة لمنع الانتشار، فإنها لا تزال بحاجة إلى طرق آمنة للتواصل مع الشركاء الإقليميين، وخدمات الإسعاف، والهيئات الوطنية، والمرضى. قناة احتياطية تعتمد على نفس الشبكة المتأثرة ليست احتياطية. إجراء ورقي لم يُتمرن عليه ليس إجراءً. قائمة جهات اتصال مخزنة فقط على نظام لا يمكن الوصول إليه تصبح اعتماد نمط مشترك آخر.
لذلك فإن أحد مقاييس الإصلاح المفيدة هو "وقت العزل الآمن". كم من الوقت تستغرق المؤسسة المحلية لتحديد دودة مشتبه بها، وعزل القطاعات المتأثرة، والحفاظ على الرعاية العاجلة، وإبلاغ الحالة للقيادة الإقليمية؟ مقياس آخر هو "وقت الاتصال الموثوق". كم من الوقت قبل أن تتمكن المؤسسة من إخبار الموظفين أي الأنظمة يجب استخدامها، وإخبار المرضى ما الخدمات المتأثرة، وإخبار الشركاء ما إذا كان ينبغي تحويل سيارات الإسعاف أو الإحالات؟ هذه المقاييس أكثر معنى من عدد عينات البرمجيات الخبيثة المحظورة لأنها تربط الإجراء التقني باستمرارية الخدمة العامة.
تكشف التجزئة أيضًا عن اعتماد الموردين. بعض الأجهزة السريرية والأنظمة القديمة يصعب عزلها لأنها لم تصمم أبدًا للتهديدات الشبكية الحديثة. يجب أن تُلزم العقود الموردين بدعم التشغيل الآمن، وقابلية التصحيح، والتسجيل، وفصل الشبكة. إذا لم يستطع مورد جعل جهاز يدعم التجزئة الآمنة، يجب أن يعرف المشتري ذلك قبل الشراء. إذا بقي جهاز قديم، يجب أن يكون الخطر مرئيًا في المشتريات، والحوكمة السريرية، والضمان السيبراني. هكذا تتوقف المعدات القديمة عن كونها تعرضًا خفيًا بنمط مشترك.
يجب قياس الدروس عبر الخدمة بأكملها
بعد WannaCry، التحسينات الفردية ضرورية لكنها غير كافية. يمكن لهيئة واحدة أن تصبح أقوى بينما تبقى الخدمة ككل معرضة إذا شاركت هيئات أخرى كثيرة نفس الضعف. يتطلب درس النمط المشترك قياسًا إجماليًا. يجب أن يكون القادة الوطنيون قادرين على الإجابة عن عدد المؤسسات التي لديها أنظمة حرجة غير مدعومة، وكم عدد الثغرات الحرجة التي تتجاوز مواعيد التصحيح النهائية، وكم هيئة اختبرت استمرارية برامج الفدية في العام الماضي، وكم عدد قيود الموردين التي تمنع التصحيح، وكم عدد الاستثناءات المحلية التي ليس لديها مسار استبدال ممول.
تعد مجموعة أدوات حماية وأمن بيانات NHS، المتاحة عبربوابة مجموعة أدوات NHS England، إحدى آليات جمع التقييم الذاتي ومعلومات الضمان. التقييم الذاتي ليس كافيًا بمفرده، لكنه يعطي هيكلًا لمقارنة المؤسسات وتصعيد الفجوات. يجب أن يكون الاختبار المستقل، والتمارين الإقليمية، وضمان مجلس الإدارة، والتمويل المستهدف إلى جانبه. الخطر هو أن تصبح قائمة التدقيق أداة راحة بدلاً من ضابط. يجب أن يكون السؤال دائمًا ما إذا كان الامتثال المبلغ عنه سيحمي فعلاً رعاية المرضى أثناء ثغرة قابلة للانتشار.
يهم أيضًا مكتب مفوض المعلومات (ICO) لأن خطر بيانات الصحة جزء من نفس صورة الاستمرارية. يؤكد توجيه ICO بشأنالأمن بموجب UK GDPRعلى التدابير التقنية والتنظيمية المناسبة. لم يُذكر WannaCry أساسًا لتسريب البيانات، لكن برامج الفدية والبرمجيات الخبيثة المدمرة يمكن أن تؤثر على السرية والسلامة والتوافر. في الرعاية الصحية، التوافر هو شاغل حماية بيانات ورعاية مرضى لأن السجلات غير المتاحة يمكن أن تؤخر العلاج. لذلك ينبغي أن تعامل حوكمة الأمن التوافر كواجب مواجه للمريض، وليس فقط كهدف خدمة تقنية معلومات.
يجب أن يشمل القياس المخاطر المتبقية، وليس فقط قصص النجاح. إذا كان لدى هيئة أنظمة قديمة بانتظار الاستبدال، فالسؤال في المصلحة العامة هو ما إذا كان التأخير مفهومًا، وممولًا، ومسيطرًا عليه. إذا كان لدى هيئة أدوات قوية لنقاط النهاية لكن استمرارية ضعيفة دون اتصال، فإن تلك الفجوة مهمة. إذا كان بوسع هيئة تصحيح الخوادم بسرعة لكن لا يمكنها تصحيح الأجهزة السريرية، فيجب تجميع هذا الاعتماد وطنيًا. إذا كان لدى هيئة خطط جيدة لكن لا يوجد تمرين حديث، تبقى الخطة غير مثبتة. الخدمة الصحية التي تبلغ فقط عن التحسينات دون فجوات غير محلولة تدعو إلى مفاجأة أخرى.
يمكن للتمارين الإقليمية أن تجعل الصورة الإجمالية حقيقية. تمرين مفيد سيحاكي ثغرة حرجة يتم استغلالها بنشاط عبر هيئات محلية متعددة. سيتطلب عزلًا محليًا، وقرارات تدفق المرضى الإقليمية، واتصالات وطنية، وتصعيد الموردين، والتعامل مع الصحافة، وتحديد الأولويات السريرية. سيقيس ما إذا كانت الخدمة قادرة على تحديد الأنظمة المكشوفة، وحماية الرعاية العاجلة، والتواصل بأمان بينما الحقائق غير مكتملة. سيختبر أيضًا ما إذا كان ضعف مؤسسة واحدة يخلق عبئًا غير معقول على جيرانها. يجب أن تغذي النتيجة التمويل، والمشتريات، ومساءلة مجلس الإدارة، وليس مجرد مذكرة ما بعد العمل.
يجب على NHS أيضًا مقارنة الاستمرارية السيبرانية بتخصصات التأهب الأخرى للصحة العامة. تخطط الأنظمة الصحية بالفعل لضغط الشتاء، والأمراض المعدية، والإجراءات الصناعية، والحوادث الكبرى. يجب أن يقف الاضطراب السيبراني إلى جانب هذه المخاطر لأنه يمكن أن يزيل القدرة، أو المعلومات، أو التنسيق في نفس اللحظة التي يكون فيها الطلب مرتفعًا. التمرين السيبراني الذي لا يصل أبدًا إلى القيادة التشغيلية يخطئ الهدف. تمرين الحوادث السريرية الكبرى الذي يفترض أن جميع الأنظمة الرقمية متاحة يخطئ الهدف من الاتجاه الآخر.
المساءلة تعود للأشخاص الذين يمكنهم تقصير مدة التعرض
الاختبار الأكثر فائدة بعد حالة مثل WannaCry هو وقت التعرض. كم من الوقت حملت الخدمة خطرًا معروفًا وقابلًا للانتشار قبل الهجوم؟ كم من الوقت استغرق تحديد الأصول الضعيفة؟ كم من الوقت احتاجت الهيئات المحلية لتطبيق التصحيحات؟ كم من الوقت بقيت الأنظمة غير المدعومة بدون ضابط تعويضي؟ كم من الوقت استغرق استعادة الرعاية الآمنة؟ كم من الوقت استغرق التعلم وتمويل الإصلاحات؟ تشير كل ساعة إلى مالك مختلف، لكنها معًا تصف مساءلة الخدمة.
غالبًا ما تكون فرق تقنية المعلومات المحلية الأكثر ظهورًا بعد حادث، لكنها ليست الجهات المسؤولة الوحيدة. توافق مجالس الإدارة على تقبل المخاطر والميزانيات. يوافق القادة السريريون على التوقف وأولويات الاستبدال. تختار فرق المشتريات الموردين وشروط الدعم. تحدد الهيئات الوطنية المعايير وتراقب الامتثال. يحدد الوزراء شروط التمويل والأولويات العامة. يصمم البائعون منتجات قابلة للتصحيح أو يتركون المشترين مع اعتماديات قديمة هشة. لا ينبغي أن تنهار المساءلة بكل هذا التعقيد على عاتق الشخص الذي كان من المفترض أن يطبق تصحيحًا في يوم معين.
ولا ينبغي أن تذوب المساءلة في التعقيد. إذا كان الجميع معنيين، فلا يزال على أحدهم التصرف. يجب أن يحدد معيار وطني ما هو الجيد. يجب أن يعرف مجلس إدارة محلي ما إذا كان يستوفي المعيار. يجب أن يعرف مورد ما إذا كان منتجه يدعم المعيار. يجب أن يعرف منظم أو مدقق ما إذا كانت الادعاءات تطابق الأدلة. يجب أن يعرف المريض أن النظام قد تعلم من فشل سابق. يتقلص اعتماد النمط المشترك عندما تقصر كل طبقة التعرض الذي تتحكم فيه.
لهذا يبقى سجل WannaCry ذا صلة بعد سنوات. إنه ليس مجرد حدث تاريخي لبرامج الفدية. إنه نموذج لكيف يمكن للبرمجيات القديمة، وحوكمة التصحيح غير المختبرة، والجاهزية المحلية غير المتكافئة، وفجوات الضمان المركزية أن تجتمع لتشكل ضررًا للخدمة العامة. قد تتلاشى الثغرة الدقيقة. يبقى نمط الاعتماد. إذا استطاعت NHS أن تظهر أنها الآن ترى، وتحكم، وتمارس، وتمول هذه الاعتماديات عبر الخدمة بأكملها، يصبح WannaCry درسًا صعبًا تم استيعابه. إذا لم تستطع، فإنه يبقى تحذيرًا ينتظر محفزًا جديدًا.
لذلك فإن معيار المساءلة النهائي هو دليل على انخفاض التعرض المشترك. هيئة تستبدل خادمًا قديمًا واحدًا تحسن وضعها المحلي. خدمة وطنية يمكنها إثبات أن الأصول الحرجة غير المدعومة معروفة، والاستثناءات ممولة، والموردين مسؤولون، والتصحيحات في وقتها، والتجزئة مختبرة، والخطط الاحتياطية السريرية تعمل قد غيرت النظام. الفرق مهم لأن المرضى لا يختارون أي مؤسسة محلية تصادف أن تكون الأقوى في اليوم الذي تصل فيه الدودة. إنهم يعتمدون على الخدمة الصحية كمؤسسة عامة. الواجب هو جعل أضعف اعتماد مشترك مرئيًا قبل أن يصبح السبب التالي لإلغاء الرعاية.
هذا المعيار يبقي التحليل عادلاً أيضًا. لا يدعي أن كل خطر يمكن القضاء عليه. ستظل الرعاية الصحية تشغل أجهزة متخصصة، وميزانيات مقيدة، وجداول سريرية عاجلة، وعلاقات موردين معقدة. إنه يصر على أن تُحكم هذه القيود بشكل مفتوح بما يكفي ليتصرف القادة. الجهاز غير المصحح المخفي مشكلة تقنية. الاستثناء المعروف، والمملوك، والمعزول، والممول، والمحدد زمنيًا هو خطر مُدار. أظهر WannaCry ما يحدث عندما تبقى استثناءات كثيرة جدًا غير مرئية في نفس الوقت.
للمساءلة المستقبلية، قد لا يكون أهم رقم عام هو عدد الهجمات المحظورة. قد يكون عدد الخدمات السريرية الأساسية التي يمكنها مواصلة العمل بينما يتم احتواء ضعف تقني مشترك. سيربط هذا الرقم الأمن السيبراني بوعد الخدمة الذي يعتمد عليه المرضى فعلاً. لا تدين NHS للجمهور بشبكة مثالية. إنها تدين بأدلة على أن ثغرة برمجية قديمة واحدة لا يمكن أن تتحول بهدوء إلى فشل نمط مشترك في الرعاية، حتى خلال أسبوع سريري مزدحم.
يجب الحفاظ على هذا الدليل قبل وصول التنبيه التالي. خدمة لا يمكنها سرد أصولها الضعيفة إلا بعد الاضطراب تكون قد قبلت بالفعل الكثير من عدم اليقين. خدمة يمكنها سردها، وعزلها، وتمويل استبدالها، والتمرن على الرعاية المتدهورة تكون قد حولت مشكلة البرمجيات القديمة إلى عمل استمرارية محكوم.
الطباعة
الطباعة هي فن وتقنية ترتيب الحروف لجعل اللغة المكتوبة مقروءة، وسهلة القراءة، وجذابة بصريًا. تتضمن اختيار الخطوط، وأحجام النقاط، وأطوال الأسطر، وتباعد الأسطر، وتباعد الحروف.
- نشأت الطباعة مع اختراع الحروف المتحركة على يد Johannes Gutenberg في القرن الخامس عشر.
- تشمل العناصر الأساسية اختيار الخط، والتقرين، والتتبع، والتباعد بين الأسطر.
- تعزز الطباعة الجيدة قابلية القراءة وتنقل المزاج أو النغمة في التصميم.

