摘要
- 确认:WannaCry 从 2017 年 5 月 12 日至 19 日影响了英格兰的 NHS 服务。国家审计署报告称,236 家信托中至少有 80 家受到感染或干扰,34 家信托被感染并被锁定设备,46 家信托未感染但报告了干扰,另外还有 603 家初级医疗和其他 NHS 组织受到感染,包括 595 家全科医生诊所。
- 确认:NHS England 在事件响应期间识别出 6,912 次取消预约,并估计总共超过 19,000 次取消。五个事故与急救部门将患者转移。NHS Digital 告诉国家审计署,没有患者数据被泄露或窃取,而卫生部、NHS England 和国家犯罪局告诉国家审计署,没有任何 NHS 组织支付赎金。
- 边界:公共记录支持补丁和保证失败的结论,但不支持简单地说 Windows XP 单独导致了 NHS 服务中断。NHS England 的经验教训审查指出,此次攻击利用了微软 Windows 漏洞,大多数受感染的 NHS 设备运行的是受支持但未打补丁的 Windows 7,而不再受支持的 XP 设备只是感染设备中的少数。
- 评估:应当追究责任的不仅限于技术债务,而是资产可见性、补丁部署、不受支持设备管理、地方信托自主权、事件前缺乏合规机制的国家机构、未经测试的地方网络响应,以及被迫转向纸质和手工协调的护理连续性流程的组合。
补丁可能已发布,但未得到治理
关于 NHS WannaCry 故事的最简短版本是,在攻击发生前,微软已发布了补丁,但太多 NHS 组织未应用它。这句话没错,却掩盖了问责问题。补丁是一个技术工件。补丁管理是一个治理系统,它需要资产记录、风险优先级排序、变更窗口、临床系统测试、供应商协调、地方运营同意、部署证明以及针对例外情况的国家视图。2017 年 5 月,NHS 虽然拥有指导、警告和技术支持,但没有足够的保证表明这些指导已转化为保护。
微软于 2017 年 3 月 14 日发布了安全公告 MS17-010。该公告将该问题评为严重级别,并指出最严重的漏洞可能允许远程代码执行,前提是攻击者向 Microsoft 服务器消息块 1.0 服务器发送了精心编制的消息。微软后来在其WannaCrypt 客户指南中解释称,3 月的更新解决了被利用的漏洞,启用了自动更新的组织已受到保护以免受该漏洞影响,并且微软采取了非同寻常的步骤,为旧版平台(如 Windows XP、Windows 8 和 Windows Server 2003)广泛提供更新。其安全博客将 WannaCrypt 描述为一种蠕虫,利用的是已修复的漏洞,影响的是尚未应用补丁的计算机。(微软安全博客)
NHS Digital 存档的警报CC-1411,以医疗保健领域的语言阐述了相同的风险。它将勒索软件识别为利用 MS17-010 中修补的 SMB 漏洞,警告称这些漏洞很可能被未来的恶意软件变种用于自我传播,并指出应优先修补受影响的版本。此外,它还列出了一些补救步骤,例如阻止与 SMB 相关的端口、确认端口锁定、更新易受攻击的平台、使用漏洞扫描器、维持与杀毒开关域的连接、隔离受感染的设备、将受感染的机器重建为已打补丁的标准,以及不支付赎金。
这些细节之所以重要,是因为它们表明,到 5 月 12 日为止,技术答案并非晦涩难懂。更困难的问题在于,国家和地方的控制是否已使该答案在操作上不可避免。国家审计署的调查报告称,NHS Digital 在 2017 年 3 月和 4 月发布了重要警报,警告各组织修补系统以防止 WannaCry。该调查还报告称,在攻击前,卫生部没有正式的机制来评估 NHS 组织是否遵守了其建议和指导。NHS Digital 已对 236 家信托中的 88 家进行了现场评估,没有一家通过其网络安全评估,但 NHS Digital 无法强制地方机构采取补救措施。
这正是问责的关键症结所在。中心可以发出警告。地方组织控制着许多实施决策。但患者经历的是整个系统,而不是中央警报与地方补丁窗口之间的界限。
记录所确立的事实
WannaCry 从 2017 年 5 月 12 日星期五开始影响 NHS。国家审计署报告称,这次全球勒索软件攻击影响了至少 100 个国家的超过 200,000 台计算机,而 NHS 并非特定目标。当天下午 4 点,NHS England 宣布进入重大事件状态,并实施了紧急安排以维持健康和患者护理。当晚,一名安全研究人员激活了杀毒开关,阻止了 WannaCry 以同样方式锁定更多设备。该攻击从 5 月 12 日至 19 日当周影响了 NHS 服务。
在英格兰,影响规模显著,但无法完全测量。根据国家审计署的数据,英格兰 236 家信托中至少有 80 家受到影响,因为它们要么被感染,要么出于预防关闭了系统。其中 34 家被感染并被锁定设备,包括 25 家急性信托。另有 46 家报告了中断但未被归类为感染;有些关闭了电子邮件和其他系统以作为预防措施,不得不使用纸笔处理通常以电子方式执行的活动。NHS England 和 NHS Digital 还确定了 21 家信托,其系统尝试联系 WannaCry 域但未被锁定,另外还有 603 家初级医疗和其他组织被感染,包括 595 家全科医生诊所。
公共记录关于未知情况同样清晰。卫生部和 NHS England 不了解中断的全部程度。他们不知道有多少 NHS 组织因与受感染信托共享系统或数据而无法访问记录。他们不知道有多少全科医生预约被取消,或者有多少救护车和患者从无法治疗部分患者的五个事故与急救部门转移出去。NHS England 在 5 月 12 日至 18 日期间收集了部分取消信息,但国家审计署表示这些数据并未涵盖所有预约类型。因此,报告的 6,912 次确认取消和估计超过 19,000 次的取消总数,并非一份完整的患者影响账单。
由卫生与社会保健首席信息官领导的NHS England 经验教训审查,保留了相同的框架,同时增加了操作细节。它表示 NHS 并非直接目标,没有关于患者伤害或患者数据被泄露或窃取的报告,并且 1% 的 NHS 活动受到了直接影响。它同样指出,236 家医院信托中有 80 家受到影响,7,454 家全科医生诊所有 595 家以及另外八个 NHS 和相关组织被感染,这次中断使医疗服务对信息技术的依赖变得更加明显。
最后这个结论最为重要。一次未窃取患者数据的勒索软件事件仍然损害了护理连续性。在数字医院中,可用性并非一个便利层,而是临床吞吐量、通信、诊断访问、预约流程和安全升级的一部分。
不受支持的系统是故事的一部分,而非全部
WannaCry 经常被转述为一个关于 Windows XP 的警示故事。不受支持的软件确实很重要。这是一个已知风险,卫生部和内阁办公室早在 2014 年就已致信各信托,称它们需要制定强有力的计划,到 2015 年 4 月之前从 Windows XP 等旧软件迁移。于 2016 年 7 月发布的国家数据监护人审查,提出了新的数据安全标准和测试合规性的方法。医疗质量委员会的“安全数据,安全护理”审查,同样于 2016 年 7 月发布,建议紧急更换不再受支持的硬件和软件,加强审计和验证,并要求领导层对数据安全负责。
但“不受支持的系统”的标签过于狭隘。NHS England 的经验教训审查称,80 家受影响的 NHS 组织中没有一家应用了 NHS Digital 的 CareCERT 公告于 2017 年 4 月 25 日建议的微软更新补丁。它还表示,WannaCry 是一次利用特定微软 Windows 漏洞的攻击,而非针对不受支持的软件。大多数受感染的 NHS 设备运行的是受支持但未打补丁的 Windows 7。不受支持的 XP 设备仅占受感染设备的少数,且到 2018 年 1 月,XP 设备的数量已从 18% 降至 1.8%。
这一区别对于责任划分至关重要。如果失败仅在于“旧操作系统”,那么答案将是更换资金和向供应商施压。这些都是真实问题,尤其是涉及依赖旧版软件的医疗设备或诊断设备时。但如果受支持且已收到重要警报的 Windows 7 机器仍未打补丁,那么答案还包括补丁治理、例外管理和关闭证明。一台受支持的设备如果未打补丁,也同样不安全。一台不受支持的设备可以在补偿性控制模型中被隔离或管理。系统需要在蠕虫暴露资产清单之前,了解每个关键端点处于哪种情况。
经验教训审查还指出,防火墙和网络控制本可降低感染风险。它表示,即使未能进行补丁处理,改进面向 N3 网络的防火墙安全性也能保护组织免受感染。这是不要将补丁视为单一开关的另一个理由。补丁是必要的,但同样必要的还有网络分段、外围配置、SMB 暴露控制,以及了解哪些系统仍需要旧版协议支持。
NCSC WannaCry 指南(现已标记为撤回,因其已过时)捕捉到了当时的紧急防御逻辑。它建议组织部署 MS17-010,如果无法打补丁则禁用 SMBv1,在必要时阻止相关端口,隔离易受攻击的旧技术,更新杀毒软件,并避免阻止杀毒开关域名。换言之,即时响应需要一组分层控制。缺乏明确资产列表、防火墙所有权、本地 DNS 选项、供应商联系人和经过测试的重建流程的组织,在紧急压力下很难执行这种分层响应。
地方自主权使中央保证更加困难
NHS 并非一个单一的 IT 资产。地方信托、全科医生诊所、临床委托集团、供应商、委托支持单位以及其它组织在国家框架内运作,但承担许多地方性责任。国家审计署指出,地方医疗组织有责任确保信息安全以及应对包括网络攻击在内的事件和紧急安排。国家机构负责监督和支持它们,但并不总是有权强制采取特定技术行动。
这种结构并非天生错误。地方临床组织了解自身的护理路径、设备、供应商和变更风险。一个补丁可能导致旧的诊断接口、患者管理集成或医疗设备流程无法运行。忽略这些实际情况的中央指令可能产生不安全的变更或地方抵制。然而,当中心无法看到哪些站点暴露在外、哪些已接受风险、哪些拥有补偿性控制,以及哪些因供应商、预算或临床依赖而无法采取行动时,地方自主权就变得危险。
因此,国家审计署关于缺少正式合规机制的观点并非官僚主义琐事。它解释了为什么警告未能转化为全系统风险降低。一项国家警报可以说“立即打补丁”。但它本身无法证明每个相关端点都已安装补丁,不受支持的设备已被隔离,SMB 在应被阻止的地方已被阻止,需要例外的系统已被命名,或者高管们已接受残余的患者安全风险。
公共账目委员会报告将同样的弱点政治化。该报告指出,2016 年已有警告,2017 年 3 月和 4 月又发出了进一步警告,但在 WannaCry 发生时,只有约三分之二的信托进行了补丁处理,而 88 家信托无一通过 NHS Digital 的评估。报告还指出,卫生部和 NHS 认识到需要改变,2018 年的经验教训审查包含了 22 条建议,但在委员会报告时,实施计划和成本尚未商定。
这一证据支持一个冷静的结论:责任是分散的,但患者并未得到分散的护理。如果一家地方信托缺少补丁,一家全科医生诊所无法访问系统,或者一辆救护车不得不改道,那么伤害会通过一个单一的公共服务到达人群。分布式治理需要更强的证据循环,恰恰是因为公共服务在需求点上显得统一。
这是一次护理连续性事件,而非单纯的 IT 事件
WannaCry 的可见伤害是服务中断。有些组织被感染并被锁定。另一些关闭了系统以降低风险。有些转而使用纸张。有些无法接收检测结果或访问共享记录。有些患者的预约或手术被取消。五个地区转移了事故与急救患者。国家审计署谨慎地指出,并非所有类别都被完全统计,而 NHS England 审查报告称没有已知患者伤害。应当尊重这些边界。没有伤害报告并不证明每个临床风险不存在,但公共记录不支持推想出死亡人数或隐藏的患者数据盗窃。
更有用的问责视角是连续性能力。医疗服务只有在降低的模式准备就绪时,才能在短暂的数字中断中存活。仅靠纸质备用并非一项计划。它需要可打印或近期的患者列表、药物历史访问替代方案、安全的交接路线、诊断订单变通办法、转诊追踪、手术室调度、实验室结果沟通、人工预约重新预订,以及系统恢复后的协调。每种备用方案都有其吞吐量和错误特征。一个诊所也许能处理 20 项人工例外,但可能无法处理数百项。一家医院也许能安全地推迟一天的非紧急工作,但如果整个地区的诊断可见性受损,就可能陷入挣扎。
NHS England 的经验教训审查认识到了网络事件与传统重大事件的区别。审查指出,NHS England 使用了其紧急准备、韧性与响应框架,该框架提供了稳健的结构,但该事件还提供了关于网络事件与其他重大事件有何不同的经验教训。网络事件可能使通信工具本身变得不可靠。它可能同时影响多个站点。一开始可能不清楚某站点是已感染、断开了连接,还是正在采取防御措施。它可能需要技术性遏制行动,这些行动会降低服务能力。它还可能在共享网络中传播,因此帮助某个组织可能取决于另一个组织的表现。
这就是问责不应止于错过补丁的设备的理由。医疗系统需要一种经过测试的方式,在网络条件下回答基本的连续性问题。即使电子邮件离线,哪些服务必须继续运行?哪些记录对紧急护理至关重要?哪些系统可以在无需区域协调的情况下在本地关闭?哪个国家机构领导通信?哪些供应商必须加入事件桥梁?哪些地方高管能够根据哪些证据接受减少的临床吞吐量?
国家审计署报告称,卫生部已制定一项包括国家和地方角色与职责的计划,但未在地方层面进行测试。审查还发现,NHS 未曾为全国性网络攻击进行过演练,因此起初并不清楚应由谁领导响应,并且存在沟通问题。这不是一个小流程差距。在网络连续性中,演练是组织发现联系人列表是否有效、纸质表格是否存在、离线患者列表是否足够新、供应商是否应答,以及临床医生是否了解哪些系统可以安全重新连接的方式。
相互依存将地方保护转化为区域中断
该事件最棘手的特征之一是,一些组织受到其他组织防御性行动的伤害。一个信托可能避免了直接感染,却仍然失去了对救护车交接流程、诊断影像传输、化疗订单路径、血液结果流程或初级医疗病例量的访问权,因为另一个提供商、供应商或网络合作伙伴为了保护自己而关闭了访问。这是合理的本地遏制,但却造成了区域服务后果。
NHS England 后来的业务连续性管理工具包 WannaCry 案例研究使这一点变得很实际。该案例描述称,County Durham and Darlington NHS Foundation Trust 并未遭受直接攻击,而救护车服务通过关闭访问来保护其网络,导致交接流程屏幕不可用,患者运输预约门户变得无法访问。三级中心关闭了访问,这意味着 CT 和 MR 影像无法通过电子方式传输,化疗订单无法通过常规路径传输。初级医疗 IT 提供商保护了其网络,此后自动血液结果传输失败,一些全科医生无法访问其病例量。
该案例研究中的变通办法之所以有用,是因为它们具体而非戏剧化。救护车预先通知通过座机和其它无线电通信继续。患者运输预约转向电话。影像被转移到 DVD 上并通过出租车发送。化疗订单恢复为纸张和传真。血液结果传输转向纸张,减慢了流程。一些全科医生通过紧急治疗中心访问病例量。案例研究指出,业务连续性计划事后得到更新,并得出结论:NHS 组织需要了解其相互依赖关系,并为共享服务制定协调计划,以最小化对医疗经济的影响。
这正是更广泛的感染计数所忽略的证据类型。一次网络事件可以在并非每个受影响组织都被感染的情况下减少护理能力。它可以将一方的安全决策转化为另一方的服务中断。它可以要求采用在低容量时安全、但在大规模时脆弱的模拟方法。一张通过出租车发送的 DVD 或许能挽救少量紧急扫描的诊断路径;但它无法替代繁忙区域内普通的电子影像交换。一条电话预约路径或许能保持患者运输运转;但如果通话量激增,它无法自动保持优先级排序、审计或吞吐量。纸质化疗订单或许能防止治疗停止;但它们会带来转录、确认和核对负担,而数字流程通常能吸收这些负担。
这些例子也解释了为什么供应商和合作伙伴的连续性对于较小的组织至关重要。一家全科医生诊所、临终关怀机构、社区提供商、当地诊所或签约服务,可能不拥有其所依赖的中心系统。它可能依赖于委托支持单位、托管的临床系统、病理接口、诊断合作伙伴或由他人控制的网络路由。当这种依赖关系断开时,较小的组织仍然必须对患者做出反应。它必须知道是否可以通过备用站点访问记录,纸质结果在临床上是否可接受,转诊更新是否正在排队,以及谁负责告知患者数字路径已失败。
出于问责目的,相互依存改变了控制测试。每个组织仅仅说它有一份业务连续性计划是不够的。这些计划必须互相契合。如果三级中心的防御性关闭阻止了影像传输,那么转诊信托的计划必须已经知道替代路径。如果初级医疗 IT 提供商关闭了访问,那么地方实践需要为紧急记录访问准备指定的选项。如果救护车交接屏幕不可用,那么急诊部门和救护车服务需要一份经过演练的共享备用方案。NHS 案例研究在范围上是适度的,但它展示了系统层面的真相:网络连续性是联合工作,而一项未经测试的联合依赖关系,即使每个参与者都在努力审慎行事,也可能失败。
代价比未支付的赎金更大
根据国家审计署报告中卫生部、NHS England 和国家犯罪局的说法,没有任何 NHS 组织支付赎金。这一事实应防止一种常见的误解:损失不在于赎金要求。损失在于取消的工作、加班、IT 支持、恢复、延迟的护理、供应商努力以及后续的补救。国家审计署表示,在其调查时,卫生部不知道服务中断的成本。它识别出的成本类别包括取消的预约、额外的本地 IT 支持、IT 顾问、数据和系统的恢复,以及周末响应期间的员工加班。
后来的卫生与社会保障部更新报告,《保障医疗和社会保健领域的网络韧性:2018 年 10 月进展更新》,链接到了详细的2018 年 9 月更新 PDF。该更新被广泛引用,其中估计 WannaCry 耗资 NHS 9200 万英镑,包括直接响应、IT 恢复以及产出损失。这一估计应当谨慎使用。它是一个公共部门的成本估计,并非对患者焦虑、家属时间、救护车移动、地方供应商负担或每个员工工时的完整核算。
学术研究也表明,为什么影响难以定价。2019 年一篇《npj Digital Medicine》回顾性影响分析使用医院事件统计来检查取消、入院、A&E 就诊、死亡率和财政成本。它发现,与基线相比,在 WannaCry 周期间,所有信托的总活动量没有显著差异,但直接感染的医院急诊和选择性入院较少,该研究估计受感染信托的医院活动损失为 590 万英镑。它还指出死亡率没有增加,同时警告死亡率是衡量患者伤害的一个粗略指标。
受感染医院活动损失 590 万英镑的估计与更广泛的公共部门 9200 万英镑估计之间的差异,不一定是矛盾。它们衡量的东西不同。一个观察的是在特定时期内受感染医院的活动量,使用医院数据。另一个包括更广泛的响应、恢复和 IT 补救。对于问责而言,重点不是挑选最大的数字并称之为“成本”,而是询问哪些成本可以通过提前打补丁避免,哪些是因必要的遏制而产生的,哪些是早该发生的投资,以及哪些由患者和工作人员承担,却从未出现在 IT 预算中。
中小型提供者也面临同样的问题。问题在于连接到国家服务的较小组织的连续性:全科医生诊所、临终关怀机构、社区提供商、承包商、设备供应商、本地 IT 支持合作伙伴以及社会护理接口。国家审计署将初级医疗及其他组织计入了受感染实体,并指出其它提供者可能因共享系统或信息延迟而受到影响。因此,大型公共机构中的网络事件会成为较小组织的连续性冲击,这些组织通常冗余较少,政治可见度也较低。
归因未回答运营问题
英国后来将 WannaCry 归因于朝鲜。外交部关于WannaCry 背后的朝鲜行为者的声明称,英国判断,被称为 Lazarus Group 的朝鲜行为者是该活动的幕后黑手。这一归因对于威慑、制裁、外交和国家安全都很重要。但它并不免除国内操作控制的责任。同样的公共记录指出,NHS 并非特定目标,该蠕虫通过已知的 Windows 漏洞传播,并且地方组织本该采取相对简单的行动来保护自己。
刑事责任和公共服务责任是分开的层面。攻击者控制着恶意代码以及部署它的决定。微软控制其产品的漏洞披露和补丁发布,随后在紧急情况下做出为不受支持的平台提供补丁的非同寻常的决定。NHS Digital 控制着警报、指导、热线支持和行业特定建议。NHS England 控制着重大事件协调和护理连续性升级。卫生部控制着政策监督和资金优先级。地方信托和诊所控制着许多设备、网络、供应商和变更管理决策。供应商控制着一些旧设备、支持条款和兼容性限制。
没有哪个单一层面能代表全貌。将事件仅仅视为敌对状态事件,会使它离地方管理太远。将它仅仅视为地方违规,则忽略了国家机构曾看到警告信号,却没有足够的执行或保证能力这一事实。将它仅仅视为微软的问题,则忽略了关键补丁在事件前就已存在,以及不应用补丁是一项操作选择这一事实。将它仅仅视为供应商的问题,则忽略了受支持的 Windows 系统也未能打补丁这一事实。问责正是这些控制的图谱,而非寻找一个能承担所有责任的行动者。
最重大的控制是证据。谁知道补丁状态?谁知道暴露的 SMB 状态?谁知道哪些系统不受支持?谁知道哪些医疗设备若无供应商干预便无法打补丁?谁知道一家地方信托是否测试了其网络应急计划?谁知道全科医生诊所能够多快切换到安全的手动操作?公共记录显示,在攻击发生前,这些答案中足够多的要么无法获得,要么不完整,要么无法在中央层面采取行动。
事件后的计划证实了诊断
WannaCry 之后的补救记录很有用,因为它显示了国家领导认为哪里出了问题。NHS England 的经验教训审查建议加强领导力和董事会问责、明确角色、网络安全标准、地方韧性、更好的补丁管理、取代不受支持的软件、改进响应流程以及加强国家协调。卫生部的 2018 年进展更新描述了在重大事件响应、网络安全运营、数据安全标准、供应商期望和投资方面的工作。数据安全与保护工具包,从 2018 年 4 月起取代了之前的信息治理工具包,成为一项在线自我评估机制,供能够访问 NHS 患者数据和系统的组织用来衡量和发布其针对国家数据监护人十项数据安全标准的表现。
该工具包并不能证明问题已消失。自我评估有其局限性,而卫生系统后来发生的一些网络事件表明,勒索软件和供应商中断仍然是严重风险。但它是证据,表明后 WannaCry 系统已朝着明确的保证而非单纯的非正式指导方向发展。它还将网络议题从纯技术范畴转移到了董事会层面的问责、事件报告和连续性上。
后来的政府战略,《英格兰网络韧性的健康与成人社会护理系统:网络安全战略至 2030 年》,将这一框架延伸至 2030 年。它将网络安全描述为保护患者、服务用户和员工数据以及在攻击发生时快速恢复的条件。该战略的存在强化了 2017 年的核心教训:在医疗保健领域,网络安全不是一个独立的后台学科。它是公众信任和服务连续性的保障。
国家网络安全中心更广泛的公共角色也在该时期得到发展。其2017 年度审查公告描述了该新中心的第一年及其使英国在线更安全的使命。WannaCry 响应使这一使命对医院和诊所具体化。它表明国家网络能力必须与特定行业的操作相连接,而不仅仅是向技术团队发布警告。
五项问责测试
NHS 案例的持久价值在于,它为董事会和公共部门领导者提供了实际测试。这些测试并非要因一个补丁而指责某个管理者,而是关乎一项公共服务能否证明,已知的网络风险已转化为操作行动。
1. 资产可见性:一个组织无法为其无法识别的东西打补丁。它需要一份关于服务器、端点、医疗设备、不受支持系统、操作系统版本、暴露服务、供应商和临床依赖关系的清单。该清单必须包括那些不便拥有的系统,例如旧的诊断工作站、共享文件服务器以及部分由供应商控制的机器。
2. 补丁保证:仅仅发出警告是不够的。一项重大警报应产生被跟踪的行动、截止日期、高管升级、命名的例外情况、补偿性控制,以及补丁已安装或暴露已通过其他方式控制的证据。在地方自主权阻碍中央指令的地方,中心至少需要可靠的可见性,以及升级患者安全风险的途径。
3. 旧系统遏制:不受支持或难以打补丁的系统需要进行分段、访问限制、供应商计划、更换资金和临床应急计划。让一个系统不受支持有时是临时的临床需要,但不应成为在蠕虫爆发时才发现的不受管理的事实。
4. 网络特定连续性:应急计划必须假设正常的通信和记录系统可能不可用。人工备用需要容量规划,而不仅仅是纸质表格。它应指定哪些临床服务首先降级,患者如何转移,检测结果如何移动,预约如何重新安排,以及离线工作如何安全地协调。
5. 多层次问责:中心、地方机构、供应商和国家网络安全机构拥有不同的控制权。一个成熟的框架不会将这些控制折叠成一个指责故事。它定义了谁必须行动,谁必须验证,谁必须资助,谁必须沟通,以及谁必须接受残余风险。
这些测试令人不适,因为它们使网络韧性变得可衡量。它们还保护了员工免受不可能完成期望的影响。在 WannaCry 期间,NHS 员工加班加点、即兴发挥以维持服务运行。经验教训审查公开认可了这些努力。英勇的地方响应不应被用作准备充分的证据。它往往是正式系统让承受压力的人承担过多工作的证据。
责任边界
公开来源支持强烈的运营批评,但不支持针对某个特定信托、高管、供应商或国家机构的、未经证实的法律结论。公共账目委员会、国家审计署、NHS England、DHSC、CQC、NCSC、微软和学术记录确立了警告、缺失的保证、未打补丁的系统、服务中断和事件后改革。但它们并未证明每个地方组织都存在疏忽,量化每一项损失,或显示哪些设备具体导致了每次预约取消。
这一边界之所以重要,是因为问责教训比诉讼更广泛。如果领导者将案例简化为一场关于某个实体是否违反义务的法律斗争,他们就错过了控制设计。公共服务问题是,NHS 是否能在一次全国性网络事件前,知道每个组织已关闭或自觉管理了一个已知的关键漏洞。2017 年的答案是否定的。护理连续性问题则是,每个受影响的组织是否已充分演练过一次网络中断,能够以已知的降级容量维持基本服务运转。公共记录称这些安排未经充分测试。
因此,WannaCry 仍然是一个公共问责案例,因为它将一个技术维护积压与面向患者的韧性连接起来。风险有名称:MS17-010、SMBv1、不受支持的操作系统、未经测试的事件计划、没有中央合规保证的地方机构、共享网络,以及不能随意关闭的临床系统。但伤害有不同的名称:取消的预约、转移的患者、不可用的记录、延迟的信息、员工加班,以及估计 9200 万英镑的补救和中断成本。
记住该事件最负责任的方式,不是将其当作一个关于旧软件的道德故事,而是一个警告:公共机构可能知道足以担忧,却仍不知道足以准备就绪。一个补丁可能存在。一份警报可能已发送。一个董事会可能接受过网络培训。一份计划可能已撰写。但如果组织不能证明易受攻击的系统已打补丁、已被隔离、已被更换或已被安全绕过,那么风险仍在由患者、员工和较小的提供者承担,他们只有在服务停止时才发现这种依赖关系。
排版
排版是一门艺术和技术,用于安排文字,使其清晰、可读且视觉上吸引人。它包括选择字体、字号、行距和字母间距。
- 排版起源于 15 世纪约翰内斯·古腾堡发明的活字印刷。
- 关键要素包括字体选择、字距调整、词距和行距。
- 良好的排版增强可读性,并在设计中传达情绪或基调。

