ملخص
- أثرت WannaCry على رعاية NHS لأن عنصر تحكم تقني محلي، وهو نشر التصحيحات، أصبح عنصر تحكم وطني لاستمرارية الرعاية السريرية بمجرد وصول برنامج الفدية إلى المستشفيات وعيادات الممارسين العامين والأنظمة الداعمة.
- تُظهر سجلات مكتب المراجعة الوطنية ومراجعة NHS England مشكلة مساءلة مشتركة: أصدرت الهيئات الوطنية التنبيهات والتوجيهات، لكن المنظمات المحلية كانت لا تزال بحاجة إلى معرفة أصولها وحالة التصحيح واستثناءات الأنظمة غير المدعومة وترتيبات التراجع السريري.
- تشكل تصحيحات Microsoft MS17-010، وتنبيهات NHS Digital CareCERT، وتوجيهات CISA، وتوجيهات إدارة التصحيح من NIST الإطار الذي يصف الحدث على أنه فشل في الصيانة الموثقة، وليس مجرد تفشي مفاجئ للبرامج الضارة.
- المواعيد الملغاة، والتشخيصات المتعطلة، وتحويل الموظفين، والإغلاقات الاحترازية جعلت سجل المريض لا يقل أهمية عن سجل الأجهزة المصابة.
- سيكون معيار الإصلاح الموثوق به هو الذي يربط جرد نقاط النهاية، وقرارات البرامج غير المدعومة، وأدلة التصحيح، وقيود الموردين، وممارسة التوقف السريري، وتسوية الإلغاء، وإعداد التقارير العامة في سجل حوكمة واحد يركز على الرعاية.
أصبحت حوكمة التصحيح مرئية على مكتب المواعيد
يبدأ السجل العام الأساسي بصفحة التحقيق التي أجراها مكتب المراجعة الوطنية حولWannaCry وNHSوالتقرير الكامل لـ NAOتحقيق: هجوم WannaCry السيبراني وNHS. هذه السجلات مهمة لأنها لا تتعامل مع الحدث على أنه حادثة برامج ضارة مجردة. فهي تضع الهجوم داخل خدمة صحية حيث كان على المنظمات إلغاء المواعيد، وتحويل الجهود، وعزل الأنظمة، والحفاظ على رعاية المرضى أثناء محاولة فهم ما تمت إصابته وما تم إغلاقه فقط كإجراء احترازي.
يضيف مراجعة الدروس المستفادة من NHS Englandمراجعة الدروس المستفادةالطبقة التشغيلية: الترتيبات الطارئة، والاتصالات الوطنية، والاستجابات المحلية، ومخاوف أجهزة التشخيص، والتوصيات لنظام الصحة والرعاية. يقدم تقرير لجنة الحسابات العامة في مجلس العموم حولالهجوم السيبراني على NHSطبقة المساءلة: الأسئلة التي طرحها البرلمان لم تكن فقط "ما هي البرامج الضارة المستخدمة؟" بل "لماذا كانت الخدمة الصحية عرضة للخطر، ومن كان مسؤولاً عن الاستعداد، ولماذا لم تحمي النظافة السيبرانية الأساسية الخدمات؟"
هذا هو الإطار المفيد لـ WannaCry. يمكن أن يبدو التصحيح صغيرًا عندما يظهر كمهمة تقنية شهرية. يصبح كبيرًا عندما تحدد الحالة غير المصححة ما إذا كان موعد المريض سيتم، أو ما إذا كان جهاز التشخيص موثوقًا، أو ما إذا كانت العيادة قادرة على الوصول إلى السجلات، أو ما إذا كان طريق سيارة الإسعاف سيتغير، أو ما إذا كان على الموظفين الارتجال. الجمهور المتضرر من الاضطراب لا يهتم بالتمييز الداخلي بين التوجيهات الوطنية والتنفيذ المحلي. يختبر المرضى خدمة واحدة.
لذا فإن قضية المساءلة هي حوكمة التصحيح المحلية كحوكمة رعاية. يمكن لـ NHS England إصدار توجيهات وطنية. يمكن لـ NHS Digital نشر تنبيهات تقنية. يمكن لـ Microsoft نشر تصحيحات. يمكن للسلطات السيبرانية الوطنية التحذير من برامج الفدية. لكن الهيئات المحلية ومؤسسات الرعاية لا تزال بحاجة إلى معرفة الأجهزة التي تمتلكها، وأنظمة التشغيل غير المدعومة، والأنظمة السريرية التي يمكن تصحيحها بأمان، والأجهزة التي تعتمد على الموردين، والاستثناءات التي حصلت على موافقة مجلس الإدارة، وخدمات المرضى التي ستتم حمايتها إذا تم إيقاف الأنظمة عن العمل.
جعل WannaCry تلك السلسلة مرئية. كانت نقطة النهاية هي المكان الذي نفذت فيه البرامج الضارة، لكن مكتب المواعيد هو المكان الذي أصبح فيه فشل الحوكمة مقروءًا للجمهور.
يظهر السجل العام مسؤولية مشتركة، وليس تسليمًا واحدًا
وجه تنبيه CareCERT من NHS Digitalتنبيه CareCERT بشأن WannaCryالمؤسسات إلى توجيهات Microsoft، والتحقق من MS17-010، وفحص الثغرات، وضوابط منفذ SBM، وغيرها من الخطوات الوقائية. كما أخبر تنبيه CISA المعاصرتنبيه مؤشرات WannaCryالمسؤولين بتطبيق تصحيح MS17-010 أو استخدام تخفيفات مثل تعطيل SMBv1 وحظر SMB على حدود الشبكة. كانت نشرة الأمان من Microsoftنشرة أمان MS17-010قد صدرت في مارس 2017، قبل تفشي مايو. كما ربطت توجيهات Microsoft الخاصة للعملاء بشأن هجمات WannaCryptتوجيهات العملاء لهجمات WannaCryptالحادثة بأنظمة Windows القديمة والتصحيح والدعم الطارئ غير المعتاد لبعض الإصدارات غير المدعومة.
تخلق هذه المصادر سؤال مساءلة صعب. إذا كان التصحيح الحرج موجودًا قبل التفشي، فلماذا كانت خدمة المرضى لا تزال معرضة للخطر؟ الإجابة ليست شخصًا واحدًا نسي تحديثًا واحدًا. تحتوي ممتلكات تكنولوجيا المعلومات الصحية على تطبيقات سريرية قديمة، وأجهزة طبية، وأنظمة يديرها الموردون، وشبكات محلية، وتاريخ مشتريات، وقيود تشغيلية للتوقف، وتوظيف تقني غير متساوٍ. هذا التعقيد حقيقي. لكن التعقيد لا يزيل المساءلة؛ إنه يغير ما يجب أن تثبته المساءلة.
سيُظهر سجل المساءلة كيف أصبحت التنبيهات الوطنية إجراءً محليًا. سيوضح أي المؤسسات تلقت التنبيه، ومن يملك الاستجابة، وكيف فحصت المؤسسة التعرض للأصول، وكيف تم تصعيد الاستثناءات، وكيف تم عزل الأنظمة غير المدعومة، وكيف تم إبلاغ القادة السريريين بخدمات المرضى التي قد تتأثر. كما سيوضح أي الأنظمة تم إغلاقها عن قصد للحد من الانتشار وأي الأنظمة أصيبت بالفعل. هذا التمييز مهم لأن الاحتياط يمكن أن يلغي الرعاية.
تقرير لجنة الحسابات العامة مهم لأنه ضغط على سؤال الحوكمة بدلاً من قبول التعقيد التقني كإجابة. لا يمكن لخدمة صحية وطنية الاعتماد على سلسلة حيث يمكن لكل مشارك أن يشير إلى مكان آخر: من البائع إلى العميل، ومن الهيئة الوطنية إلى المؤسسة، ومن المؤسسة إلى المورد، ومن المورد إلى قيد الجهاز، ومن مجلس الإدارة إلى فريق تكنولوجيا المعلومات. الواجب تجاه المريض يتطلب سلسلة أدلة تعبر هذه الحدود.
جعلت مراجعة NHS England نفس المشكلة عملية. حددت الحاجة إلى تخطيط أقوى للحوادث، وأدوار أوضح، وإجراءات محلية أكثر قوة، وتأكيد أفضل. الدرس ليس أن كل مؤسسة كانت تمتلك موارد متطابقة أو تعرضًا متطابقًا. بل أن النظام الصحي يحتاج إلى حد أدنى مشترك من الإثبات: معرفة الممتلكات، تصحيح أو عزل المخاطر المعروفة، ممارسة الرعاية البديلة، والإبلاغ عن التأثير بصدق.
الأنظمة غير المدعومة هي قرارات مخاطر، وليست فوضى خلفية
غالبًا ما توصف الأنظمة غير المدعومة والقديمة كما لو كانت رواسب: طبقات قديمة خلفها الزمن. في المستشفى، هي قرارات ذات عواقب. قد لا يدعم تطبيق سريري نظام تشغيل حالي. قد يحتاج جهاز تشخيصي إلى شهادة مورد قبل تطبيق التصحيح. قد تعتمد خدمة محلية على مورد صغير. قد ينتظر مشروع استبدال التمويل الرأسمالي. لا شيء من هذا وهمي. لكن كل استثناء يجب أن يكون له مالك، وتاريخ مراجعة، وإجراء تعويضي، وتقييم لاستمرارية الرعاية.
تشرح صحيفة حقائق WannaCry من CISAصحيفة حقائق WannaCryالنقطة الوقائية الأساسية بعبارات بسيطة: الأنظمة التي تحتوي على تصحيح MS17-010 لم تكن عرضة للاستغلال الذي استخدمته WannaCry. يوفر إدخال NVD لـCVE-2017-0144سجل الثغرة وراء محادثة التصحيح تلك. بالنسبة للرعاية الصحية، الكلمة المهمة هي "موثق". لا يكفي افتراض وجود تصحيح لأن سياسة تقول إن التصحيح الشهري يحدث. تحتاج المؤسسة إلى دليل على أن المضيفين المكشوفين تم تحديدهم، وتم التحقق من حالة التصحيح، والأنظمة التي لا يمكن تصحيحها تم عزلها أو التحكم فيها بطريقة أخرى.
في وقت لاحق، أطرت NIST دليل تخطيط إدارة تصحيح المؤسسةدليل تخطيط إدارة تصحيح المؤسسةالتصحيح كصيانة وقائية بدلاً من طقوس أمنية ضيقة. هذه هي بالضبط اللغة التي احتاجتها حالة NHS. تجري المستشفيات صيانة وقائية للمعدات المادية لأن انقطاع الخدمة يمكن أن يضر بالمرضى. يجب إدارة المعدات الرقمية بنفس الجدية التشغيلية. محطة العمل، ومشاركة الملفات، ونظام التصوير، والتطبيق المحلي كلها جزء من تقديم الرعاية عندما يؤدي فشلها إلى إلغاء الرعاية.
دليل NIST لإدارة التكوين الموجهة أمنيًادليل إدارة التكوين الموجهة أمنيًامهم أيضًا لأن التصحيح يعتمد على معرفة التكوين. لا يمكن للهيئة الصحية إدارة ما لا تستطيع رؤيته. إذا كانت سجلات الأصول غير مكتملة، إذا كانت الاختلافات المحلية غير معروفة، إذا كانت الأجهزة الطبية خارج الإدارة القياسية، أو إذا كانت عقود الموردين تحد من الرؤية، تبدأ عملية التصحيح بعدم اليقين. استغلت WannaCry الثغرات التقنية، لكن عدم اليقين ضاعف الضرر التشغيلي.
لذلك يجب أن يعامل معيار المساءلة كل نظام غير مدعوم كسجل مخاطر مكتوب. من يقبله؟ لماذا لا يزال مطلوبًا؟ ما هو الإجراء التعويضي؟ ما هي خدمة المريض التي تعتمد عليه؟ ماذا يحدث إذا يجب فصله؟ ما هو تاريخ الاستبدال؟ ما الاختبار الذي يثبت أن الحل البديل آمن؟ إذا كانت هذه الأسئلة دون إجابة، فقد انتقلت المخاطر بالفعل من تكنولوجيا المعلومات إلى الرعاية.
التوجيهات الوطنية لا تنجح إلا عندما يعود الدليل المحلي
لم تفتقر السلطات السيبرانية الوطنية إلى التوجيهات. تشير توجيهات NCSC للتخفيف من هجمات البرامج الضارة والفديةالتخفيف من هجمات البرامج الضارة والفدية، ووثائق استراتيجية القطاع الصحي اللاحقة، وتنبيهات NHS Digital جميعها نحو الضوابط المألوفة: التصحيح، النسخ الاحتياطي، مكافحة البرامج الضارة، التقسيم، وعي المستخدم، تخطيط التعافي، والإبلاغ عن الحوادث. كانت المشكلة هي المسافة بين التوجيهات والجاهزية المحلية الموثقة.
تُظهر استراتيجية وزارة الصحة والرعاية الاجتماعية للأمن السيبراني للصحة والرعاية الاجتماعية: 2023 إلى 2030استراتيجية الأمن السيبراني للصحة والرعاية الاجتماعية: 2023 إلى 2030وصفحة الاستراتيجية الكاملةنظام صحي ورعاية اجتماعية للبالغين مرن سيبرانيًا في إنجلتراأن WannaCry ظلت نقطة مرجعية للسياسات اللاحقة. وضع الإعلان الحكومي حول حماية NHS من الهجمات السيبرانيةالحكومة تحدد استراتيجية لحماية NHS من الهجمات السيبرانيةالمرونة بلغة الخدمات والمرضى وليس فقط الشبكات.
هذا الإطار اللاحق مهم، لكن لا ينبغي أن يحول WannaCry إلى حكاية تاريخية. المشكلة الهيكلية لا تزال قائمة عندما يعتمد النظام الصحي الوطني على المنظمات المحلية لترجمة التوجيهات المركزية إلى أدلة التصحيح. تحتاج التوجيهات المركزية إلى حلقة تغذية راجعة. يجب أن تكون الهيئات المحلية قادرة على الإبلاغ ليس فقط أنها تلقت تنبيهًا، ولكن كم عدد الأصول ذات الصلة التي تم فحصها، وكم عددها تم تصحيحه، وكم عددها لم يتمكن من التصحيح، وما الضوابط المؤقتة التي تم تطبيقها، وما المناطق السريرية التي ظلت مكشوفة، ومتى تم إغلاق المخاطرة.
يجب أن يكون هذا التقرير قابلاً للاستخدام من قبل القادة غير المتخصصين في التكنولوجيا. لا يحتاج مجلس الإدارة إلى قائمة بكل مفتاح تسجيل. لكنه يحتاج إلى معرفة ما إذا كانت المؤسسة تحتوي على أنظمة تشغيل غير مدعومة في المناطق السريرية، وما إذا كانت التصحيحات الحرجة موثقة، وما إذا كانت أنظمة التشخيص تعتمد على استثناءات الموردين، وما إذا كان تمرين الفدية قد اختبر الرعاية البديلة، وما إذا كان الانقطاع التالي سيجبر على إلغاء المواعيد التي تواجه المريض.
تحتاج الهيئات الوطنية أيضًا إلى معرفة ما إذا كان التأكيد المحلي حقيقيًا. لوحة معلومات وطنية تجمع التأكيد الذاتي المتفائل دون أخذ عينات أو تحدي قد تخلق الراحة بدلاً من السلامة. نموذج التأكيد المفيد سيجمع بين الإبلاغ الذاتي، والفحوصات المستقلة، وتمارين الحوادث، وأخذ عينات الأصول، والعواقب للاستثناءات غير المدارة. الهدف ليس العقاب بحد ذاته. الهدف هو أن المرضى لا يمكنهم فحص حوكمة التصحيح بأنفسهم.
الرعاية الملغاة هي مقياس الاستمرارية الذي لا يمكن إخفاؤه
أهم مقياس عام لـ WannaCry لم يكن عدد الملفات المشفرة. بل كانت الرعاية التي لم تحدث. سجل استراتيجية الصحة والرعاية السيبرانية في المملكة المتحدة أن الهجوم كلف NHS 92 مليون جنيه إسترليني بعد إلغاء أكثر من 19,000 موعد، باستخدام لجنة الحسابات العامة والسجلات العامة ذات الصلة كإطار مرجعي. قامت المقالة الأكاديمية بأثر رجعيتحليل أثر رجعي لهجوم WannaCry السيبراني على NHS في إنجلترابفحص أنماط الاضطراب وتأثير الخدمة الصحية. تحول هذه السجلات الحادثة إلى قضية مساءلة عن الإلغاء.
المواعيد الملغاة ليست ضوضاء إدارية. قد تعني تشخيصًا متأخرًا، علاجًا متأخرًا، قلقًا إضافيًا، تكاليف نقل، وقت عمل ضائع، أجر مفقود، واجبات رعاية إضافية، وضغطًا أكبر على الموظفين. بعض الإلغاءات قد تكون منخفضة المخاطر سريريًا؛ البعض الآخر قد لا يكون. لذلك يجب أن يميز الرد المسؤول بين الحجم والشدة. الموعد الروتيني الملغي ونتيجة التشخيص العاجل المعطلة كلاهما مهم، ولكن ليس بنفس الطريقة.
هذا هو المكان الذي يجب فيه الحكم على الحلول البديلة السريرية. يمكن للعمليات الورقية، والحجز اليدوي، والتواصل الهاتفي، والفرز المحلي، وارتجال الموظفين حماية المرضى أثناء الانقطاع. لكنها تخلق واجبات تسوية لاحقة. هل تم إعادة حجز الموعد؟ هل تم تتبع الإحالة؟ هل تم مطابقة النتائج مع المريض الصحيح؟ هل تم إدخال السجلات الورقية بدقة؟ هل أخفى التراكم المخاطر؟ هل تم الاتصال بالمرضى الضعفاء؟ هل كانت لدى الموظفين تعليمات واضحة حول ما يمكن أن يستمر؟
يجب أن ينجو السجل المواجه للمريض من الحادث السيبراني. إذا كانت المؤسسة تعرف أي الأنظمة كانت متوقفة ولكنها لا تستطيع تحديد أي المرضى تأخرت رعايتهم، فهي تمتلك نصف الأدلة فقط. سجل التصحيح وسجل الإلغاء ينتميان معًا. يشرح أحدهما لماذا كانت المخاطرة موجودة؛ ويشرح الآخر من تحملها.
هذا الارتباط يغير أيضًا الحوافز. إذا تم الإبلاغ عن ديون التصحيح فقط كتراكم تقني، قد يقلل القادة من أهميتها. إذا تم الإبلاغ عن ديون التصحيح مع عواقب استمرارية الرعاية، تصبح عنصر مخاطرة خدمة. "ثلاثون نظامًا غير مصحح" أقل معنى من "ثلاثون نظامًا غير مصحح تدعم تقارير الأشعة، وحجز العيادات الخارجية، وإدارة قسم الطوارئ". العبارة الثانية تجبر على الملكية.
الاستجابة للحوادث يجب أن تحافظ على الرعاية والأدلة والثقة
يصف دليل NIST للتعامل مع حوادث أمن الكمبيوتردليل التعامل مع حوادث أمن الكمبيوترالإعداد والكشف والتحليل والاحتواء والاستئصال والاسترداد. يركز دليل NIST لاسترداد أحداث الأمن السيبرانيدليل استرداد أحداث الأمن السيبرانيعلى استعادة القدرات والتحقق من الاسترداد. يضيف دليل NIST للتخطيط للطوارئ للأنظمة المعلوماتية الفيدراليةدليل التخطيط للطوارئ للأنظمة المعلوماتية الفيدراليةتخطيط الاستمرارية. هذه ليست نتائج حادثة NHS، لكنها تساعد في تحديد ما تطلبه حالة NHS: استجابة للحوادث لم تفصل الاحتواء التقني عن استمرارية الرعاية.
يمكن أن يكون الاحتواء ضروريًا ومع ذلك ضارًا. في WannaCry، أصيبت بعض المنظمات، بينما قامت أخرى بإغلاق أجهزة أو أنظمة كإجراء احترازي. هذا استجابة عقلانية عندما يكون حجم ومسار التفشي غير مؤكدين. لكن الإغلاق الاحترازي يجب أن يُقاس. أي خدمات المرضى توقفت لأن الأنظمة المصابة كانت غير متوفرة؟ أيها توقفت لأن القادة لم يتمكنوا من إثبات أن الأنظمة آمنة؟ أيها توقفت لأن التوجيهات الوطنية أو المحلية كانت غير واضحة؟ أيها استمر بأمان من خلال إجراءات التوقف؟
يجب الحفاظ على الأدلة بينما تتحرك فرق الاستجابة بسرعة. السجلات، وسجلات الأصول، وأدلة التصحيح، والقرارات المحلية، والاتصالات، وقوائم الإلغاء، واستجابات الموردين كلها مهمة لاحقًا. إذا استعادت المؤسسة الأنظمة لكنها فقدت مسار القرار، لا يمكنها التعلم بدقة. إذا حافظت على التفاصيل الجنائية لكنها فقدت مسار تأثير المريض، لا يمكنها أن تكون مسؤولة أمام الأشخاص المتضررين.
يوفر دليل CISA لوقف برامج الفديةدليل StopRansomwareإطارًا أوسع للمرونة: النسخ الاحتياطي، والتقسيم، والتحكم في الوصول، والإبلاغ عن الحوادث، وتخطيط الاسترداد. في سياق NHS، يجب ترجمة هذه الضوابط إلى مصطلحات سريرية. النسخ الاحتياطي ليس فقط نسخة من البيانات؛ بل هو القدرة على استعادة الجدولة والتشخيص ودعم الوصفات والاتصالات. التقسيم ليس فقط تصميم الشبكة؛ بل هو القدرة على منع منطقة مصابة من إغلاق رعاية غير ذات صلة. الإبلاغ ليس فقط واجبًا أمنيًا؛ بل هو بداية المساعدة المتبادلة عبر النظام الصحي.
الثقة تعتمد على نفس التكامل. لا يحتاج المرضى والموظفون إلى تفاصيل جنائية حساسة. لكنهم يحتاجون إلى معلومات موثوقة حول تأثير الخدمة، وأولويات السلامة، والأنظمة المستعادة، وإعادة الحجز. يجب أن تظهر الاستجابة المسؤولة للحوادث أن الرعاية لم تكن فكرة لاحقة لاسترداد نقطة النهاية.
حوّلت أجهزة التشخيص التصحيح إلى حوكمة الموردين
لاحظت مراجعة NHS England مخاوف بشأن أجهزة التشخيص والحاجة إلى فهم الأنظمة المتأثرة والآمنة والمتاحة. هذه التفاصيل حاسمة لأن حوكمة التصحيح في الرعاية الصحية غالبًا ما تصطدم بقيود الموردين والأجهزة. قد لا يكون المستشفى حرًا في تصحيح جهاز دون دعم المورد. قد يكون الجهاز قديمًا تقنيًا لكنه أساسي سريريًا. قد يتطلب تحديث البرنامج التحقق قبل الاستخدام. قد يكون للخدمة قدرة بديلة محدودة فقط.
هذه القيود حقيقية، لكنها تخلق أيضًا واجب حوكمة. لا ينبغي للمؤسسة أن تكتشف أثناء حادثة برامج فدية أنه لا يمكنها تصحيح أو عزل أو استبدال جهاز يدعم رعاية المرضى بأمان. تحتاج المشتريات، وإدارة العقود، والأمن السيبراني، والهندسة السريرية، وقيادة الخدمة جميعها إلى سجل مشترك. ما هو الجهاز؟ أي نظام تشغيل يستخدم؟ من يمكنه تصحيحه؟ أي عقد يتطلب دعم المورد؟ أي وصول إلى الشبكة يحتاجه؟ أي خدمة مرضية تعتمد عليه؟ ما هي خطة التوقف؟ ما هي خطة الاستبدال؟
هذا هو المكان الذي تصبح فيه دورة حياة البرامج والارتباط بها قضايا مساءلة عامة. إذا تركت علاقة المورد الهيئة الصحية غير قادرة على تحديث نظام سريري بسرعة، فإن المخاطرة لا تبقى خاصة بين المشتري والبائع. المرضى يحملونها. يجب أن تتطلب العقود تحديثات أمنية، ودعم التسجيل، والإفصاح عن الثغرات، والتعاون في الحوادث، والتزامات واضحة بنهاية العمر. يجب أن تعامل المشتريات قابلية الصيانة السيبرانية كجزء من السلامة السريرية.
يجب أن يحترم قرار التصحيح أيضًا المخاطرة السريرية. يمكن أن يكسر التصحيح المتسرع نظامًا سريريًا. التصحيح المتأخر يمكن أن يعرضه للخطر. الإجابة المسؤولة ليست التصحيح الأعمى. بل هي حوكمة تصحيح مختبرة ومرتبة حسب الأولوية ومرتبة حسب المخاطرة مع مشاركة سريرية. يجب أن يكون للأنظمة الحرجة مسارات اختبار. يجب أن يكون للأنظمة غير المدعومة ضوابط تعويضية. يجب أن تكون للثغرات عالية المخاطر قواعد قرار طارئ. يجب ألا تنجرف الاستثناءات إلى أجل غير مسمى.
أظهرت WannaCry تكلفة الانجراف غير المدار. إذا كانت الهيئات المحلية لا تستطيع شرح استثناءات الأجهزة قبل الحادثة، فستواجه صعوبة في اتخاذ قرارات آمنة خلالها. لذلك فإن معيار الإصلاح ليس فقط "تثبيت التصحيحات بشكل أسرع". بل هو "بناء نظام صيانة للخدمة الصحية حيث يتم حوكمة التصحيح وقيود الموردين والتحقق السريري واستمرارية المريض معًا".
يجب أن يربط تأكيد مجلس الإدارة المقاييس السيبرانية بمقاييس الخدمة
غالبًا ما تفشل المقاييس السيبرانية مع مجالس الإدارة لأنها تقنية جدًا أو مجردة جدًا. تقرير مجلس الإدارة الذي يقول "الامتثال للتصحيح هو 87%" قد يبدو مطمئنًا بينما يخفي حقيقة أن الـ 13% المتبقية تشمل أنظمة تدعم الرعاية الطارئة، وعلم الأمراض، والأشعة، والحجز، أو تكامل الرعاية الأولية. تقرير مجلس الإدارة الذي يقول "جميع الأنظمة الحرجة لديها إجراءات توقف مختبرة وحالة تصحيح موثقة" أكثر فائدة، حتى لو كان الرقم أقل دقة.
تُظهر سجلات لجنة الحسابات العامة و NAO لماذا كان التأكيد مهمًا. كان لدى NHS هيئات وطنية، ومنظمات محلية، وتوجيهات، وتنبيهات، ومعرفة تقنية، ومع ذلك تسبب التفشي في اضطراب مادي للرعاية. هذا لا يعني أن كل مجلس إدارة كان مهملاً. بل يعني أن نموذج التأكيد لم يكن قويًا بما يكفي لإثبات الجاهزية عبر الخدمة بأكملها.
يجب أن يتضمن تأكيد مجلس الإدارة أربع وجهات نظر مترابطة. الأولى هي حقيقة الأصول: ما هي الأنظمة والأجهزة وأنظمة التشغيل والتبعيات الموجودة. الثانية هي حقيقة الصيانة: ما تم تصحيحه، وما لا يمكن تصحيحه، وما هو غير مدعوم، وما الضوابط التعويضية المطبقة. الثالثة هي حقيقة الرعاية: أي خدمات المرضى تعتمد على تلك الأنظمة وماذا يحدث إذا كانت غير متوفرة. الرابعة هي حقيقة التمرين: هل تم اختبار ترتيبات التوقف مع الأشخاص الذين سيستخدمونها.
يجب ألا تكون هذه وجهات النظر زينة سنوية. يجب أن تكون حية بما يكفي لدعم القرارات الطارئة. إذا ظهرت ثغرة جديدة قابلة للانتشار، يجب أن يعرف القادة في غضون ساعات أي الأنظمة معرضة، وما مناطق الرعاية المتضمنة، وما التخفيفات المتاحة. إذا صدرت توجيهات وطنية، يجب أن تتلقى المجالس المحلية تحديثًا للمخاطرة ذا معنى من حيث الخدمة. إذا لم يستطع المورد دعم التصحيح، يجب ألا يظل الاستثناء مخفيًا في قائمة تقنية.
يجب أن يشمل التأكيد أيضًا التحدي الداخلي. يمكن للمؤسسة أن تسأل: إذا حدث WannaCry مرة أخرى اليوم تحت اسم مختلف، ماذا سنعرف بحلول الظهر، وماذا سنظل نخمن، وأي خدمات المرضى ستكون محمية؟ إذا كانت الإجابة تعتمد على الارتجال البطولي، فإن المؤسسة لم تكمل العمل.
يجب أن يميز التواصل العام بين الإصابة والاحتياط وتأثير المريض
أثناء تفشي برامج الفدية، يمكن للغة العامة أن تخلط بين الفئات المهمة. "متأثر" قد يعني مصابًا بالبرامج الضارة، أو منفصلاً كإجراء احترازي، أو غير قادر على الوصول إلى نظام مشترك، أو مجبرًا على العمليات الورقية، أو متأثرًا بانقطاع مؤسسة أخرى. هذه الاختلافات مهمة لثقة المريض وللإصلاح اللاحق. يجب أن تشرح الخدمة الصحية، على مستوى آمن، ما إذا كان الاضطراب ناتجًا عن تشفير برامج الفدية، أو العزل الاحترازي، أو الاعتماد على المورد، أو عدم اليقين التشخيصي، أو الترابط الإقليمي.
التمييز الذي قدمه NAO بين المنظمات المصابة والمنظمات المتأثرة بالإجراءات الاحترازية هو نموذج عام مفيد. يتجنب كل من التقليل والمبالغة. إذا لم تكن المؤسسة مصابة ولكن كان عليها إيقاف خدمة لأنها لم تستطع إثبات السلامة، فهذا لا يزال تأثيرًا على الخدمة. إذا فقدت عيادة الممارس العام الوصول إلى الأنظمة بسبب احتواء أوسع، لا يزال المرضى يعانون من الاضطراب. إذا تم إيقاف تشغيل جهاز تشخيصي أثناء إجراء فحوصات السلامة، فهذا حدث لاستمرارية الرعاية حتى بدون تشفير.
يحتاج المرضى أيضًا إلى تواصل عملي. ما هي المواعيد الملغاة؟ ما هي الخدمات العاجلة التي لا تزال مفتوحة؟ كيف سيتم إعادة الحجز؟ ماذا يجب على المرضى فعله إذا لم يتلقوا ردًا؟ أي خطوط هاتفية أو مواقع ويب موثوقة؟ كيف ستوفر الخدمة للأشخاص الذين قد يفوتون الإشعارات؟ الحادث السيبراني يخلق قلقًا؛ التحديثات الغامضة تزيده.
يجب أن يتجنب التواصل العام أيضًا اعتبار الاسترداد السيبراني مكتملًا بمجرد إعادة تشغيل الأنظمة. قد يستمر التراكم وإعادة الحجز والتسوية ومراجعة السلامة. المريض الذي فقد موعدًا يحتاج إلى إغلاق، وليس فقط بيانًا بأن الأنظمة استعيدت. يحتاج الموظفون إلى نفس الوضوح. إذا تم استخدام السجلات الورقية، يجب أن يعرفوا كيفية تسويتها. إذا تأخرت التشخيصات، يحتاجون إلى قواعد تحديد الأولويات.
الجمهور لا يحتاج إلى كل التفاصيل التقنية. لكنه يحتاج إلى فئات واضحة وتوقيت صادق. "تم إيقاف بعض الخدمات كإجراء احترازي أثناء فحص الأنظمة" أكثر فائدة من لغة الاضطراب العامة. "يتم إعادة حجز المواعيد المتأثرة حسب الأولوية السريرية" أكثر فائدة من اعتذار واسع. المساءلة هي جزئيًا القدرة على التحدث بدقة عندما يكون النظام تحت الضغط.
يجب أن تدعم أتمتة الأمان الحكم المحلي، لا أن تحل محله
موضوع أتمتة الأمان مهم لأن WannaCry يمكن تذكرها بشكل خاطئ على أنها فشل بسيط في أتمتة التصحيح. الأتمتة مهمة. يمكن لفحص الثغرات، وإدارة نقاط النهاية، ومراقبة التكوين، ونشر البرامج، وربط التنبيهات، واكتشاف الأصول تقصير المسافة بين التحذير الوطني والإجراء المحلي. يمكنها تحديد الأنظمة غير المصححة بشكل أسرع من القوائم اليدوية. يمكنها مساعدة القادة على رؤية المخاطرة قبل أن يصبح الهجوم انقطاعًا في الخدمة.
لكن الأتمتة لا تزيل الحكم المحلي. لا يزال على المستشفى أن يقرر كيفية تصحيح نظام سريري، وكيفية التنسيق مع المورد، وكيفية جدولة التوقف، وكيفية اختبار الجهاز، وكيفية الحفاظ على الرعاية إذا كان يجب عزل النظام. يمكن للأدوات الآلية كشف التعرض؛ لا يمكنها بنفسها تحديد ما إذا كانت عيادة المرضى الخارجيين يجب أن تستمر على الورق، أو ما إذا كانت قدرة الأشعة يجب إعادة ترتيب أولوياتها، أو ما إذا كان يجب تصعيد استثناء المورد إلى مجلس الإدارة.
لهذا السبب يجب إقران أدلة الأتمتة بأدلة القرار البشري. يجب أن تعرف المؤسسة متى تم اكتشاف الثغرة، ومتى تم نشر التصحيح، وأي الأنظمة فشل نشرها، ومن راجع الاستثناءات، وما المخاطرة المقبولة، وما تم إبلاغ القادة السريريين به، ومتى تم التحقق من الإغلاق. يمكن للأتمتة إنشاء مسار زمني، لكن المسار يجب أن يتصل بالحوكمة.
يمكن لأتمتة الأمان أيضًا كشف الحقيقة غير المريحة. قد تُظهر أن سجلات الأصول خاطئة، وأن المسؤولين المحليين لديهم أجهزة غير مدارة، وأن الأنظمة غير المدعومة أكثر عددًا من المتوقع، أو أن الأجهزة المتصلة بالموردين خارج الضوابط القياسية. هذا الانزعاج مفيد. من الأفضل التعلم من خلال الفحص الداخلي بدلاً من تفشي برامج الفدية.
لذا فإن سؤال إصلاح NHS ليس ما إذا كان كل تصحيح يجب أن يكون تلقائيًا. بل هو ما إذا كانت الخدمة الصحية لديها رؤية آلية كافية لدعم القرارات المحلية الآمنة وفي الوقت المناسب. في الرعاية الصحية، الهدف الصحيح ليس السرعة القصوى وحدها. بل هو الصيانة الموثقة التي تحمي المرضى.
السؤال المسؤول هو ما إذا كانت أدلة التصحيح تحمي الرعاية
لا تزال المجهولات المتبقية مهمة. لا يُظهر السجل العام كل قائمة أصول محلية، أو كل قرار تصحيح، أو كل استثناء لنظام غير مدعوم، أو كل قيد لجهاز تشخيصي، أو كل حل بديل سريري، أو كل سجل تسوية إلغاء. لكنه يُظهر ما يكفي لتحديد الاختبار. كانت هناك ثغرة معروفة تحتوي على تصحيح. وصل التفشي إلى العديد من مؤسسات NHS أو أثر عليها. تم إلغاء بعض الخدمات. كان على الهيئات الوطنية والمحلية التنسيق. طالبت المراجعات اللاحقة بمرونة سيبرانية أقوى.
السؤال المسؤول ليس "من هو الشخص الوحيد الذي يجب إلقاء اللوم عليه؟" بل هو "من كان لديه سيطرة عملية على الأدلة التي كانت ستحمي الرعاية؟" يشمل ذلك القادة الوطنيين المسؤولين عن الاستراتيجية والتأكيد، وفرق NHS Digital المسؤولة عن التنبيهات والدعم التقني، والمجالس المحلية المسؤولة عن قبول المخاطرة، وفرق تكنولوجيا المعلومات المسؤولة عن نشر التصحيح والجرد، والقادة السريريين المسؤولين عن قرارات التوقف، والموردين المسؤولين عن الأنظمة القابلة للصيانة، والمدققين المسؤولين عن تحدي التأكيد الضعيف.
بالنسبة للمرضى، يجب أن تظهر الإجابة كموثوقية. لا يحتاجون إلى معرفة اسم ثغرة Windows ليثقوا في أن المستشفى يمكنه صيانة أنظمته. لا يحتاجون إلى فهم منافذ SMB ليتوقعوا أن المواعيد الملغاة سيتم تتبعها وإعادة حجزها. لا يحتاجون إلى تحليل الحدود بين الهيئات الوطنية والمحلية ليعرفوا أن هناك من يملك المخاطرة.
لذلك يجب تذكر حالة NHS WannaCry كاختبار للمساءلة عن إلغاء الرعاية. كانت حادثة سيبرانية، لكن معناها العام كان أوسع: يجب أن تكون حوكمة التصحيح في الخدمة الصحية جيدة بما يكفي لحماية العلاج والتشخيص والاتصالات والاسترداد. إذا لم يمكن ربط أدلة التصحيح باستمرارية المريض، فهي ليست بعد أدلة خدمة صحية. إنها فقط وثائق تقنية تنتظر الحادثة التالية لكشف الثغرة.
يجب أن تنتهي صلاحية استثناءات التصحيح ما لم يجددها القادة السريريون
أحد الدروس الدائمة هو أن استثناءات التصحيح تحتاج إلى تاريخ انتهاء ومالك سريري. سيكون لدى المستشفيات والهيئات دائمًا أنظمة لا يمكن تصحيحها فورًا بسبب التحقق من المورد، أو قيود الأجهزة الطبية، أو التكامل المحلي، أو مخاطرة الخدمة. الخطر ليس وجود الاستثناءات. الخطر هو الانجراف غير المحدد للاستثناءات. إذا بقي النظام غير مصحح، يجب أن يعرف مجلس الإدارة أي خدمة سريرية تعتمد عليه، وما الضوابط التعويضية النشطة، ومن قبل المخاطرة، ومتى ستتم مراجعة الاستثناء، وما مسار الاستبدال أو العزل الموجود.
يجب أن يكون سجل الاستثناءات مقروءًا خارج فريق السيبرانية. يجب أن يفهم الطبيب ما إذا كان نظام حجز العيادات الخارجية، أو واجهة علم الأمراض، أو محطة عمل الأشعة، أو أداة دعم قسم الطوارئ معرضًا. يجب أن يفهم قائد المالية ما إذا كان تمويل الاستبدال مؤجلًا. يجب أن يفهم قائد المشتريات ما إذا كان المورد يمنع الصيانة الآمنة. يجب أن يفهم قائد سلامة المرضى ما هو إجراء التوقف الذي سيحمي الرعاية إذا تم عزل النظام. بدون هذه الترجمة، يبقى دين التصحيح جدولًا تقنيًا حتى تحوله دودة إلى سجل رعاية ملغاة.
يمكن للهيئات الوطنية المساعدة من خلال توحيد الأدلة المتوقعة من المنظمات المحلية. لا ينبغي للمؤسسة أن تخترع شكل تأكيد التصحيح بمفردها. يمكن للتوجيهات الوطنية تحديد ما يجب الإبلاغ عنه للأنظمة غير المدعومة، والثغرات الحرجة، والتصحيحات التي يمنعها المورد، والأجهزة الطبية، والتطبيقات السريرية عالية التأثير. يمكنها أيضًا طلب تمارين الطاولة التي تبدأ بإزالة نظام محلي من الخدمة. يجب أن يسأل التمرين ليس فقط ما إذا كانت نقطة النهاية آمنة، ولكن ما إذا كان لا يزال بالمرضى الحجز والتشخيص والعلاج والخروج والاتصال بهم.
هذا هو المكان الذي ينتمي فيه تواصل المريض إلى برنامج التصحيح. إذا كان القادة يعرفون بالفعل أي الخدمات تعتمد على أنظمة هشة، يمكنهم إعداد رسائل أوضح قبل الأزمة. يمكنهم إخبار المرضى بما تم تأجيله، وما لا يزال مفتوحًا، وما البدائل العاجلة الموجودة، وكيف ستعمل إعادة الحجز. هذا أفضل بكثير من كتابة تحديثات عامة من الصفر بينما الموظفون يتعاملون بالفعل مع البرامج الضارة وأوامر العزل والسجلات الورقية.
يجب أن يكون المقياس النهائي هو الرعاية المحمية لكل وحدة من ديون التصحيح التي تمت إزالتها. هذا ليس مقياس محاسبة قياسي، لكنه الغريزة الصحيحة للحوكمة. برنامج تصحيح يقلل التعرض عالي المخاطر في أنظمة منخفضة التأثير بينما يترك الأنظمة القديمة الأساسية سريريًا ضعيفة التحكم قد يبدو جيدًا عدديًا ولا يزال يفشل في اختبار الخدمة العامة. أظهرت WannaCry أن الجمهور يختبر الصيانة السيبرانية من خلال المواعيد والتشخيصات والوصفات الطبية والإحالات وعبء عمل الموظفين. يجب تسجيل حوكمة التصحيح بتلك اللغة.
يجب أن يشمل نفس التسجيل استرداد الرعاية المؤجلة. إذا ساهم فشل التصحيح في إلغاء المواعيد، يجب ألا يُغلق سجل الإصلاح عند تصحيح نقاط النهاية. يجب أن يُغلق عند إعادة حجز المرضى، وعند تحديد أولويات الحالات العاجلة، وعند تسوية السجلات الورقية، وعندما يمكن للقادة السريريين إظهار أن التراكم الناتج عن الحدث السيبراني قد تمت معالجته. هذا هو الفرق بين الإغلاق التقني وإغلاق الخدمة العامة.
يجب أن تجعل حوكمة التصحيح الاختلاف المحلي مرئيًا. قد يكون لدى بعض المؤسسات جرد أقوى، أو ترتيبات أفضل مع الموردين، أو عمليات توقف أكثر تمرينًا. قد تحمل أخرى أنظمة قديمة بضوابط أضعف. لا ينبغي للتأكيد الوطني أن يعدل هذه الاختلافات في الراحة. يجب أن يحدد مكان أكثر المرضى تعرضًا وتوجيه المساعدة هناك أولاً. درس المساءلة العامة من WannaCry هو أن الخدمة الوطنية يمكن أن تفشل بشكل غير متساوٍ بينما تخلق مشكلة ثقة وطنية.
يجب أن تشمل المساعدة المتبادلة القدرة التقنية والسريرية
NHS ليس آلة واحدة. أثناء حادثة سيبرانية، قد تكون بعض المنظمات مصابة، وبعضها معزول، وبعضها محمّل بشكل زائد، وبعضها لا يزال قادرًا على المساعدة. لذلك يجب تخطيط المساعدة المتبادلة كمورد سريري وتقني. قد تستقبل مؤسسة مجاورة مرضى، وتشارك قدرة التشخيص، وتدعم الاتصالات، أو تعير موظفين ذوي خبرة. قد يساعد فريق تقني وطني في الاحتواء، وإعادة البناء، واكتشاف الأصول، أو التحقق من التصحيح. السؤال المسؤول هو ما إذا كانت هذه الطرق معروفة قبل الحدث.
يمكن أن تفشل المساعدة المتبادلة إذا لم تفهم المؤسسة المستقبلة بيانات المؤسسة المرسلة، أو السجلات الورقية، أو سياق الإحالة، أو حالة المخاطرة. يمكن أن تفشل أيضًا إذا لم يعرف القادة السريريون أي الخدمات آمنة للتحويل. لذلك يجب أن يتضمن دليل اللعب السيبراني قواعد النقل السريري، وقوالب مشاركة المعلومات، وضمانات حماية البيانات، ومستويات الثقة التقنية. يجب أن يقول ليس فقط من يمكنه المساعدة، ولكن ما الدليل المطلوب لجعل المساعدة آمنة.
هذا سبب آخر يجعل تأكيد التصحيح ينتمي إلى لغة الخدمة. إذا فقد أحد المستشفيات وظيفة تشخيصية، يحتاج قادة المنطقة إلى معرفة ما إذا كان موقع آخر يمكنه استيعاب العمل العاجل، وما إذا كانت سجلات المرضى يمكن أن تنتقل، وما إذا كانت النتائج يمكن إعادتها، وما إذا كان الحل البديل يخلق مخاطرة للخصوصية أو السلامة. هذه القرارات تحتاج إلى جرد موثوق ومسارات اتصال. لا يمكن ارتجالها من قوائم نقاط النهاية المعزولة.
أظهرت WannaCry أن ضعفًا تقنيًا محليًا يمكن أن يصبح مشكلة رعاية إقليمية. لذلك يجب أن يشمل معيار الإصلاح تدريبات المساعدة المتبادلة حيث يفقد أحد المواقع الأنظمة الرئيسية ويجب على موقع آخر مواصلة الرعاية. يجب أن يقيس التمرين تدفق المرضى، ونقل السجلات، وعبء الموظفين، وإغلاق الرعاية المؤجلة. هذا يحول المرونة من مقياس مؤسسة فردية إلى قدرة النظام الصحي.
يجب تسوية التراكمات الخلفية للمرضى مقابل الأولوية السريرية
الرعاية الملغاة ليست تراكمًا موحدًا. موعد روتيني ضائع، وفحص تشخيصي مؤجل، وإحالة عاجلة مؤجلة، ووصفة متقطعة، وجراحة مؤجلة تحمل مخاطر سريرية مختلفة. لذلك يجب أن يقوم برنامج الاسترداد السيبراني بتسوية التراكمات مقابل الأولوية السريرية بدلاً من معالجتها فقط حسب التاريخ المستلم. وإلا قد تبدو الخدمة عادلة إداريًا بينما تفشل في المرضى الذين تأخيراتهم أكثر خطورة من الناحية الطبية.
يجب أن يربط ملف التراكم كل عنصر ملغي أو مؤجل بالنظام المتأثر، والحل البديل المستخدم، وحالة الاتصال بالمريض، وتصنيف الأولوية السريرية، ونتيجة الإغلاق. يجب أن يسجل أيضًا الحالات التي لا يمكن الوصول إلى المريض فيها. لا ينبغي معاملة عدم الاستجابة الصامتة كحل. يجب على الخدمة الصحية بذل جهود إضافية للأشخاص الضعفاء، أو المستبعدين رقميًا، أو الذين يحتمل أن يفوتوا الإشعارات.
يدعم هذا السجل أيضًا التعلم العام. إذا جاءت العديد من الإلغاءات من نظام غير مدعوم، يجب أن تؤثر هذه الحقيقة على الاستثمار. إذا تعافت إحدى الخدمات بشكل أسرع لأنها اختبرت الإجراءات الورقية، يجب أن تنتشر هذه الممارسة. إذا منع قيد مورد التصحيح الآمن بشكل متكرر، يجب أن تتغير المشتريات. تسوية التراكم الخلفي للمرضى ليست فقط مهمة استرداد. بل هي جسر الأدلة من حوكمة التصحيح إلى ضرر المريض.

