الملخص

  • أثر هجوم WannaCry على رعاية NHS لأن التحكم الفني المحلي، أي نشر التصحيحات، أصبح بمثابة ضابط وطني لاستمرارية الخدمات السريرية بمجرد وصول الفدية إلى المستشفيات وعيادات الأطباء والأنظمة الداعمة.
  • تُظهر سجلات مراجعة مكتب التدقيق الوطني (National Audit Office) وهيئة NHS England وجود مشكلة مشتركة في المساءلة: أصدرت الجهات الوطنية تنبيهات وإرشادات، لكن كان على المؤسسات المحلية أن تعرف أصولها وحالة التصحيح والاستثناءات المتعلقة بالأنظمة غير المدعومة وترتيبات العمل البديل السريرية.
  • إن تصحيح Microsoft MS17-010، وتنبيهات CareCERT من NHS Digital، وتوجيهات CISA، وإرشادات إدارة التصحيحات من NIST تجعل من الحادثة فشلاً في الصيانة المُتحقق منها، وليس مجرد انتشار مفاجئ للبرمجيات الخبيثة.
  • جعل إلغاء المواعيد، وتعطل التشخيص، وتحويل الموظفين، والإغلاقات الاحترازية من سجل المريض أمراً لا يقل أهمية عن سجل الجهاز المصاب.
  • سيربط معيار إصلاح موثوق بين جرد النقاط الطرفية، وقرارات البرمجيات غير المدعومة، وأدلة التصحيح، وقيود الموردين، وممارسة العمل في فترات التعطل السريري، وتسوية الإلغاءات، والتقارير العامة في سجل حوكمة واحد يركز على الرعاية.

برزت حوكمة التصحيح على طاولة المواعيد

يبدأ السجل العام الأساسي بصفحة التحقيق الخاصة بمكتب التدقيق الوطني حولWannaCry وNHSوتقرير التحقيق الكامل للمكتب الوطني للتدقيقالتحقيق: هجوم WannaCry الإلكتروني على NHS. هذه السجلات مهمة لأنها لا تتعامل مع الحدث على أنه حادث برمجيات خبيثة مجرد. فهي تضع الهجوم داخل خدمة صحية اضطرت المؤسسات فيها إلى إلغاء المواعيد، وتحويل الجهود، وعزل الأنظمة، والاستمرار في تقديم رعاية المرضى أثناء محاولة فهم ما الذي أصيب بالعدوى وما الذي تم إغلاقه فقط كإجراء احترازي.

تضيف مراجعة الدروس المستفادة لهيئةNHS Englandالطبقة التشغيلية: ترتيبات الطوارئ، والاتصالات الوطنية، والاستجابات المحلية، والمخاوف المتعلقة بأجهزة التشخيص، والتوصيات لنظام الصحة والرعاية. ويوفر تقرير لجنة الحسابات العامة في مجلس العموم حولالهجوم الإلكتروني على NHSطبقة المساءلة: لم تكن الأسئلة التي طرحها البرلمان فقط "ما البرمجيات الخبيثة المستخدمة؟" بل "لماذا كانت الخدمة الصحية معرضة للخطر، ومن كان مسؤولاً عن الاستعداد، ولماذا لم تحمِ النظافة الإلكترونية الأساسية الخدمات؟"

هذا هو الإطار المفيد لـ WannaCry. قد يبدو التصحيح صغيراً عندما يظهر كمهمة فنية شهرية. ويصبح كبيراً عندما تحدد حالة عدم التصحيح ما إذا كان موعد المريض سيستمر، وما إذا كان يمكن الوثوق بجهاز التشخيص، وما إذا كانت العيادة تستطيع الوصول إلى السجلات، وما إذا كان مسار سيارة الإسعاف سيتغير، وما إذا كان على الموظفين الارتجال. إن الجمهور المتضرر من التعطيل لا يهتم بالتمييز الداخلي بين التوجيه الوطني والتنفيذ المحلي. فالمرضى يختبرون خدمة واحدة.

لذلك فإن مسألة المساءلة هي حوكمة التصحيح المحلي بصفتها حوكمة رعاية. يمكن لـ NHS England إصدار توجيهات وطنية. ويمكن لـ NHS Digital تعميم التنبيهات الفنية. ويمكن لـ Microsoft نشر التصحيحات. ويمكن للسلطات السيبرانية الوطنية التحذير من برمجيات الفدية. لكن الصناديق الاستئمانية المحلية ومؤسسات الرعاية كانت لا تزال بحاجة إلى معرفة الأجهزة التي تمتلكها، وأنظمة التشغيل غير المدعومة لديها، والأنظمة السريرية التي يمكن تصحيحها بأمان، والأجهزة التي تعتمد على الموردين، والاستثناءات التي حظيت بموافقة مجلس الإدارة، وخدمات المرضى التي ستتم حمايتها إذا تم إيقاف الأنظمة عن العمل.

جعل WannaCry هذه السلسلة مرئية. كانت النقطة الطرفية هي المكان الذي نُفذت فيه البرمجيات الخبيثة، لكن طاولة المواعيد كانت المكان الذي أصبح فيه فشل الحوكمة مقروءاً للجمهور.

يُظهر السجل العام مسؤولية مشتركة، وليست مجرد تسليم واحد

وجه تنبيهCareCERT من NHS Digital حول WannaCryالمؤسسات نحو توجيهات Microsoft، والتحقق من MS17-010، وفحص الثغرات، وضوابط منفذ SMB، وخطوات حماية أخرى. كما أخبر تنبيهمؤشرات WannaCry من CISAفي الوقت نفسه المسؤولين بتطبيق تصحيح MS17-010 أو استخدام تدابير تخفيفية مثل تعطيل SMBv1 وحظر SMB على حدود الشبكة. وكانتنشرة مايكروسوفت الأمنية MS17-010قد صدرت في مارس 2017، قبل تفشي مايو. وربطتتوجيهات مايكروسوفت للعملاء بشأن هجمات WannaCryptالحادث بأنظمة Windows القديمة، والتصحيح، والدعم الطارئ غير المعتاد لإصدارات معينة غير مدعومة.

تخلق هذه المصادر سؤالاً صعباً عن المساءلة. إذا كان هناك تصحيح حاسم قبل التفشي، فلماذا كانت خدمة المرضى لا تزال معرضة؟ الجواب ليس شخصاً واحداً نسي تحديثاً واحداً. تحتوي بيئات تكنولوجيا المعلومات الصحية على تطبيقات سريرية قديمة، وأجهزة طبية، وأنظمة يديرها الموردون، وشبكات محلية، وسجل مشتريات، وقيود التعطل التشغيلي، وتفاوت في الكوادر الفنية. هذا التعقيد حقيقي. لكن التعقيد لا يزيل المساءلة؛ إنه يغير ما يجب أن تثبته المساءلة.

سيُظهر السجل القابل للمساءلة كيف تحولت التنبيهات الوطنية إلى إجراءات محلية. سيُظهر أي المؤسسات تلقت التنبيه، ومن تولى مسؤولية الاستجابة، وكيف فحصت المؤسسة تعرض الأصول، وكيف تم تصعيد الاستثناءات، وكيف تم عزل الأنظمة غير المدعومة، وكيف تم إبلاغ القادة السريريين بالخدمات المرضية التي قد تتأثر. كما سيظهر أي الأنظمة تم إيقاف تشغيلها عمداً للحد من الانتشار وأيها أصيب فعلياً. هذا التمييز مهم لأن الإجراء الاحترازي قد يلغي الرعاية أيضاً.

تقرير لجنة الحسابات العامة مهم لأنه ضغط على مسألة الحوكمة بدلاً من قبول التعقيد الفني كإجابة. لا يمكن لخدمة صحية وطنية أن تعتمد على سلسلة يستطيع فيها كل مشارك أن يشير إلى جهة أخرى: من البائع إلى العميل، ومن الجهة الوطنية إلى الصندوق الاستئماني، ومن الصندوق إلى المورد، ومن المورد إلى قيود الجهاز، ومن مجلس الإدارة إلى فريق تكنولوجيا المعلومات. يتطلب الواجب تجاه المرضى سلسلة أدلة تتجاوز تلك الحدود.

جعلت مراجعة NHS England المشكلة نفسها عملية. حددت الحاجة إلى تخطيط أقوى للحوادث، وأدوار أوضح، وإجراءات محلية أكثر قوة، وضمان أفضل. الدرس ليس أن كل صندوق استئماني كان لديه موارد متطابقة أو تعرض متطابق. بل هو أن النظام الصحي يحتاج إلى حد أدنى مشترك من الإثبات: معرفة البيئة، وتصحيح أو عزل المخاطر المعروفة، والتدرب على الرعاية البديلة، والإبلاغ عن الأثر بصدق.

الأنظمة غير المدعومة هي قرارات مخاطر وليست فوضى خلفية

غالباً ما توصف الأنظمة غير المدعومة والقديمة كما لو كانت رواسب: طبقات قديمة تركت بمرور الزمن. في المستشفى، هي قرارات لها عواقب. قد لا يدعم تطبيق سريري نظام تشغيل حالي. قد يحتاج جهاز تشخيص إلى اعتماد من البائع قبل تطبيق تصحيح. قد تعتمد خدمة محلية على مورد صغير. قد ينتظر مشروع استبدال تمويلاً رأسمالياً. لا شيء من هذا وهمي. لكن ينبغي أن يكون لكل استثناء مالك، وتاريخ مراجعة، وضابط تعويضي، وتقييم لاستمرارية الرعاية.

تشرحبطاقة حقائق WannaCry من CISAالنقطة الوقائية الأساسية بعبارات بسيطة: الأنظمة التي تم تطبيق تصحيح MS17-010 عليها لم تكن عرضة للاستغلال الذي استخدمه WannaCry. يوفر إدخالCVE-2017-0144 في NVDسجل الثغرة الأمنية وراء تلك المحادثة حول التصحيح. بالنسبة للرعاية الصحية، الكلمة المهمة هي "المُتحقق منها". لا يكفي افتراض وجود تصحيح لأن السياسة تقول إن التصحيح الشهري يحدث. تحتاج المؤسسة إلى دليل على أن الأصول المعرضة قد تم تحديدها، وفحص حالة التصحيح، وعزل الأنظمة التي لا يمكن تصحيحها أو السيطرة عليها بطريقة أخرى.

قامدليل NIST لتخطيط إدارة التصحيحات للمؤسساتفي وقت لاحق بوضع إطار للتصحيح بوصفه صيانة وقائية بدلاً من طقوس أمنية ضيقة. هذه هي بالضبط اللغة التي احتاجتها حالة NHS. تقوم المستشفيات بالصيانة الوقائية للمعدات المادية لأن انقطاع الخدمة يمكن أن يضر المرضى. يجب أن تُدار المعدات الرقمية بنفس الجدية التشغيلية. إن محطة العمل، أو مشاركة الملفات، أو نظام التصوير، أو التطبيق المحلي هي جزء من تقديم الرعاية عندما يؤدي فشلها إلى إلغاء الرعاية.

كما أندليل إدارة التكوين المرتكز على الأمان من NISTمهم أيضاً لأن التصحيح يعتمد على معرفة التكوين. لا يمكن لهيئة صحية أن تدير ما لا يمكنها رؤيته. إذا كانت سجلات الأصول غير مكتملة، أو إذا كانت الاختلافات المحلية غير معروفة، أو إذا كانت الأجهزة الطبية خارج الإدارة القياسية، أو إذا كانت عقود الموردين تحد من الرؤية، فإن عملية التصحيح تبدأ بعدم اليقين. استغل WannaCry الثغرة التقنية، لكن عدم اليقين ضخم الضرر التشغيلي.

لذلك ينبغي أن يعامل معيار المساءلة كل نظام غير مدعوم كسجل مخاطر مكتوب. من يقبله؟ لماذا لا يزال مطلوباً؟ ما هو الضابط التعويضي؟ ما هي خدمة المريض التي تعتمد عليه؟ ماذا يحدث إذا كان لا بد من فصله؟ ما هو تاريخ الاستبدال؟ ما الاختبار الذي يثبت أن الحل البديل آمن؟ إذا كانت هذه الأسئلة دون إجابة، فإن الخطر يكون قد انتقل بالفعل من تكنولوجيا المعلومات إلى الرعاية.

التوجيهات الوطنية لا تنجح إلا عندما يعود الإثبات المحلي

لم تكن السلطات السيبرانية الوطنية تفتقر إلى كل التوجيهات. تشير إرشادات المركز الوطني للأمن السيبرانيلتخفيف هجمات البرمجيات الخبيثة وبرمجيات الفدية، ووثائق الاستراتيجية القطاعية الصحية اللاحقة، وتنبيهات NHS Digital جميعها إلى ضوابط مألوفة: التصحيح، والنسخ الاحتياطي، ومكافحة البرمجيات الخبيثة، والتجزئة، ووعي المستخدم، وتخطيط التعافي، والإبلاغ عن الحوادث. كانت المشكلة هي المسافة بين التوجيه والاستعداد المحلي المُتحقق منه.

تُظهراستراتيجية الأمن السيبراني للصحة والرعاية الاجتماعية: 2023 إلى 2030الصادرة عن وزارة الصحة والرعاية الاجتماعية، وصفحة الاستراتيجية الكاملةنظام صحي وأنظمة رعاية اجتماعية للبالغين صامد سيبرانياً في إنجلترا: استراتيجية الأمن السيبراني حتى عام 2030، أن WannaCry ظل نقطة مرجعية للسياسة اللاحقة. وضع الإعلان الحكومي حول حماية NHS من الهجمات السيبرانيةالحكومة تضع استراتيجية لحماية NHS من الهجمات السيبرانيةالصمود بلغة الخدمات والمرضى بدلاً من الشبكات فقط.

هذا التأطير اللاحق مهم، لكن لا ينبغي أن يحول WannaCry إلى حكاية تاريخية. تستمر المشكلة الهيكلية كلما اعتمد نظام صحي وطني على المؤسسات المحلية لترجمة التوجيه المركزي إلى دليل تصحيح. يحتاج التوجيه المركزي إلى حلقة تغذية راجعة. ينبغي أن تكون الهيئات المحلية قادرة على الإبلاغ ليس فقط أنها تلقت تنبيهاً، ولكن كم عدد الأصول ذات الصلة التي تم فحصها، وكم تم تصحيحه، وكم لا يمكن تصحيحه، وما هي الضوابط المؤقتة التي تم تطبيقها، وما هي المناطق السريرية التي بقيت معرضة، ومتى تم إغلاق الخطر.

ينبغي أن يكون هذا الإبلاغ قابلاً للاستخدام من قبل القادة غير المتخصصين تقنياً. لا يحتاج مجلس الإدارة إلى قائمة بكل مفتاح تسجيل. لكنه يحتاج إلى معرفة ما إذا كان لدى المؤسسة أنظمة تشغيل غير مدعومة في المناطق السريرية، وما إذا تم التحقق من التصحيحات الحرجة، وما إذا كانت أنظمة التشخيص تعتمد على استثناءات الموردين، وما إذا كان قد تم اختبار تمرين برمجيات الفدية لاختبار بدائل الرعاية، وما إذا كان الانقطاع التالي سيفرض إلغاءات تواجه المرضى.

تحتاج الهيئات الوطنية أيضاً إلى معرفة ما إذا كان الضمان المحلي حقيقياً. قد تخلق لوحة معلومات وطنية تجمع شهادات ذاتية متفائلة دون أخذ عينات أو تحدي شعوراً بالراحة بدلاً من السلامة. سيجمع نموذج الضمان المفيد بين الإبلاغ الذاتي، والفحوص المستقلة، وتمارين الحوادث، وأخذ عينات الأصول، والعواقب المترتبة على الاستثناءات غير المُدارة. النقطة ليست العقاب لذاته. النقطة هي أن المرضى لا يمكنهم فحص حوكمة التصحيح بأنفسهم.

الرعاية الملغاة هي مقياس الاستمرارية الذي لا يمكن إخفاؤه

لم يكن أهم مقياس عام لـ WannaCry هو عدد الملفات المشفرة. بل الرعاية التي لم تحدث. تسجل استراتيجية الصحة والرعاية السيبرانية في المملكة المتحدة أن الهجوم كلف NHS 92 مليون جنيه إسترليني بعد إلغاء أكثر من 19000 موعد، مستخدمة لجنة الحسابات العامة والسجلات العامة ذات الصلة كإطار مرجعي. قام المقال الأكاديمي الاستعاديتحليل الأثر الاستعادي لهجوم WannaCry على NHS في إنجلترابفحص أنماط التعطيل وتأثير الخدمة الصحية بشكل أكبر. تحول هذه السجلات الحادث إلى قضية مساءلة عن الإلغاء.

المواعيد الملغاة ليست ضوضاء إدارية. قد تعني تأخير التشخيص، وتأخير العلاج، وقلقاً إضافياً، وتكاليف نقل، ووقتاً مستقطعاً من العمل، وأجراً ضائعاً، وواجبات رعاية إضافية، وضغطاً أكبر على الموظفين. قد تكون بعض الإلغاءات منخفضة الخطورة سريرياً؛ وقد لا يكون البعض الآخر كذلك. لذلك ينبغي أن تميز الاستجابة القابلة للمساءلة بين الحجم والشدة. إن الموعد الروتيني الملغى والنتيجة التشخيصية العاجلة المعطلة كلاهما مهمان، لكن ليس بالطريقة نفسها.

هنا يجب الحكم على حلول العمل السريرية البديلة. يمكن للعمليات الورقية، والحجز اليدوي، والتواصل عبر الهاتف، والفرز المحلي، وارتجال الموظفين أن تحمي المرضى أثناء الانقطاع. لكنها تخلق واجبات تسوية لاحقة. هل تمت إعادة حجز الموعد؟ هل تم تتبع الإحالة؟ هل تمت مطابقة النتائج مع المريض الصحيح؟ هل تم إدخال السجلات الورقية بدقة؟ هل أخفى التراكم المخاطر؟ هل تم الاتصال بالمرضى الضعفاء؟ هل كان لدى الموظفين تعليمات واضحة لما يمكن أن يستمر؟

ينبغي أن يبقى السجل المواجه للمريض بعد الحادث السيبراني. إذا كان الصندوق الاستئماني يعرف أي الأنظمة كانت متوقفة لكنه لا يستطيع تحديد المرضى الذين تأخرت رعايتهم، فإنه لا يملك سوى نصف الدليل. سجل التصحيح وسجل الإلغاء ينتميان معاً. يشرح أحدهما سبب وجود الخطر؛ ويشرح الآخر من تحمله.

هذا الربط يغير الحوافز أيضاً. إذا تم الإبلاغ عن دين التصحيح فقط كتراكم تقني، فقد يقلل القادة من وزنه. إذا تم الإبلاغ عن دين التصحيح مع عواقب استمرارية الرعاية، يصبح بنداً من بنود مخاطر الخدمة. "ثلاثون نظاماً غير مصحح" أقل معنى من "ثلاثون نظاماً غير مصحح تدعم تقارير الأشعة، وحجز العيادات الخارجية، وإدارة قسم الطوارئ". البيان الثاني يفرض الملكية.

طباعة

الطباعة هي فن وتقنية ترتيب الحروف لجعل اللغة المكتوبة واضحة ومقروءة وجذابة بصرياً. وهي تشمل اختيار الخطوط، وأحجام النقاط، وأطوال الأسطر، والمسافات بين الأسطر والحروف.

  • نشأت الطباعة مع اختراع الحروف المتحركة على يد يوهانس غوتنبرغ في القرن الخامس عشر.
  • تشمل العناصر الأساسية اختيار الخط، وتعديل المسافات بين الحروف، وتعديل المسافات بين مجموعات الحروف، والتباعد بين الأسطر.
  • الطباعة الجيدة تعزز القابلية للقراءة وتنقل المزاج أو النغمة في التصميم.

يجب أن تحافظ الاستجابة للحادث على الرعاية والأدلة والثقة

يصفدليل معالجة حوادث أمن الكمبيوتر من NISTالتحضير والكشف والتحليل والاحتواء والقضاء والتعافي. يركزدليل التعافي من حوادث الأمن السيبراني من NISTعلى استعادة القدرات والتحقق من صحة التعافي. يضيفدليل تخطيط استمرارية العمل لأنظمة المعلومات الفيدرالية من NISTتخطيط الاستمرارية. هذه ليست نتائج حوادث NHS، لكنها تساعد في تحديد ما تطلبته حالة NHS: استجابة للحوادث لا تفصل الاحتواء الفني عن استمرارية الرعاية.

يمكن أن يكون الاحتواء ضرورياً ومع ذلك ضاراً. في WannaCry، أصيبت بعض المؤسسات، بينما أغلقت مؤسسات أخرى الأجهزة أو الأنظمة كإجراء احترازي. هذا استجابة عقلانية عندما يكون حجم ومسار التفشي غير مؤكد. لكن الإغلاق الاحترازي ينبغي مع ذلك قياسه. ما هي خدمات المرضى التي توقفت لأن الأنظمة المصابة كانت غير متاحة؟ أيها توقفت لأن القادة لم يستطيعوا إثبات أن الأنظمة آمنة؟ أيها توقفت لأن التعليمات الوطنية أو المحلية كانت غير واضحة؟ أيها استمرت بأمان من خلال إجراءات التعطل؟

ينبغي الحفاظ على الأدلة بينما تتحرك فرق الاستجابة بسرعة. السجلات، وسجلات الأصول، وأدلة التصحيح، والقرارات المحلية، والاتصالات، وقوائم الإلغاء، واستجابات الموردين جميعها مهمة لاحقاً. إذا استعادت المؤسسة الأنظمة لكنها تفقد مسار القرار، لا يمكنها التعلم بدقة. إذا حافظت على التفاصيل الجنائية لكنها تفقد مسار تأثير المريض، لا يمكنها تقديم حساب للأشخاص المتضررين.

يوفردليل StopRansomware من CISAإطار صمود أوسع: النسخ الاحتياطي، والتجزئة، والتحكم في الوصول، والإبلاغ عن الحوادث، وتخطيط التعافي. في سياق NHS، ينبغي ترجمة هذه الضوابط إلى مصطلحات سريرية. النسخة الاحتياطية ليست مجرد نسخة من البيانات؛ إنها القدرة على استعادة الجدولة، والتشخيص، ودعم الوصفات الطبية، والاتصالات. التجزئة ليست مجرد تصميم شبكة؛ إنها القدرة على منع منطقة مصابة من إغلاق رعاية غير ذات صلة. الإبلاغ ليس مجرد واجب أمني؛ إنه بداية المساعدة المتبادلة عبر النظام الصحي.

تعتمد الثقة على نفس التكامل. لا يحتاج المرضى والموظفون إلى تفاصيل جنائية حساسة. لكنهم بحاجة إلى معلومات موثوقة حول تأثير الخدمة، وأولويات السلامة، والأنظمة المستعادة، وإعادة الحجز. ينبغي أن تُظهر الاستجابة القابلة للمساءلة للحادث أن الرعاية لم تكن فكرة متأخرة عن استعادة النقاط الطرفية.

الأجهزة التشخيصية حولت التصحيح إلى حوكمة موردين

لاحظت مراجعة NHS England مخاوف بشأن الأجهزة التشخيصية والحاجة إلى فهم أي الأنظمة كانت متأثرة وآمنة ومتاحة. هذه التفاصيل حاسمة لأن حوكمة التصحيح في الرعاية الصحية غالباً ما تصطدم بقيود الموردين والأجهزة. قد لا يكون المستشفى حراً في تصحيح جهاز دون دعم البائع. قد يكون الجهاز قديماً تقنياً لكنه أساسي سريرياً. قد يتطلب تحديث البرنامج التحقق من الصحة قبل الاستخدام. قد يكون للخدمة قدرة بديلة محدودة فقط.

هذه القيود حقيقية، لكنها تخلق أيضاً واجب حوكمة. لا ينبغي للصندوق الاستئماني أن يكتشف أثناء حادثة فدية أنه لا يمكنه تصحيح أو عزل أو استبدال جهاز يدعم رعاية المرضى بأمان. تحتاج المشتريات، وإدارة العقود، والأمن السيبراني، والهندسة السريرية، وقيادة الخدمة جميعها إلى سجل مشترك. ما هو الجهاز؟ أي نظام تشغيل يستخدم؟ من يمكنه تصحيحه؟ أي عقد يتطلب دعم البائع؟ ما هو وصول الشبكة الذي يحتاجه؟ ما هي خدمة المريض التي تعتمد عليه؟ ما هي خطة التعطل؟ ما هي خطة الاستبدال؟

هنا تصبح دورة حياة البرنامج والارتباط بالمورد قضايا مساءلة عامة. إذا كانت علاقة المورد تترك هيئة صحية غير قادرة على تحديث نظام سريري بسرعة، فإن الخطر لا يبقى خاصاً بين المشتري والبائع. يتحمله المرضى. ينبغي أن تتطلب العقود تحديثات أمنية، ودعم تسجيل، والكشف عن الثغرات، والتعاون في الحوادث، والتزامات واضحة بنهاية العمر. ينبغي أن تعامل المشتريات قابلية الصيانة السيبرانية كجزء من السلامة السريرية.

يجب أن يحترم قرار التصحيح أيضاً المخاطر السريرية. يمكن أن يكسر التصحيح المتسرع نظاماً سريرياً. ويمكن أن يعرضه التصحيح المؤجل للخطر. الجواب القابل للمساءلة ليس التصحيح الأعمى. إنه تصحيح تم اختباره وتحديد أولوياته وتصنيف مخاطره بحوكمة تشمل المشاركة السريرية. ينبغي أن يكون للأنظمة الحرجة مسارات اختبار. ينبغي أن يكون للأنظمة غير المدعومة ضوابط تعويضية. ينبغي أن يكون للثغرات عالية الخطورة قواعد قرارات طارئة. ينبغي ألا تنجرف الاستثناءات إلى أجل غير مسمى.

أظهر WannaCry تكلفة الانجراف غير المُدار. إذا لم تستطع الهيئات المحلية شرح استثناءات الأجهزة قبل الحادث، فستعاني لاتخاذ قرارات آمنة أثناءه. لذلك فإن معيار الإصلاح ليس فقط "تثبيت التصحيحات بشكل أسرع". بل هو "بناء نظام صيانة للخدمة الصحية حيث يتم حوكمة التصحيح، وقيود الموردين، والتحقق السريري، واستمرارية المريض معاً".

ينبغي أن يربط ضمان مجلس الإدارة المقاييس السيبرانية بمقاييس الخدمة

غالباً ما تفشل المقاييس السيبرانية في مجالس الإدارة لأنها تقنية جداً أو مجردة جداً. تقرير لمجلس الإدارة يقول "الامتثال للتصحيح 87 في المئة" قد يبدو مطمئناً بينما يخفي حقيقة أن النسبة المتبقية 13 في المئة تشمل أنظمة تدعم رعاية الطوارئ، وعلم الأمراض، والأشعة، والحجز، أو تكامل الرعاية الأولية. تقرير لمجلس الإدارة يقول "جميع الأنظمة الحرجة لديها إجراءات تعطل مختبرة وحالة تصحيح مثبتة" هو أكثر فائدة، حتى لو كان الرقم أقل أناقة.

تُظهر سجلات لجنة الحسابات العامة ومكتب التدقيق الوطني لماذا كان الضمان مهماً. كان لدى NHS هيئات وطنية، ومؤسسات محلية، وتوجيهات، وتنبيهات، ومعرفة تقنية، ومع ذلك تسبب التفشي في تعطيل مادي للرعاية. هذا لا يعني أن كل مجلس إدارة كان مهملاً. بل يعني أن نموذج الضمان لم يكن قوياً بما يكفي لإثبات الاستعداد عبر الخدمة بأكملها.

ينبغي أن يتضمن ضمان مجلس الإدارة أربع وجهات نظر مترابطة. الأولى هي حقيقة الأصول: ما هي الأنظمة والأجهزة وأنظمة التشغيل والتبعيات الموجودة. الثانية هي حقيقة الصيانة: ما الذي تم تصحيحه، وما الذي لا يمكن تصحيحه، وما هو غير مدعوم، وما هي الضوابط التعويضية المطبقة. الثالثة هي حقيقة الرعاية: أي خدمات المرضى تعتمد على تلك الأنظمة وماذا يحدث إذا كانت غير متاحة. الرابعة هي حقيقة التمرين: ما إذا كانت ترتيبات التعطل قد اختبرت مع الأشخاص الذين سيستخدمونها.

ينبغي ألا تكون هذه الوجهات زينة سنوية. ينبغي أن تكون حية بما يكفي لدعم القرارات الطارئة. إذا ظهرت ثغرة جديدة قابلة للانتشار، ينبغي أن يعرف القادة في غضون ساعات أي الأنظمة معرضة، وما هي مجالات الرعاية المعنية، وما هي التخفيفات المتاحة. إذا صدر توجيه وطني، ينبغي أن تتلقى المجالس المحلية تحديثاً للمخاطر ذا معنى بمصطلحات الخدمة. إذا لم يستطع مورد دعم تصحيح، ينبغي ألا يبقى الاستثناء غير مرئي في طابور تقني.

ينبغي أن يتضمن الضمان أيضاً تحدياً داخلياً. يمكن للصندوق الاستئماني أن يسأل: إذا حدث WannaCry مرة أخرى اليوم تحت اسم مختلف، ماذا سنعرف بحلول الظهيرة، وماذا سنظل نخمن، وأي خدمات المرضى ستكون محمية؟ إذا كانت الإجابة تعتمد على الارتجال البطولي، فإن المؤسسة لم تنهِ العمل.

يجب أن يميز التواصل العام بين العدوى والاحتراز وتأثير المريض

أثناء تفشي برمجيات الفدية، يمكن للغة العامة أن تشوش على فئات مهمة. قد تعني كلمة "متأثر" مصاباً ببرمجيات خبيثة، أو مفصولاً كإجراء احترازي، أو غير قادر على الوصول إلى نظام مشترك، أو مجبراً على عمليات ورقية، أو متعطلاً بسبب انقطاع مؤسسة أخرى. هذه الاختلافات مهمة لثقة المريض وللإصلاح اللاحق. ينبغي أن تشرح الخدمة الصحية، بمستوى آمن، ما إذا كان التعطيل ناجماً عن تشفير فدية، أو عزل احترازي، أو تبعية لمورد، أو عدم يقين تشخيصي، أو ترابط إقليمي.

تمييز مكتب التدقيق الوطني بين المؤسسات المصابة والمؤسسات المتأثرة بالإجراءات الاحترازية هو نموذج عام مفيد. إنه يتجنب كلاً من التقليل والمبالغة. إذا لم يكن صندوق استئماني مصاباً لكنه اضطر إلى إيقاف خدمة لأنه لا يستطيع إثبات السلامة، فهذا لا يزال تأثيراً على الخدمة. إذا فقدت عيادة طبيب عام الوصول إلى الأنظمة بسبب احتواء أوسع، فإن المرضى لا يزالون يعانون من التعطيل. إذا تم إطفاء جهاز تشخيص بينما أجريت فحوصات السلامة، فهذا حدث استمرارية سريرية حتى بدون تشفير.

يحتاج المرضى أيضاً إلى تواصل عملي. أي المواعيد ملغاة؟ أي الخدمات العاجلة تبقى مفتوحة؟ كيف ستتم إعادة الحجز؟ ماذا يجب أن يفعل المرضى إذا لم يتلقوا رداً؟ أي خطوط الهاتف أو المواقع الإلكترونية موثوقة؟ كيف ستحمي الخدمة الأشخاص الذين قد يفوتون الإشعارات؟ حادث سيبراني يخلق قلقاً؛ التحديثات الغامضة تزيده.

يجب أن يتجنب التواصل العام أيضاً التعامل مع التعافي السيبراني على أنه مكتمل بمجرد إعادة تشغيل الأنظمة. قد يستمر التراكم، وإعادة الحجز، والتسوية، ومراجعة السلامة. المريض الذي فقد موعداً يحتاج إلى إنهاء، وليس فقط بياناً بأن الأنظمة استعيدت. يحتاج الموظفون إلى نفس الوضوح. إذا استخدمت السجلات الورقية، يجب أن يعرفوا كيفية تسويتها. إذا تأخرت التشخيصات، يحتاجون إلى قواعد أولوية.

لا يحتاج الجمهور إلى كل تفصيل تقني. لكنه يحتاج إلى فئات واضحة وتوقيت صادق. "تم تعليق بعض الخدمات كإجراء احترازي أثناء فحص الأنظمة" أكثر فائدة من لغة التعطيل العامة. "تتم إعادة حجز المواعيد المتأثرة وفقاً للأولوية السريرية" أكثر فائدة من اعتذار واسع. المساءلة هي جزئياً القدرة على التحدث بدقة عندما يكون النظام تحت الضغط.

يجب أن تدعم أتمتة الأمان الحكم المحلي، لا أن تحل محله

الموضوع الظاهر لأتمتة الأمان مهم لأن WannaCry يمكن أن يُذكر خطأً كفشل بسيط في أتمتة التصحيح. الأتمتة مهمة بالفعل. يمكن لفحص الثغرات، وإدارة النقاط الطرفية، ومراقبة التكوين، ونشر البرمجيات، وترابط التنبيهات، واكتشاف الأصول أن تقصر المسافة بين تحذير وطني وإجراء محلي. يمكنها تحديد الأنظمة غير المصححة أسرع من القوائم اليدوية. يمكنها مساعدة القادة على رؤية الخطر قبل أن يصبح الهجوم انقطاعاً في الخدمة.

لكن الأتمتة لا تزيل الحكم المحلي. لا يزال على المستشفى أن يقرر كيف يصحح نظاماً سريرياً، وكيف ينسق مع مورد، وكيف يجدول التعطل، وكيف يختبر جهازاً، وكيف يحافظ على الرعاية إذا كان لا بد من عزل نظام. يمكن للأدوات المؤتمتة أن تشير إلى التعرض؛ لكنها لا تستطيع وحدها أن تقرر ما إذا كان ينبغي لعيادة خارجية أن تستمر بالورق، أو ما إذا كان ينبغي إعادة ترتيب أولويات قدرة الأشعة، أو ما إذا كان ينبغي تصعيد استثناء مورد إلى مجلس الإدارة.

لهذا السبب ينبغي أن يقترن دليل الأتمتة بدليل القرار البشري. ينبغي أن تعرف المؤسسة متى تم الكشف عن ثغرة، ومتى تم نشر تصحيح، وأي أنظمة فشل في النشر، ومن راجع الاستثناءات، وما هي المخاطر التي تم قبولها، وما الذي تم إبلاغه للقادة السريريين، ومتى تم التحقق من الإغلاق. يمكن للأتمتة أن تخلق مساراً مختوماً بالوقت، لكن يجب أن يتصل المسار بالحوكمة.

يمكن لأتمتة الأمان أيضاً أن تكشف حقيقة غير مريحة. قد تظهر أن سجلات الأصول خاطئة، أو أن المسؤولين المحليين لديهم أجهزة غير مُدارة، أو أن الأنظمة غير المدعومة أكثر عدداً مما كان متوقعاً، أو أن الأجهزة المتصلة بموردين خارج الضوابط القياسية. هذا الانزعاج مفيد. من الأفضل أن تتعلم من خلال فحص داخلي بدلاً من خلال تفشي فدية.

لذلك فإن سؤال إصلاح NHS ليس ما إذا كان ينبغي أن يكون كل تصحيح تلقائياً. بل هو ما إذا كانت الخدمة الصحية لديها رؤية مؤتمتة كافية لدعم قرارات محلية آمنة وفي الوقت المناسب. في الرعاية الصحية، الهدف الصحيح ليس السرعة القصوى وحدها. بل الصيانة المُتحقق منها التي تحمي المرضى.

السؤال القابل للمساءلة هو ما إذا كان دليل التصحيح يحمي الرعاية

تظل الأمور المجهولة المتبقية مهمة. لا يُظهر السجل العام كل قائمة أصول محلية، أو كل قرار تصحيح، أو كل استثناء نظام غير مدعوم، أو كل قيد جهاز تشخيصي، أو كل حل عمل سريري بديل، أو كل سجل تسوية إلغاء. لكنه يُظهر ما يكفي لتحديد الاختبار. كان لثغرة معروفة تصحيح. وصل التفشي أو أثر على العديد من مؤسسات NHS. ألغيت بعض الخدمات. كان على الهيئات الوطنية والمحلية التنسيق. طالبت المراجعات اللاحقة بصمود سيبراني أقوى.

السؤال القابل للمساءلة ليس "من هو الشخص الوحيد الذي يلام؟" بل "من كان لديه سيطرة عملية على الدليل الذي كان سيحمي الرعاية؟" وهذا يشمل القادة الوطنيين المسؤولين عن الاستراتيجية والضمان، وفرق NHS Digital المسؤولة عن التنبيهات والدعم الفني، والمجالس المحلية المسؤولة عن قبول المخاطر، وفرق تكنولوجيا المعلومات المسؤولة عن نشر التصحيح والجرد، والقادة السريريين المسؤولين عن قرارات التعطل، والموردين المسؤولين عن أنظمة قابلة للصيانة، والمدققين المسؤولين عن تحدي الضمان الضعيف.

بالنسبة للمرضى، ينبغي أن يظهر الجواب كموثوقية. لا ينبغي أن يحتاجوا إلى معرفة اسم ثغرة Windows ليثقوا بأن المستشفى يمكنه صيانة أنظمته. لا ينبغي أن يحتاجوا إلى فهم منافذ SMB ليتوقعوا أن المواعيد الملغاة ستُتابع ويعاد حجزها. لا ينبغي أن يحتاجوا إلى تحليل الحدود بين الهيئات الوطنية والمحلية ليعرفوا أن شخصاً ما يمتلك الخطر.

لذلك ينبغي أن تُذكر قضية NHS وWannaCry كاختبار مساءلة عن إلغاء الرعاية. لقد كانت حادثة سيبرانية، لكن معناها العام كان أوسع: يجب أن تكون حوكمة التصحيح في الخدمة الصحية جيدة بما يكفي لحماية العلاج والتشخيص والتواصل والتعافي. إذا لم يمكن ربط دليل التصحيح باستمرارية المريض، فهو ليس بعد دليلاً للخدمة الصحية. إنه مجرد أوراق تقنية تنتظر الحادثة التالية لتكشف الفجوة.

يجب أن تنتهي صلاحية استثناءات التصحيح ما لم يجددها القادة السريريون

أحد الدروس الدائمة هو أن استثناءات التصحيح تحتاج إلى تاريخ انتهاء صلاحية ومالك سريري. سيكون لدى المستشفيات والصناديق الاستئمانية دائماً أنظمة لا يمكن تصحيحها فوراً بسبب تحقق المورد، أو قيود الأجهزة الطبية، أو التكامل المحلي، أو مخاطر الخدمة. الخطر ليس في وجود الاستثناءات. الخطر في انجراف الاستثناء غير المحدد. إذا بقي نظام غير مصحح، ينبغي أن يعرف مجلس الإدارة أي خدمة سريرية تعتمد عليه، وأي ضوابط تعويضية نشطة، ومن قبل الخطر، ومتى ستتم مراجعة الاستثناء، وما هو مسار الاستبدال أو العزل الموجود.

ينبغي أن يكون سجل الاستثناءات مقروءاً خارج فريق الأمن السيبراني. ينبغي أن يفهم الطبيب ما إذا كان نظام حجز العيادات الخارجية، أو واجهة علم الأمراض، أو محطة عمل الأشعة، أو أداة دعم قسم الطوارئ معرضة. ينبغي أن يفهم قائد المالية ما إذا كان تمويل الاستبدال مؤجلاً. ينبغي أن يفهم قائد المشتريات ما إذا كان مورد يعرقل الصيانة الآمنة. ينبغي أن يفهم قائد سلامة المرضى ما هو إجراء التعطل الذي سيحمي الرعاية إذا تم عزل النظام. بدون هذه الترجمة، يبقى دين التصحيح جدول بيانات تقني حتى تحوله دودة إلى سجل رعاية ملغاة.

يمكن للهيئات الوطنية المساعدة من خلال توحيد الأدلة المتوقعة من المؤسسات المحلية. لا ينبغي للصندوق الاستئماني أن يضطر لاختراع شكل ضمان التصحيح وحده. يمكن للتوجيه الوطني أن يحدد ما يجب الإبلاغ عنه للأنظمة غير المدعومة، والثغرات الحرجة، والتصحيحات التي يحظرها الموردون، والأجهزة الطبية، والتطبيقات السريرية عالية التأثير. يمكنه أيضاً أن يتطلب تمارين طاولة تبدأ بعزل نظام محلي عن الخدمة. ينبغي أن يسأل التمرين ليس فقط ما إذا كانت النقطة الطرفية آمنة، ولكن ما إذا كان لا يزال يمكن حجز المرضى، وتشخيصهم، وعلاجهم، وإخراجهم، والاتصال بهم.

هنا أيضاً تنتمي اتصالات المريض في برنامج التصحيح. إذا كان القادة يعرفون مسبقاً أي الخدمات تعتمد على أنظمة هشة، يمكنهم إعداد رسائل أوضح قبل الأزمة. يمكنهم إخبار المرضى بما هو مؤجل، وما الذي يبقى مفتوحاً، وما هي البدائل العاجلة الموجودة، وكيف ستعمل إعادة الحجز. هذا أفضل بكثير من كتابة تحديثات عامة من الصفر بينما يتعامل الموظفون بالفعل مع برمجيات خبيثة، وأوامر عزل، وسجلات ورقية.

ينبغي أن يكون المقياس النهائي هو الرعاية المحمية لكل وحدة من دين التصحيح المُزال. هذا ليس مقياساً محاسبياً قياسياً، لكنه الغريزة الحوكمة الصحيحة. برنامج تصحيح يقلل من التعرض عالي المخاطر في أنظمة منخفضة التأثير بينما يترك الأنظمة القديمة الأساسية سريرياً تحت سيطرة ضعيفة قد يبدو جيداً عددياً ومع ذلك يفشل في اختبار الخدمة العامة. أظهر WannaCry أن الجمهور يختبر الصيانة السيبرانية من خلال المواعيد، والتشخيصات، والوصفات، والإحالات، وعبء عمل الموظفين. ينبغي أن تُسجل حوكمة التصحيح بتلك اللغة.

ينبغي أن يتضمن نفس التسجيل استعادة الرعاية المؤجلة. إذا ساهم فشل التصحيح في إلغاء المواعيد، ينبغي ألا يُغلق سجل الإصلاح عندما تُصحح النقاط الطرفية. بل يجب أن يُغلق عندما يُعاد حجز المرضى، وتُعطى الأولوية للحالات العاجلة، وتُسوى السجلات الورقية، ويمكن للقادة السريريين أن يظهروا أن التراكم الناتج عن الحادث السيبراني قد تمت معالجته. هذا هو الفرق بين الإغلاق الفني وإغلاق الخدمة العامة.

ينبغي أن تجعل حوكمة التصحيح الاختلافات المحلية مرئية أيضاً. قد يكون لبعض الصناديق الاستئمانية جردات أقوى، أو ترتيبات أفضل مع الموردين، أو عمليات تعطل أكثر تدرباً. وقد يحمل آخرون أنظمة قديمة بضوابط أضعف. لا ينبغي أن يوسط الضمان الوطني تلك الاختلافات في شعور بالراحة. بل ينبغي أن يحدد أين يكون المرضى أكثر تعرضاً ويوجه المساعدة هناك أولاً. درس المساءلة العامة من WannaCry هو أن الخدمة الوطنية يمكن أن تفشل بشكل غير متساو بينما تظل تخلق مشكلة ثقة وطنية.

يجب أن تشمل المساعدة المتبادلة القدرة التقنية والسريرية

NHS ليست آلة واحدة. أثناء حادث سيبراني، قد تكون بعض المؤسسات مصابة، وبعضها معزولة، وبعضها محملة فوق طاقتها، وبعضها لا يزال قادراً على المساعدة. لذلك ينبغي تخطيط المساعدة المتبادلة كمورد سريري وتقني. قد يقبل صندوق استئماني مجاور المرضى، أو يشارك قدرة التشخيص، أو يدعم الاتصالات، أو يعير موظفين ذوي خبرة. قد يساعد فريق تقني وطني في الاحتواء، أو إعادة البناء، أو اكتشاف الأصول، أو التحقق من التصحيح. السؤال القابل للمساءلة هو ما إذا كانت هذه الطرق معروفة قبل الحدث.

يمكن أن تفشل المساعدة المتبادلة إذا لم تفهم المؤسسة المستقبلة بيانات المؤسسة المرسلة، أو السجلات الورقية، أو سياق الإحالة، أو حالة الخطر. ويمكن أن تفشل أيضاً إذا لم يعرف القادة السريريون أي الخدمات آمنة للتحويل. لذلك ينبغي أن يتضمن دليل اللعب السيبراني قواعد نقل سريري، وقوالب مشاركة المعلومات، وضمانات حماية البيانات، ومستويات ثقة تقنية. ينبغي أن يقول ليس فقط من يمكنه المساعدة، ولكن ما هو الدليل المطلوب لجعل المساعدة آمنة.

هذا سبب آخر لانتماء ضمان التصحيح إلى لغة الخدمة. إذا فقد أحد المستشفيات وظيفة تشخيصية، يحتاج القادة الإقليميون إلى معرفة ما إذا كان موقع آخر يمكنه استيعاب العمل العاجل، وما إذا كانت سجلات المرضى يمكن أن تنتقل، وما إذا كان يمكن إرجاع النتائج، وما إذا كان الحل البديل يخلق مخاطر خصوصية أو سلامة. تحتاج هذه القرارات إلى جردات موثوقة ومسارات اتصال. لا يمكن ارتجالها من قوائم نقاط طرفية معزولة.

أظهر WannaCry أن ضعفاً تقنياً محلياً يمكن أن يصبح مشكلة رعاية إقليمية. لذلك ينبغي أن يتضمن معيار الإصلاح تدريبات مساعدة متبادلة حيث يفقد أحد المواقع أنظمته الرئيسية ويجب على موقع آخر مواصلة الرعاية. ينبغي أن يقيس التمرين تدفق المرضى، ونقل السجلات، وعبء الموظفين، وإغلاق الرعاية المؤجلة. هذا يحول الصمود من مقياس صندوق استئماني فردي إلى قدرة نظام صحي.

يجب أن تُسوى تراكمات المرضى مقابل الأولوية السريرية

الرعاية الملغاة ليست تراكماً موحداً. موعد روتيني فائت، وفحص تشخيصي متأخر، وإحالة عاجلة مؤجلة، ووصفة طبية متقطعة، وجراحة مؤجلة تحمل مخاطر سريرية مختلفة. لذلك ينبغي أن يسوي برنامج التعافي السيبراني التراكمات مقابل الأولوية السريرية بدلاً من معالجتها فقط حسب تاريخ الاستلام. وإلا فقد تبدو الخدمة عادلة إدارياً بينما تخذل المرضى الذين تكون تأخيراتهم أكثر خطورة طبياً.

ينبغي أن يربط ملف التراكم كل بند ملغى أو مؤجل بالنظام المتأثر، والحل البديل المستخدم، وحالة الاتصال بالمريض، وتصنيف الأولوية السريرية، ونتيجة الإغلاق. كما ينبغي أن يسجل الحالات التي تعذر الاتصال بالمريض فيها. لا ينبغي معاملة عدم الاستجابة الصامت كحل. ينبغي أن تبذل الخدمة الصحية جهوداً إضافية للأشخاص الضعفاء، أو المستبعدين رقمياً، أو المعرضين لتفويت الإشعارات.

يدعم هذا السجل أيضاً التعلم العام. إذا كانت إلغاءات كثيرة ناتجة عن نظام واحد غير مدعوم، فينبغي أن تؤثر هذه الحقيقة على الاستثمار. إذا تعافت إحدى الخدمات أسرع لأن لديها إجراءات ورقية مختبرة، فينبغي أن تنتشر هذه الممارسة. إذا كان قيد مورد يمنع التصحيح الآمن بشكل متكرر، فينبغي أن تتغير المشتريات. لذلك فإن تسوية تراكم المرضى ليست مجرد مهمة تعافي. إنها جسر الأدلة من حوكمة التصحيح إلى ضرر المريض.