摘要
- 确认事实:2017 年 5 月 12 日至 19 日,WannaCry 影响了英格兰的 NHS 服务。National Audit Office 报告称,至少 80 个信托机构(共 236 个)受到感染或中断,其中 34 个信托机构遭受感染并被锁定设备,46 个信托机构未感染但报告了中断,另有 603 个初级保健和其他 NHS 组织受到感染,包括 595 家全科诊所。
- 确认事实:NHS England 在事件响应窗口期间确认了 6,912 次预约取消,并估计总数超过 19,000 次。五个急诊部门转移了患者。NHS Digital 向 NAO 表示,没有患者数据被泄露或窃取;Department of Health、NHS England 和 National Crime Agency 向 NAO 表示,没有任何 NHS 组织支付了赎金。
- 边界:公开记录支持补丁与保证方面的失误,但不支持简单认为 Windows XP 单独导致了 NHS 中断。NHS England 的经验教训审查指出,攻击利用了 Microsoft Windows 的一个漏洞,大多数受感染的 NHS 设备运行的是已受支持但未打补丁的 Windows 7,而不受支持的 XP 设备只占受感染设备的少数。
- 评估:应问责的失误不仅仅是技术债务。它是资产可见性、补丁部署、不受支持设备管理、地方信托自治、缺乏事前合规机制的全国性机构、未经测试的地方网络应急响应,以及被迫转入纸质和人工协调的医疗连续性流程等多重因素的结合。
补丁可以发布,但治理未必跟上
NHS WannaCry 故事的最简短版本是:Microsoft 补丁在攻击前就已存在,但太多 NHS 组织未予应用。这句话没错,但它隐藏了问责问题。补丁是技术产物,而打补丁则是一个治理体系。它需要资产记录、风险优先级排序、变更窗口、临床系统测试、供应商协调、地方运营同意、部署证明,以及例外情况的全国性视图。在 2017 年 5 月,NHS 有指引、警告和技术支持,但缺乏足够的保证来确认这些指引已转化为保护。
Microsoft 于 2017 年 3 月 14 日发布了安全公告 MS17-010。该公告将问题评为严重级别,并称如果攻击者向 Microsoft Server Message Block 1.0 服务器发送精心构造的消息,最严重的漏洞可能允许远程代码执行。Microsoft 后来在其WannaCrypt 客户指导中解释,3 月的更新已解决所利用的漏洞,启用自动更新的组织已得到保护,并且 Microsoft 采取了不寻常的步骤,为 Windows XP、Windows 8 和 Windows Server 2003 等旧平台广泛提供更新。其安全博客将 WannaCrypt 描述为一种蠕虫,利用已经修复的漏洞,影响那些未应用补丁的计算机。(Microsoft 安全博客)
NHS Digital 存档的预警CC-1411以医疗行业的语言描述了同样的风险。它识别出该勒索软件使用的正是 MS17-010 中修补的 SMB 漏洞,警告称这些漏洞很可能被未来的恶意软件变种用于自我传播,并指出应优先为受影响版本打补丁。它还列出了修复步骤,例如阻止相关 SMB 端口、确认端口锁定、更新易受攻击的平台、使用漏洞扫描器、维持 kill-switch 域连接、隔离受感染设备、将受感染机器重建至已打补丁的标准,以及不支付赎金。
这些细节很重要,因为它们表明,到 5 月 12 日,技术答案并非模糊不明。更难的问题在于,国家层面和地方层面的控制是否已使答案在操作上不可避免。National Audit Office 调查报告提到,NHS Digital 早在 2017 年 3 月和 4 月就发布了严重预警,警告各组织打补丁以防止 WannaCry。报告还指出,在攻击发生前,Department of Health 并无正式机制来评估 NHS 组织是否遵从了其建议和指引。NHS Digital 对 236 个信托机构中的 88 个进行了现场评估,且没有一个通过其网络安全评估,但 NHS Digital 无法要求地方机构采取修复行动。
这就是问责的关节所在。中央可以发出警告,地方组织对许多实施选择拥有控制权。但患者经历的是整个系统的组合结果,而不是中央预警与地方补丁窗口之间的界线。
记录所确立的事实
WannaCry 于 2017 年 5 月 12 日星期五开始影响 NHS。据 NAO 报告,这次全球勒索软件攻击影响了至少 100 个国家超过 20 万台计算机,而 NHS 并非特定目标。当日下午 4 时,NHS England 宣布重大事件,并启动应急安排以维持健康和患者护理。当晚,一名安全研究人员激活了“关闭开关”,阻止了 WannaCry 以相同方式锁定更多设备。攻击在 5 月 12 日至 19 日这一周内影响了 NHS 服务。
英格兰的受影响规模相当大,但无法完全度量。根据 NAO 的数据,英格兰至少 80 个信托机构(共 236 个)受到影响,因为它们要么被感染,要么为防万一关闭了系统。其中 34 个被感染并被锁定设备,包括 25 个急症信托。另有 46 个报告了中断但未被归类为感染;一些机构为预防而关闭了电子邮件和其他系统,不得不对通常以电子方式进行的活动采用纸和笔。NHS England 和 NHS Digital 还发现,有 21 个信托的系统尝试联系 WannaCry 域但未被锁定,另外还有 603 个初级保健及其他组织受到感染,包括 595 家全科诊所。
公开记录同样清晰地表明了未知之处。Department of Health 和 NHS England 并不完全清楚中断的全部程度。他们不知道有多少 NHS 组织由于共享系统或数据而无法访问记录。他们不知道取消了全科医生预约的总数,也不知道由于五个急诊部门无法收治部分患者,有多少救护车和患者被转移。NHS England 在 5 月 12 日至 18 日期间收集了一些取消信息,但 NAO 指出,这些数据并未涵盖所有预约类型。因此,已报告的 6,912 次确认取消和估计超过 19,000 次的总取消量,并非完整的患者影响总账。
由 Health and Social Care 首席信息官领导的NHS England 经验教训审查保留了同样的框架,同时增加了操作细节。它指出,NHS 并非直接目标,没有患者受到伤害或患者数据被泄露或窃取的报告,NHS 1% 的活动直接受到影响。它还陈述了 80 个医院信托受影响,595 家全科诊所(共 7,454 家)和 8 个其他 NHS 及相关组织受到感染,此次中断使医疗服务对信息技术的依赖更加清晰。
这最后一条结论最为重要。一次未窃取患者数据的勒索软件事件仍然损害了医疗连续性。在数字化的医院里,可用性并非便利层面,而是临床吞吐、通信、诊断访问、预约流程和安全升级的一部分。
不受支持的系统是故事的一部分,而非全部
WannaCry 常被重新讲述为一个关于 Windows XP 的警示故事。不受支持的软件确实重要。它一直是一个已知风险,Department of Health 和 Cabinet Office 在 2014 年曾致函各信托,要求它们制定可靠计划,在 2015 年 4 月前迁移掉诸如 Windows XP 之类的旧软件。National Data Guardian 审查(2016 年 7 月发布)提出了新的数据安全标准以及测试合规性的方法。Care Quality Commission 的 Safe Data, Safe Care 审查(同样于 2016 年 7 月发布)建议紧急更换无法再获得支持的硬件和软件,加强审计和验证,并由领导层对数据安全负责。
但“不受支持的系统”这一标语过于狭隘。NHS England 的经验教训审查指出,受影响的 80 个 NHS 组织均未应用 NHS Digital 2017 年 4 月 25 日 CareCERT 公告所建议的 Microsoft 更新补丁。它还说,WannaCry 是一次利用特定 Microsoft Windows 漏洞的攻击,而非针对不受支持软件的攻击。大多数受感染的 NHS 设备运行的是已受支持但未打补丁的 Windows 7。不受支持的 XP 设备只占受感染设备的少数,且 XP 设备的数量已从 2018 年 1 月的 18% 下降至 1.8%。
这一区分对责任界定很重要。如果失败仅仅在于“旧的操作系统”,那么答案就是更换设备的资金和供应商压力。这些问题确实存在,尤其是在医疗设备或诊断设备依赖旧软件的情况下。但是,如果受支持的 Windows 7 机器在收到严重预警后仍未打补丁,那么答案就还包括补丁治理、例外管理和闭环证明。一台受支持的设备在不打补丁时就是不安全的。一台不受支持的设备可以在补偿控制模式下被隔离或管理。在蠕虫病毒让资产清单暴露之前,系统需要知道每个关键端点处于哪种状态。
经验教训审查还指出,防火墙和网络控制本可以降低感染风险。审查称,即使没有打补丁,提高面向 N3 网络的网络防火墙安全性的行动也能保护各组织免受感染。这是不把补丁视为单一开关的另一个原因。补丁是必要的,但同样必要的还有网络分段、外围配置、SMB 暴露控制,以及知道哪些系统仍需要旧版协议支持。
NCSC WannaCry 指导(现已标记为撤回,因为已过时)记录了当时的紧急防御逻辑。它建议组织部署 MS17-010 补丁,如无法打补丁则禁用 SMBv1,按需阻止相关端口,隔离易受攻击的旧有技术,更新防病毒软件,并避免阻断 kill-switch 域。换言之,即时响应需要一套分层的控制措施。那些缺乏清晰资产清单、防火墙所有权、本地 DNS 选项、供应商联系人和经过测试的重建流程的组织,在紧急压力下难以轻松执行这种分层响应。
地方自治使中央保证更困难
NHS 并非一个庞大的单一 IT 资产群。地方信托、全科诊所、临床委派小组、供应商、委托支持单位以及其他组织在国家框架内运作,但承担许多地方性责任。NAO 指出,地方医疗组织有责任保护信息安全,并负责包括网络攻击在内的事件和应急安排。国家机构监督和支持它们,但并不总有权力强制采取特定的技术行动。
这种结构本身并无错误。地方临床组织了解自身的医疗路径、设备、供应商和变更风险。一个补丁可能会破坏旧的诊断接口、患者管理系统集成或医疗设备流程。忽视这些实际情况的中央指令可能导致不安全的变更或地方抵制。然而,当中央无法看到哪些站点暴露在外、哪些已接受风险、哪些有补偿控制、哪些因供应商、预算或临床依赖而无法采取行动时,地方自治就变得危险。
NAO 关于缺乏正式合规机制的观点因此并非官僚琐事。它解释了为什么一次预警未能转化为全系统的风险降低。国家预警可以说“立即打补丁”,但它本身无法证明每个相关端点都已打好补丁,不受支持的设备已被隔离,必要的 SMB 已被阻断,需要例外的系统已被登记,或者高管已接受了残余的患者安全风险。
Public Accounts Committee 报告将同样的弱点政治化。报告称,2016 年就已出现警告,2017 年 3 月和 4 月又有进一步警告,但在 WannaCry 发生时,仅约三分之二的信托机构打了补丁,而 88 个信托无一通过 NHS Digital 的评估。它还报告说,Department of Health 和 NHS 认识到需要改变,2018 年的经验教训审查包含了 22 项建议,但在委员会报告时,实施计划和成本尚未商定。
这一证据支持一个冷静的结论:责任是分散的,但患者并未得到分散的护理。如果地方信托缺少补丁,如果全科诊所无法访问系统,或者如果救护车必须转移,损害通过单一的公共服务传导到人们身上。分散的治理之所以需要更强的证据闭环,正是因为公共服务在需求点上表现为统一的整体。
一次医疗连续性事件,而不仅仅是 IT 事件
WannaCry 的可见伤害是中断。有些组织被感染并被锁定,有些组织为降低风险而关闭系统,有些使用了纸质方式,有些无法接收检测结果或访问共享记录,有些患者的预约或手术被取消,有五个地区转移了急诊患者。NAO 谨慎地指出,并非所有类别都完全统计,而且 NHS England 的审查报告称无已知的患者伤害。这些边界应予以尊重。没有报告伤害并不证明每个临床风险都不存在,但公开记录并不支持凭空捏造死亡人数或隐藏的患者数据盗窃。
更有用的问责视角是连续性能力。只有在降级模式就绪的情况下,医疗服务才能在短暂的数字化中断中幸存。纸质备用方案本身并非计划。它需要可打印的或近期的患者名单、替代的用药史获取途径、安全的交接路线、诊断申请变通方法、转诊跟踪、手术室排程、化验结果沟通、人工预约重新安排以及系统恢复后的对账。每种备用方式都有吞吐量和出错特征。一个能处理 20 例人工例外的诊所可能无法处理几百例。一家能安全推迟一天择期工作的医院,如果整个地区的诊断可见性受损,可能会陷入困境。
NHS England 的经验教训审查认识到了网络事件与传统重大事件之间的区别。它指出,NHS England 使用了其 Emergency Preparedness, Resilience and Response 框架,这提供了一个稳健的结构,但该事件也带来了关于网络事件如何不同于其他重大事件的经验教训。网络事件可能使通信工具本身不可靠,可能同时影响多个站点,起初可能不清楚某个站点是已感染、已断开连接还是处于防御状态,可能需要降低服务能力的技术遏制行动,还可能通过共享网络传播,因此帮助一个组织可能取决于另一个组织的行为方式。
这就是为什么问责不应止于漏掉补丁的设备。医疗系统需要一种经过测试的方式,在网络条件下回答基本的连续性问题:即使电子邮件离线,哪些服务必须保持运行?哪些记录对急诊护理至关重要?哪些系统可以在没有区域协调的情况下本地关闭?哪个国家机构主导通信?哪些供应商必须加入事件桥接?哪些地方高管可以接受降低的临床吞吐量,依据是什么?
NAO 报告称,Department of Health 已制定了一份包含国家和地方角色与责任的计划,但未在地方层面进行过测试。它还发现,NHS 从未针对全国性网络攻击进行过演练,因此起初不清楚应由谁领导响应,且存在通信问题。这并非微小的流程缺陷。在网络连续性领域,演练是各组织发现联系人列表是否有效、纸质表格是否存在、离线患者列表是否足够新、供应商是否应答、临床医生是否了解哪些系统可以安全重连的方式。
相互依赖性将地方防护转变为区域中断
此次事件最棘手的特征之一是,某些组织因其他组织的防御性举措而受到损害。一个信托机构可能避免直接感染,但仍然失去对救护车交接流程、诊断图像传输、化疗医嘱路径、血检结果流或初级保健病例负载的访问,因为另一个医疗提供者、供应商或网络伙伴为保护自身而关闭了访问。这是理性的地方遏制,但它造成了区域性的服务后果。
NHS England 后来发布的业务连续性管理工具包 WannaCry 案例研究使这一点变得具体。它描述称,County Durham and Darlington NHS Foundation Trust 未遭受直接攻击,而救护车服务通过关闭访问保护了自身网络,导致交接流程屏幕不可用,并且一个患者运输预约门户无法访问。三级中心关闭了访问,意味着 CT 和 MR 扫描无法电子传输,化疗医嘱无法通过常规路线传送。初级保健 IT 提供商保护了其网络,之后自动化血检结果传输失败,且一些全科医生无法访问其病例负载。
该案例研究中的变通方法很有价值,因为它们具体而非戏剧化。救护车预通知通过陆上线路和其他无线电通信继续进行,患者运输预约转为电话方式,图像被转存到 DVD 并由出租车运送,化疗医嘱退回到纸质和传真方式,血检结果传输转为纸质并减缓了流程,一些全科医生通过紧急治疗中心访问了病例负载。案例研究称,事后更新了业务连续性计划,并得出结论:NHS 组织需要了解自身的相互依赖性,并为共享服务制定配套计划,以最小化对医疗经济的影响。
这恰好是宽泛的事件统计所忽略的一类证据。网络事件可能在并非每个受影响组织都被感染的情况下降低医疗能力,可能将一方的安全决策转变为另一方的服务中断,可能需要使用在低容量时安全但在大规模时脆弱的模拟方法。一张用出租车运送的 DVD 或许能为少数紧急扫描保证一条诊断路径,但它不能替代繁忙区域中常规的电子影像交换。一条电话预约路线或许能维持患者运输,但在呼叫量激增时无法自动保障优先级、审计或吞吐量。纸质的化疗医嘱或许能防止治疗停摆,但它们产生转录、确认和对账负担,而这些负担原本由数字化流程吸收。
这些例子也解释了供应商和合作伙伴的连续性对于小型组织为何至关重要。一家全科诊所、临终关怀机构、社区提供者、地方诊所或签约服务可能并不拥有它所依赖的中央系统。它可能依赖于委托支持单位、托管式临床系统、病理接口、诊断合作伙伴,或由他人控制的网络路径。当这种依赖被断开时,小型组织仍然必须回应患者。它必须知道是否能通过替代站点访问记录,纸质结果在临床是否可接受,转诊更新是否在排队,以及谁负责通知患者数字化路径已失效。
就问责而言,相互依赖性改变了管控测试。仅仅说每个组织都有业务连续性计划是不够的,计划之间必须相互衔接。如果三级中心的防御性关闭阻断了图像传输,转诊信任的计划必须已经知悉替代路径。如果初级保健 IT 提供商关闭了访问,地方诊所需要为紧急记录访问指定若干选项。如果救护车交接屏幕不可用,急诊部门和救护车服务需要一份已演练过的共享备用方案。NHS 的案例研究在范围上虽有限,但它揭示了系统层面的真相:网络连续性是共同的工作,而未经演练的共同依赖即使在每个参与方都试图审慎行事时也可能失败。
成本超出未支付赎金本身
根据 Department of Health、NHS England 和 National Crime Agency 在 NAO 报告中的陈述,没有任何 NHS 组织支付了赎金。这一事实应防止常见的误读:损失并非赎金要求,而是取消的工作、加班、IT 支持、恢复、推迟的医疗服务、供应商努力以及事后的整改。NAO 指出,在其调查时,Department of Health 并不清楚服务中断的成本。它识别的成本类别包括取消的预约、额外的地方 IT 支持、IT 顾问、数据和系统恢复,以及周末响应期间的员工加班。
Department of Health and Social Care 后续的更新Securing cyber resilience in health and care: October 2018 progress update链接了详细的2018 年 9 月更新 PDF。该更新因估计 WannaCry 导致 NHS 损失 9200 万英镑(包括直接响应、IT 恢复以及产出损失)而被广泛引用。应谨慎使用该估计值。这是一项公共部门成本估算,而非对患者焦虑、家属时间、救护车调动、地方供应商负担或每名员工工时的全面核算。
学术工作也显示出为何影响难以定价。一项 2019 年发表于npj Digital Medicine的回顾性影响分析使用医院事件统计来检视取消、入院、急诊就诊、死亡率和财务成本。它发现,在 WannaCry 周内,所有信托的总活动量与基线相比没有显著差异,但直接被感染的医院急诊和择期入院量有所减少,该研究估计受感染信托损失了 590 万英镑的医院活动。它还指出未发现死亡率上升,但同时提醒死亡率是衡量患者伤害的粗略指标。
受感染医院活动损失的 590 万英镑估算值与更广泛的 9200 万英镑公共部门估算之间的差异未必是矛盾的。它们衡量的是不同事物。一个关注于受感染医院在一段时期内的活动量,使用医院数据;另一个则包括更广泛的响应、恢复和 IT 整改。对于问责而言,重点不在于挑出最大数字并称之为“成本”,而在于追问哪些成本可以通过早期补丁避免,哪些因必要的遏制而产生,哪些是本应在此之前进行的投资,以及哪些落到了患者和员工身上却从未出现在 IT 预算中。
中小型服务提供者也处于同样的问题之中。问题在于连接全国性服务的小型组织的连续性:全科诊所、临终关怀机构、社区提供者、承包商、设备供应商、地方 IT 支持伙伴以及社会照护接口。NAO 将初级保健和其他组织计入受感染实体之中,并指出其他提供者可能因共享系统或信息延迟而受到影响。因此,大型公共机构中的网络事件对于拥有更少冗余和更低政治可见性的小型组织而言,变成了一场连续性冲击。
归因并未回答操作问题
英国后来将 WannaCry 归因于朝鲜。Foreign Office 关于朝鲜行为者制造 WannaCry 的声明表示,英国判断被称为 Lazarus Group 的朝鲜行为者应为该活动负责。这一归因对于威慑、制裁、外交和国家安全有意义,但它并不能免除国内运营管控。同一份公开记录指出,NHS 并非特定目标,蠕虫通过已知的 Windows 漏洞传播,而且地方组织本可以采取相对简单的行动来保护自身。
刑事责任与公共服务责任是分开的层面。攻击者控制了恶意代码及其部署决策。Microsoft 控制了自身产品的漏洞披露和补丁发布,以及在紧急情况下为不受支持的平台提供补丁的非常决定。NHS Digital 控制了预警、指引、热线支持和行业特定建议。NHS England 控制了重大事件协调和医疗连续性升级。Department of Health 控制了政策监督和资金优先级。地方信托和全科诊所控制了许多设备、网络、供应商和变更管理决策。供应商控制了一些旧有设备、支持条款和兼容性约束。
没有任何单一层面是故事的全部。将事件仅视为敌对国行为则使其过于远离地方管理。仅视为地方不遵从则忽略了一个事实,即国家机构此前已看到警示信号且缺乏足够的执法或保证权力。仅视为 Microsoft 的问题则忽略了关键补丁在事件之前就已存在,且不打补丁是一种操作选择。仅视为供应商的问题则忽略了受支持的 Windows 系统同样未打补丁。问责是这些控制的图谱,而不是寻找一个能够承担全部责任的行动者。
最关键的管控是证据。谁知道补丁状态?谁知道暴露的 SMB 状态?谁知道哪些系统不受支持?谁知道哪些医疗设备无法在不经供应商介入的情况下打补丁?谁知道地方信托是否测试过其网络应急计划?谁知道全科诊所能够多快切换至安全的人工操作?公开记录显示,在攻击发生前,这些答案中有足够多要么不可得、要么不完整,要么中央无法据以采取行动。
事件后的计划证实了诊断
WannaCry 之后的整改记录很有用,因为它显示了国家领导人认为哪些方面出了问题。NHS England 的经验教训审查建议加强领导力和董事会问责、明确角色、制定网络安全标准、增强地方韧性、改进补丁、替换不受支持的软件、改善响应流程,并强化国家协调。Department of Health 2018 年进展更新描述了在重大事件响应、网络安全运营、数据安全标准、供应商期望和投资方面的工作。Data Security and Protection Toolkit自 2018 年 4 月起取代了之前的 Information Governance Toolkit,成为一个在线自评机制,供能访问 NHS 患者数据和系统的组织对照 National Data Guardian 的十项数据安全标准衡量并发布其表现。
该工具包并非问题已消失的证明。自评有其局限,且后来医疗体系中的网络事件表明,勒索软件和供应商中断仍然构成严重风险。但它证明后 WannaCry 的系统已从非正式指引转向显式保证。它还将网络安全从纯粹的技术领域推向董事会层面的责任、事件报告与连续性。
后来的政府战略A cyber resilient health and adult social care system in England将这一框架延伸至 2030 年。它将网络安全描述为保护患者、服务使用者和员工数据,以及在攻击发生时快速恢复的条件。该战略的存在强化了 2017 年的核心教训:在医疗保健领域,网络安全并非单独的后台学科,它是公众信任和服务连续性的基础。
National Cyber Security Centre 更广泛的公共角色在此期间也得到发展。其2017 年年度回顾公告描述了该新中心的第一年,以及其使英国网络更安全的使命。WannaCry 响应让这一使命对医院和诊所变得具体。它表明,国家网络能力必须与行业特定操作相连接,而不仅仅是向技术团队发布警告。
五项问责测试
NHS 案例的持久价值在于,它为董事会和公共部门领导提供了实用的测试。这些测试并非为了将某次补丁的责任归于某个管理员,而是为了检验一项公共服务能否证明已知的网络风险已转化为操作行动。
1. 资产可见性:一个组织无法为它无法识别的设备打补丁。它需要一份清单,涵盖服务器、端点、医疗设备、不受支持的设备、操作系统版本、暴露的服务、供应商和临床依赖。这份清单必须包括那些不易被记录的系统,例如旧的诊断工作站、共享文件服务器和部分由供应商控制的机器。
2. 补丁保证:发出警告是不够的。一次严重预警应产生可跟踪的行动、截止日期、高管升级、已登记例外、补偿控制,以及证明补丁已安装或暴露已被以其他方式控制的证据。当地方自治阻碍中央指令时,中央至少需要可靠的可视性和一条升级患者安全风险的途径。
3. 旧有系统遏制:不受支持或难以打补丁的系统需要分隔、访问限制、供应商计划、更换资金和临床应急预案。让一个系统处于不受支持的状态有时是暂时的临床必要,但它不应成为在蠕虫爆发时才发现的一个不受管控的事实。
4. 针对网络事件的连续性:应急规划必须假设正常的通信和记录系统可能不可用。人工备用需要容量规划,而不仅仅是纸质表格。它应明确哪些临床服务首先降级,患者如何转移,检测结果如何传送,预约如何重新安排,以及离线工作如何安全地完成对账。
5. 多层次问责:中央、地方机构、供应商和国家安全部门拥有不同的控制权。一个成熟的框架不会将这些控制权简化为一个归咎故事,而是定义谁必须行动、谁必须验证、谁必须出资、谁必须沟通,以及谁必须接受残余风险。
这些测试令人不安,因为它们使网络韧性可衡量。它们也保护员工免遭不切实际的期望。在 WannaCry 期间,NHS 员工加班并因地制宜地维持服务运转。经验教训审查公开认可了这些努力。不应将英勇的地方响应用作准备充分的证据,它往往是正式系统将过多工作留给处于压力之下的人的证据。
责任边界
公开来源支持强有力的运营批评,但并不支持针对某个具体信托、高管、供应商或国家机构的法律责任结论。PAC、NAO、NHS England、DHSC、CQC、NCSC、Microsoft 以及学术记录确立了预警、保证缺失、系统未打补丁、服务中断及事后整改等事实。它们并不证明每个地方组织存在过失,也不量化每一项损失,更不显示哪些设备精确地导致了每次预约取消。
这一边界之所以重要,是因为问责的教训比诉讼更广。如果领导层将此事简化为关于某一实体是否违反义务的法律争斗,就会错失控制设计。公共服务的问题是:在全国性网络事件发生前,NHS 能否知道每个组织已关闭或有意识地管理了一个已知的关键漏洞?2017 年的答案是否定的。医疗连续性的问题是:每个受影响的组织是否已经在已知的降级容量下,充分演练过网络中断,以保持核心服务运转?公开记录显示,这些安排并未经过充分测试。
因此,WannaCry 之所以仍然是一个公共问责案例,是因为它将技术维护的积压与面向患者的韧性联系起来。风险有名字:MS17-010、SMBv1、不受支持的操作系统、未经演练的事件计划、缺少中央合规保证的地方机构、共享网络,以及不能随意关闭的临床系统。但损害有不同的名字:取消的预约、转移的患者、不可用的记录、延迟的信息、员工加班,以及 9200 万英镑的整改和中断估算。
最负责任地记住这一事件的方式,不是将其当作一个关于旧软件的道德故事,而是作为一个警告:公共机构可以知道得足够多以至于感到担忧,却仍然知道得不够多以至于未做好准备。补丁可以存在,预警可以发出,董事会可以接受网络培训,计划可以书写。但如果组织不能证明易受攻击的系统已被打补丁、隔离、替换或安全地迂回,那么风险就仍由患者、员工和较小的服务提供者承担——他们只会在服务停止时才发现这种依赖。

