1 jaar na WannaCry: geen securityplan voor Britse zorg

Op vrijdagmiddag 12 mei 2017 vond een wereldwijde uitbraak plaats van ransomware WannaCry, waarbij meer dan 230.000 computers in 150 landen werden besmet. Ook de Britse zorg werd getroffen: 20.000 afspraken en operaties moesten worden verzet omdat bestanden versleuteld waren en losgeld werd geëist. Er is 26 miljoen pond uitgetrokken voor verbetering van de beveiliging.

22 aanbevelingen

In de nasleep van deze digitale afpersingszaak heeft het Britse ministerie van Volksgezondheid een assessment uitgevoerd onder 200 NHS-trusts. De resultaten werden in februari bekendgemaakt en waren teleurstellend. Geen enkele instelling van de Britse zorg voldoet aan de eisen van de nationale datatoezichthouder.

NHS Digital gaf bij die gelegenheid aan dat die eisen hoog zijn, maar dat sommige instellingen ook zakten voor de test omdat ze tekortschoten met patching. Zij hadden de inmiddels uitgebrachte patches - waaronder zelfs een noodpatch voor het niet langer ondersteunde Windows XP - nog steeds niet toegepast. Het kritische rapport ging vergezeld van 22 aanbevelingen voor de toekomst.

Geen plan

Nu lijkt invulling van die aanbevelingen echter nog ver in de toekomst te liggen. De Public Accounts Committee (financiële controlecommissie), die bestaat uit zestien parlementariërs en belast is met het toezicht op de publieke uitgaven, constateert namelijk meer misstanden en uit fikse kritiek hierover. De PAC stelde gisteren in een rapport dat er geen zicht is op de financiële schade die WannaCry heeft veroorzaakt, dat er geen begroting is voor de uitvoering van de 22 aanbevelingen, en dat er ook geen plan is voor de implementatie daarvan. De commissie vindt dat 'alarmerend' en wil nu binnen tien weken een overzicht, zodat de toegezegde miljoenen zo efficiënt mogelijk ingezet kunnen worden.

Geen voorbereiding

Verder concludeert het controlerend overheidsorgaan dat het ministerie van Volksgezondheid niet was voorbereid op een cyberaanval. Zorginstellingen wisten bijvoorbeeld niet wie ze moesten bellen, en gebruikten privételefoons en WhatsApp om te communiceren. E-mail was immers ontoegankelijk geworden door de snel verspreidende ransomware-infectie. Sinds het grootschalige WannaCry-incident is wel een 'cyberhandboek' verschenen met een protocol; de commissie wil dat er beveiligde communicatiemogelijkheden worden ontwikkeld voor dit soort situaties.

Verder was er geen zicht op de paraatheid. De instellingen waren weliswaar tevoren gewezen op de gevaren van ransomware, maar moesten ieder voor zich inschatten hoe goed ze waren voorbereid. NHS Digital zegt nog steeds geen zicht te hebben op bijvoorbeeld antivirussoftware die de individuele instellingen hebben geïnstalleerd. De financiële controlecommissie beveelt aan dat het departement zich intensiever bemoeit met de beveiliging en infrastructuur binnen de zorginstellingen.

Geen personeel

Het is uiteraard niet eenvoudig een systeem te patchen dat levensreddende zorg moet bieden. NHS Digital zegt zelf ook 'maar 18 tot 20 man' in dienst te hebben die zoiets zouden kunnen. Vaak moest het patchwerk door de leveranciers gedaan worden; de commissie vindt dat een clausule over bescherming tegen cyberaanvallen onderdeel moet uitmaken van ieder lokaal of nationaal contract.

NHS Digital opent een Security Operations Centre waarvoor het ethical hackers aan het werven is; die moeten instellingen waarschuwen voor bedreigingen en helpen bij een aanval. En zoals te verwachten is een van de aanbevelingen van de Public Accounts Committee om meer beveiligingsexperts op te leiden: "Cyberaanvallen horen bij het leven, en de NHS zal er nooit helemaal veilig voor zijn."

Het actieve voortbestaan van WannaCry zelf is al een veeg teken; zo bleek deze ransomware vorige maand nog te hebben toegeslagen bij Boeing. Inmiddels zijn er vele varianten en andere malwarefamilies die gegevens en computers gijzelen.