摘要
- 2017 年 5 月的 WannaCry 爆发使 NHS 暴露于共同模式故障:许多地方护理机构依赖于存在漏洞的 Windows 系统,补丁部署不均衡,共享服务假设,以及紧急通信可能在勒索软件通过同一弱点传播时同时失效。
- 问责问题不在于某家医院、某个软件版本或某位管理员造成了中断,而在于谁实际掌控了旧系统移除、补丁部署、信托治理、网络分段、中央指导,以及护理连续性不再依赖于单个可利用缺陷的证据。
- 国家审计署、卫生与社会保障部、国家网络安全中心、NHS Digital、微软、CISA 以及议会记录共同表明,补丁在爆发前已可用,许多组织仍存在漏洞,而公众后果是预约取消、救护车改道和临床操作降级。
- 持久的修复应被衡量为护理保护:资产清单、受支持的软件、补丁合规、端点检测、离线连续性计划、本地演练结果、区域升级,以及董事会可见的证据,证明临床服务可以在不影响安全治疗患者能力的情况下降级。
事件是勒索软件,但依赖更早存在
WannaCry 于 2017 年 5 月 12 日蔓延至 NHS,利用了一个微软 MS17-010 安全更新已解决的、可蠕虫传播的 Windows 漏洞。微软的MS17-010 安全公告于 2017 年 3 月发布,微软的WannaCrypt 攻击期间的客户指南说明了应用更新、保护不受支持的系统以及阻断攻击路径的必要性。CISA 的2017 年 5 月警报和 Europol 的公开声明表明,疫情是全球性的,而非仅限于 NHS。
NHS 的重要性来自共同模式暴露。国家审计署的WannaCry 与 NHS 调查发现,攻击影响了英格兰 236 家 NHS 信托中的至少 80 家,以及 603 家 NHS 组织,包括 GP 诊所和其他 NHS 机构。NAO 的完整报告 PDF还记录了数千次预约和手术取消、救护车改道受影响,以及没有 NHS 组织支付赎金的事实。这些事实使该事件成为公共服务连续性事件,而不仅仅是恶意软件感染。
共同模式问题在于,许多组织可能因同一类弱点而失效。一家地方信托可能已为部分机器打补丁,而其他机器仍然暴露,依赖于不受支持的操作系统,将较旧的诊断或行政系统连接到更广泛的网络,或缺乏完整的资产清单。另一家信托可能有更强的补丁策略,但仍依赖区域合作伙伴、共享转诊渠道或网络化服务。勒索软件于是成为整个医疗服务环境的连续性测试,因为患者护理依赖于许多本地系统同时准备就绪。
问责问题是实际层面的。谁能在 2017 年 5 月之前减少这种共享依赖?地方 NHS 机构控制着自己的资产、补丁纪律、网络分段和业务连续性演练。国家机构控制着指导、资金压力、保证、合同期望以及未解决风险的可见性。供应商控制着支持条款、补丁可用性和医疗设备软件依赖性。部长和董事会控制着旧系统作为节省成本的妥协被容忍多久。患者对这些毫无控制。
补丁存在,但补丁不等于部署
MS17-010 的存在至关重要,因为它展示了可用性与实施之间的区别。微软在爆发前发布了相关更新。这一事实并不证明所有 NHS 机构忽视了一条简单指示。医疗环境包含旧设备、供应商认证的配置、临床排程限制以及不能总是在没有服务风险的情况下更改的网络。但它确实表明问题已从单纯的软件漏洞转移到部署治理。如果受影响机器在病房、诊所、实验室或行政办公室仍未打补丁,那么供应商站点上提供的补丁并不能保护患者。
NHS Digital 的CareCERT 网络警报 CC-1353警告 NHS 组织应用微软更新并保护系统。卫生与社会保障部的经验教训审查后来强调了资产管理、补丁、反病毒、不受支持的系统、网络分段和事件响应。该审查的PDF 版本很重要,因为它将网络就绪视为系统责任,而非单一技术修复。
这正是生命周期和锁定进入问责记录的地方。不受支持的系统之所以被保留,通常是因为更换成本高、专用软件依赖旧平台、临床设备寿命长,以及地方组织面临竞争压力。每个理由或许可以理解。但当许多组织共享相同的旧弱点时,综合效果是危险的。软件生命周期风险成为公共服务依赖,因为医疗服务可能携带隐藏的连续性暴露,而患者只有在预约被取消时才发现。
因此,修复证据应避免狭隘地声称“补丁改进了”。一份成熟的记录将显示哪些关键系统仍不受支持,哪些具有补偿控制,哪些被隔离,哪些有供应商升级承诺,哪些在没有临床设备变更的情况下无法替换,以及哪些董事会已以公共利益语言接受了残余风险。旧软件并非自动就是不计后果的。临床操作中不可见、未经管理的旧软件才是真正的问题。
地方控制与国家控制相互交织
NHS 不是一个机房。它是一个由地方组织、国家机构、供应商、临床团队和共享基础设施组成的联邦制公共服务。这种结构使问责复杂化,但并未消除问责。NAO 报告和公共账目委员会的2018 年关于网络攻击的报告都强调了了解所有地方机构是否遵循了指导,以及中央机构是否有足够的可见性来确保就绪状态的挑战。
地方机构对许多实际安全措施有直接控制权。它们可以维护资产清单、应用安全更新、更换不受支持的系统、分割网络、培训员工、测试连续性计划并监控恶意软件指标。它们可以确保关键临床功能具有纸质或离线后备程序,且升级渠道在数字中断后仍能运作。它们还可以记录何时因临床风险担忧而延迟了补丁,以及应用了何种补偿控制。
国家机构控制着另一个层面。它们可以定义强制性标准、协调情报、资助改进、执行截止日期、收集保证证据并建立区域事件响应。NHS Digital、NHS England、卫生部以及后来的 NHSX 和相关机构都在国家就绪环境中发挥了作用。国家网络安全中心的WannaCry 一周年反思及其关于缓解恶意软件和勒索软件攻击的指南显示了中央网络指导如何为公共和私人组织框定经验教训。
这种共享结构造成了反复出现的风险:地方机构可能表示资金不足、受限或依赖中央系统;中央机构可能表示地方信托应对自身打补丁负责;供应商可能表示升级可用,但需采购;董事会可能表示临床需求使中断不可接受。每种陈述都可能在理。问责在于,谁能让整个系统减少对同一弱点的依赖。这需要全国范围内了解地方风险,以及地方对国家标准的执行。
患者伤害是间接的,但却是真实的
WannaCry 无需加密每个临床系统即可影响护理。NAO 记录了预约取消、GP 服务中断、救护车改道和诊断受影响。这些结果是间接的,因为恶意软件攻击的是计算机,而非患者。但它们是真实的,因为护理依赖计算机进行排程、记录、影像、通信、处方、转诊和协调。当临床工作减慢、转向或丢失必要信息时,医疗服务网络事件就成为了患者安全问题。
这对影响衡量很重要。如果一个组织只计算赎金支付或损坏文件的数量,就会遗漏公共服务伤害。NHS 没有支付赎金,但患者仍失去了预约,服务仍产生了恢复成本。一些系统甚至在未发生感染的情况下也被防御性下线。一些组织不得不因不信任数字环境而取消护理。一些组织因具有更好的网络分段或后备方案而得以继续。伤害在整个服务中分布,这种分布本身就是教训。
更强的影响记录会将技术状态与护理状态联系起来。哪些系统被感染?哪些作为预防措施被断网?哪些预约因特定系统不可用而被取消?哪些救护车改道是由当地容量或信心问题导致的?哪些实验室、影像服务和记录系统受到影响?哪些组织因经过测试的后备方案而保持护理运行?没有这种映射,公众看到的是大面积中断,但无法分辨哪些控制措施保护了患者,哪些使患者失望。
因此,NHS 后来的网络弹性工作应根据临床连续性进行评估。统计已打补丁的设备、端点覆盖和网络培训完成情况是有用的。更有用的是知道一家信托能否在隔离受影响系统的同时安全地继续紧急护理;当网络降级时,临床医生能否访问关键的患者信息;区域合作伙伴是否知道如何分流患者;网络事件指挥官能否与临床负责人共同决策,而非仅将事件视为 IT 问题。
不受支持的系统问题是治理问题
不受支持的软件不仅仅是一个技术债务类别。在公共卫生环境中,它是一个关于谁承担风险的治理决策。一家信托可能保留旧机器,因为临床设备更换成本高。一家供应商可能只支持传统平台上的设备。采购流程可能推迟更换。董事会可能因资本预算紧张而接受风险。然而,患者只体验到最后连续性的失败。
英国的经验教训审查将不受支持的系统视为重要的修复主题之一。这是正确的,但不受支持的状态本身并非唯一指标。一个受支持但未打补丁的系统可能有漏洞。一个被隔离、密切监控且计划更换的不受支持系统,可能比一个无人负责的受支持系统具有更低的运营风险。治理问题是,每个高风险资产是否都有明确的负责人、生命周期计划、补偿控制和董事会可见性。
医疗和运营技术使问题复杂化。一些临床设备在没有供应商验证的情况下无法打补丁。一些旧系统支持专门的工作流程。一些更换需要停机,会影响护理。这些制约是真实的,但它们应作为例外情况可见,而非像普通操作一样隐藏。如果一台机器无法打补丁,记录应显示原因、如何隔离、将保留多久、哪些服务依赖它,以及如果它发生故障会怎样。
英国的公共部门教训超越了 NHS。学校、议会、警察、交通机构和紧急服务部门都在某处运行着旧软件。NHS 案例之所以生动,是因为患者护理直接受到影响,但共同模式模式更广泛。公共服务需要一种方式,以便了解何时许多地方机构依赖于相同的不受支持或未打补丁的技术,因为攻击者或蠕虫不会尊重组织边界。
安全自动化只有在归属明确后才有效
WannaCry 之后,安全自动化颇具吸引力。端点工具、漏洞扫描器、补丁编排、资产发现、威胁情报馈送和自动化遏制都可以减少暴露。但自动化无法修复无人负责的资产、无法打补丁的临床设备、从未被映射的网络,或将旧软件视为隐性成本问题的董事会。自动化强化治理,但不能替代治理。
最有价值的自动化首先应回答基本问题。存在哪些设备?它们运行哪些操作系统?哪些不受支持?哪些缺少 MS17-010 或同等关键补丁?哪些系统之间可以互相访问?哪些连接到临床工作流程?哪些因供应商限制而被排除在扫描之外?哪些地方机构存在无法解释的缺口?这些答案将一般风险转化为受管理的登记册。
下一层是行动。自动化补丁可以在安全的地方部署更新。漏洞管理可以优先处理关键暴露。网络监控可以检测类似蠕虫的流量。端点检测可以遏制恶意软件。备份系统可以支持恢复。但每项自动化行动都需要针对临床安全的例外流程。如果一项更新因可能干扰诊断设备而无法应用,该例外应触发隔离和更换计划,而非无限期容忍。
NCSC 的通用勒索软件指南很有帮助,因为它结合了预防、备份、事件响应和恢复。WannaCry 展示了为何这些类别应组合在一起。医疗服务不能将勒索软件弹性视为购买一款产品。它需要补丁治理、网络分段、备份、用户教育、经过测试的恢复和临床升级。只有当多重防护重叠时,共同模式依赖才会消失。
修复证据应足够公开以建立信任
患者不需要每台脆弱设备的 IP 地址。他们需要信心,相信医疗服务已从取消护理的中断中汲取教训。公共保障可以设计为不向攻击者暴露详细地图。它可以报告有多少组织符合当前的网络标准,不受支持的系统数量趋势如何,连续性演练的频率,关键补丁应用的速度,以及董事会如何处理例外情况。它还可以报告独立审计是否发现未解决的系统性缺口。
NAO 和公共账目委员会记录显示了独立保证为何重要。在 WannaCry 之前,指导存在,但对地方执行的保证是不完整的。WannaCry 之后,教训不仅仅是发布更好的建议。而是要了解建议是否改变了提供护理的系统的状态。一个无法看到地方执行情况的国家机构无法告诉公众共同模式依赖是否已减少。
修复记录还应区分弹性与响应。响应询问 NHS 能否检测、遏制并从事件中恢复。弹性询问事件能否在护理被取消之前被预防或约束。两者都很重要。一家能够快速恢复的医院,如果许多预约被取消,仍会伤害患者。一家防止了传播但没有后备方案的医院,在防御性关停期间可能仍会挣扎。最强大的姿态是降低感染概率,限制传播,保持基本护理,并快速恢复证据。
以患者为中心的基准很简单:当共同的软件弱点被利用时,医疗服务能否继续紧急护理?该基准迫使领导者提出运营问题,而非仅仅是技术问题。纸质程序是否更新?临床医生能否在没有电子系统的情况下识别患者?救护车能否安全改道?诊断结果能否安全传递?初级保健能否保持足够的服务运行?国家机构能否快速协调地方实情?这些问题使网络弹性成为护理连续性学科。
未来的共同模式事件不应成为意外
WannaCry 之所以剧烈,是因为它迅速地在全球传播。下一次共同模式事件可能更为隐秘。它可能是一次遭攻破的更新、云身份中断、证书故障、端点安全漏洞、供应商泄露或广泛使用的医疗软件中的漏洞。共同的教训是,许多地方公共服务组织可能依赖于相同的技术状况,却未意识到自己共同暴露其中。
NHS 可以通过将技术同质性视为一种可衡量的暴露来降低风险。如果许多信托依赖于相同的不受支持系统,那就是共同模式风险。如果许多信托因供应商限制而无法为一类设备打补丁,那就是共同模式风险。如果许多地方机构依赖于相同的远程访问产品、身份提供商或备份产品,那就是共同模式风险。风险登记册不应仅限于本地;它应汇总整个服务中的模式。
采购职能在此发挥作用。临床和行政技术合同应要求生命周期支持、补丁透明度、漏洞披露和经过测试的升级路径。供应商的声明应与护理连续性责任挂钩。一台需要数月谈判才能打补丁的设备,不仅仅是技术上的不便;它是一种患者安全依赖。控制升级路径的供应商应共同负责使升级路径切实可行。
董事会的作用同样重要。董事会文件不应仅说网络风险很高。它们应识别不受支持的系统、补丁例外、关键服务依赖、演练结果和未解决的供应商制约。高管应能够解释如果明天出现可蠕虫传播的漏洞会发生什么。临床负责人应被纳入,因为优先事项是护理连续性,而不仅仅是技术恢复。财务负责人应被纳入,因为旧系统更换通常是资本决策。
WannaCry 的公共教训不是每个旧系统必须一夜之间消失。而是当旧软件变得不可见、共享且无治理时,它会变得危险。因此,NHS 的问责记录应以其旧系统和补丁风险在患者感受到之前是否足够可见以便采取行动来判断。补丁已经存在。指导已经存在。缺失的部分是经过保证的、覆盖整个服务的就绪状态。这就是为什么 WannaCry 仍然是一个共同模式依赖案例,而不是简单的勒索软件记忆。
补丁窗口必须围绕护理设计,而非对抗护理
医院中补丁失败的一个原因是停机本身可能具有风险。病房系统、影像设备、实验室机器或排程平台可能支持实时护理。一次粗心的更新可能中断服务、破坏已验证的设备配置,或迫使临床团队采用不安全的工作替代方案。这一现实常常成为延迟的论据。更好的问责答案不是要求不计后果地打补丁;而是创建围绕护理的、有计划的、经过测试的补丁窗口,并在错过时升级。一家信托应知道哪些系统能自动更新,哪些需要供应商验证,哪些需要临床停机批准,以及哪些在等待期间带有补偿控制。
NHS 事件表明,缺乏有计划的补丁治理可能导致后期更严重的停机。取消有限的维护窗口有时比解释短暂的服务中断更容易。但如果许多地方机构反复做出这一决定,医疗服务就构建了隐藏的暴露。蠕虫不会等待方便的临床排程。问责问题变为,领导者是否在攻击者使风险可见之前就让风险可见。一项地方例外应有日期、负责人、临床理由、安全理由、补偿控制和审查点。当相同的例外出现在许多信托中时,国家机构应将其视为需要资金、供应商谈判或架构变更的共享风险。
WannaCry 之后,英国政府更广泛的网络弹性语言朝着该方向发展。内阁办公室和 NCSC 一再将公共部门网络安全定性为运营弹性问题,NCSC 的网络评估框架 (CAF)为组织提供了基本功能、保护、检测、响应和恢复的结构。CAF 并非 WannaCry 取证来源,但它是表达教训的有用方式:相关功能是患者护理,而不仅仅是 IT 系统的存在。补丁和生命周期控制应根据它们对该基本功能的贡献来判断。
因此,临床负责人应参与补丁治理。一个纯技术董事会可能知道缺失了哪个更新,但不知道在匆忙安装期间哪个服务会不安全。一个纯临床董事会可能知道服务风险,但不知道无限期延迟的网络暴露。决策需要两者。如果因为诊断设备高负荷使用而无法在本周应用补丁,记录应说明当前是什么在保护该设备,需要怎样的供应商行动,以及何时将重新审视该决策。如果答案数月不变,它应成为董事会层面的风险,而非帮助台脚注。
这种方法还能改善公共解释。当另一次 NHS 网络事件发生时,公众不需要“系统正在恢复”的笼统声明。他们需要信心,相信领导者已经知道哪些系统最重要,哪些风险已被接受,以及哪些服务有后备计划。事件发生前补丁例外记录的纪律性越强,事件后的公共解释就能越快。医疗服务无法分享所有技术细节,但可以分享例外情况得到治理而非被遗忘的事实。
网络分段是一种护理连续性控制
WannaCry 的蠕虫式传播使网络分段成为核心。分段通常在技术图表中描述,但在 NHS 背景下,它是一种护理连续性控制。它决定了一台脆弱的行政机器能否影响临床服务,一个本地站点能否污染另一个,诊断设备能否在不失去所有访问权限的情况下被隔离,以及事件能否在紧急护理持续期间被遏制。如果环境的每一部分都信任其他部分,一个旧弱点就可能成为服务范围的整个中断。
分段还必须在危机期间可用。只能由一个小团队在工作时间分段的网络,在勒索软件快速传播时用处不大。一家信托应知道哪些连接可以关闭,关闭对临床有何影响,以及如果一项服务被隔离,临床医生将如何工作。它应在现实条件下测试隔离。医院能否在断开可疑网络分段的同时继续治疗急诊患者?GP 诊所能否在中央系统不可用期间维持基本服务?当一家信托对数字系统失去信心时,一个地区能否重新路由患者?这些成为网络问题,仅仅因为它们首先是护理问题。
NAO 报告记录,一些组织为预防而断开了系统,组织间的沟通受到影响。这意味着分段与紧急通信是关联的。如果一家信托为防传播而隔离系统,它仍需要安全方式与区域合作伙伴、救护车服务、国家机构和患者通信。依赖相同受影响网络的备用通道不是备用。未经演练的纸质程序不是程序。仅存储在无法访问的系统上的联系人列表成为另一个共同模式依赖。
因此,一个有用的修复指标是“安全隔离时间”。一个地方组织需要多长时间来识别可疑蠕虫、隔离受影响分段、保持紧急护理并向区域指挥报告状态?另一个指标是“可信通信时间”。组织需要多长时间才能告知员工使用哪些系统,告知患者哪些服务受影响,并告知合作伙伴是否应改道救护车或转诊?这些指标比被阻断的恶意软件样本数量更有意义,因为它们将技术行动与公共服务连续性联系起来。
分段也揭示了供应商依赖性。一些临床设备和老旧系统难以隔离,因为它们从未针对现代网络威胁而设计。合同应要求供应商支持安全运行、可打补丁性、日志记录和网络分离。如果供应商无法使设备支持安全分段,买方应在购买前知晓。如果老旧设备被保留,风险应在采购、临床治理和网络保证中可见。这就是旧设备不再成为隐藏的共同模式暴露的方法。
经验教训应跨整体服务衡量
WannaCry 之后,个别改进是必要的,但还不够。如果许多其他信托共享相同的弱点,一家信托变得更强时,整体服务仍可能暴露。共同模式教训要求聚合衡量。国家领导者应能够回答:多少组织拥有不受支持的关键系统,多少关键漏洞超过了补丁截止期限,多少信托在过去一年中测试了勒索软件连续性,多少供应商限制阻碍了打补丁,以及多少地方例外没有资金支持的更换路径。
NHS 数据安全与保护工具包,可通过NHS England 工具包门户获取,是收集自我评估和保证信息的一种机制。自我评估本身还不够,但它提供了比较组织和升级缺口的框架。独立测试、区域演练、董事会保证和定向资金应与它并行。风险在于,清单成为心理安慰而非控制措施。问题始终应是,在可蠕虫传播的漏洞期间,报告的合规性是否真能保护患者护理。
信息专员办公室 (ICO) 也很重要,因为健康数据风险是同一连续性图景的一部分。ICO 关于英国 GDPR 安全的指南强调了适当的技术和组织措施。WannaCry 主要并非因数据外泄而被记住,但勒索软件和破坏性恶意软件仍可能影响机密性、完整性和可用性。在医疗保健中,可用性是一个数据保护和患者护理的问题,因为记录不可用可能延误治疗。因此,安全治理应将可用性视为面向患者的责任,而不仅仅是 IT 服务目标。
衡量应包括残余风险,而不仅仅是成功故事。如果一家信托有等待更换的旧系统,公共利益问题是,该延迟是否被理解、获得资金并受到控制。如果一家信托拥有强大的端点工具但离线连续性薄弱,这个缺口很重要。如果一家信托能快速为服务器打补丁但无法为临床设备打补丁,这种依赖性应在全国层面汇总。如果一家信托有良好计划但近期无演练,该计划仍未经验证。一个只报告改进而不说明未解决缺口的医疗服务,将招致下一次意外。
区域演练可使总体情况变得真实。一次有用的演练将模拟一个关键漏洞在多个地方机构中被积极利用。它将要求地方隔离、区域患者分流决策、国家电信、供应商升级、媒体处理和临床优先级排序。它将衡量服务能否在事实不全的情况下识别暴露的系统、保护紧急护理并安全通信。它还将测试一个组织的弱点是否给其邻居造成了不合理负担。结果应反馈给资金、采购和董事会问责,而不仅仅是事后记录。
NHS 还应将网络连续性与其它公共卫生准备学科进行比较。卫生系统已为冬季压力、传染病、劳工行动和重大事件做了规划。网络中断应与这些风险并列,因为它可能在需求高峰时消除能力、信息或协调。未触及运营指挥的网络演练不得要领。假设所有数字系统都可用而进行的临床重大事件演练,则从另一方向不得要领。
问责属于能够缩短暴露的人
在像 WannaCry 这样的案例后,最有用的衡量是暴露时间。服务在爆发前携带已知的、可蠕虫传播的风险多久了?识别脆弱资产花费了多长时间?地方机构需要多长时间应用补丁?不受支持的系统没有补偿控制持续了多久?恢复安全护理花费了多长时间?学习并资助修复措施花费了多长时间?每个时钟指向不同的负责人,但合起来描述了服务的问责情况。
当地 IT 团队通常在事件后最显眼,但他们并非唯一的问责主体。董事会批准风险偏好和预算。临床负责人批准停机和更换优先级。采购团队选择供应商和支持条款。国家机构设定标准并监督合规。部长设定资金条件和公共优先事项。供应商设计可打补丁的产品,或将脆弱的传统依赖留给买家。问责不应将所有这些复杂性都归咎于本该在某一天应用补丁的个人。
问责也不应消解于复杂性之中。如果人人都参与,仍须有人行动。国家标准应定义“好”的标准。地方董事会应知道自己是否达标。供应商应知道其产品是否支持该标准。监管机构或审计师应知道声明是否与证据匹配。患者应知道系统已从过去的失败中学习。当每一层都缩短其控制的暴露时,共同模式依赖就会缩小。
这就是为什么 WannaCry 记录多年后依然相关。它不仅仅是一个历史性的勒索软件事件。它是一个模型,展示了旧软件、未经测试的补丁治理、不均衡的地方就绪状态以及中央保证缺口如何结合为公共服务伤害。具体的漏洞利用可能消失。依赖模式依然存在。如果 NHS 能够证明它现在在整个服务中看清、治理、演练并资助这些依赖,那么 WannaCry 就成为一个已被吸取的惨痛教训。否则,它仍然是一个等待新触发因素的警告。
因此,最终的问责标准是减少共享暴露的证据。一家更换了一台旧服务器的信托改善了其本地状况。一个能证明已知不受支持的关键资产、例外情况已获资金、供应商负责、补丁及时、分段经过测试且临床后备方案有效的国家服务,则已改变了系统。这种区别很重要,因为患者无法选择在蠕虫到来之日哪个本地组织恰好最强。他们依赖作为公共机构的医疗服务。责任在于在它成为下一个取消护理的理由之前,让最弱的共同依赖变得可见。
该标准也使分析保持公允。它并不假装所有风险都可消除。医疗保健将始终运行专用设备、预算受限、临床排程紧急以及供应商关系复杂。但它坚持这些制约应足够公开地治理,以便领导者采取行动。一台隐藏的未打补丁的机器是一个技术问题。一个已知的、有归属的、被隔离的、已获资金且有时间限制的例外是一个受管理的风险。WannaCry 展示了当太多例外同时不可见时会发生什么。
对于未来的问责,最重要的公开数字可能不是被阻断的攻击次数。而可能是在共享技术弱点被遏制期间,能够继续运作的基本临床服务的数量。这个数字将网络安全与患者实际依赖的服务承诺联系起来。NHS 不欠公众一个完美的网络。它欠公众证据,证明一个旧软件缺陷即使在繁忙的临床周内,也不能悄然成为护理的共同模式失败。
该证据必须在下一次警报到来之前维护好。一个只有在中断后才能列出其脆弱资产的服务,已经接受了太多不确定性。一个能够列出它们、隔离它们、资助更换并演练降级护理的服务,已将旧软件问题转变为受治理的连续性工作。
排版
排版是安排字体的艺术和技术,以使书面语言清晰、易读且视觉上吸引人。它涉及选择字体、点数、行长度、行间距和字母间距。
- 排版起源于 15 世纪约翰内斯·古腾堡发明的活字印刷。
- 关键元素包括字体选择、字距调整、字符间距调整和行距调整。
- 良好的排版增强可读性,并在设计中传达情绪或基调。
排版
排版是安排字体的艺术和技术,以使书面语言清晰、易读且视觉上吸引人。它涉及选择字体、点数、行长度、行间距和字母间距。
- 排版起源于 15 世纪约翰内斯·古腾堡发明的活字印刷。
- 关键元素包括字体选择、字距调整、字符间距调整和行距调整。
- 良好的排版增强可读性,并在设计中传达情绪或基调。

