WannaCry-keuring: hele Britse zorg faalt met security

De WannaCry-aanval van afgelopen mei heeft 81 ‘NHS-trusts’ geraakt, wat bijna eenderde is van de 236 NHS-zorginstellingen in het land. Daarnaast zijn computers bij bijna 600 huisartsenpraktijken gegijzeld door deze golf van digitale afpersing. In de nasleep hiervan heeft het Britse ministerie van Volksgezondheid een assessment uitgevoerd onder 200 NHS-trusts.

Nog veel werk te verrichten

Deze keuringen van de ICT-security zijn ter plaatse (on-site) bij de zorginstellingen uitgevoerd. De uitkomsten zijn zorgwekkend: topbestuurder Rob Shaw van NHS Digital heeft verklaard dat de trusts niet voldoen aan de standaarden voor cybersecurity. Hij geeft daarbij toe dat er voor sommige Britse zorginstanties nog een aanzienlijke hoeveelheid werk is te verrichten, meldt The Guardian.

Van de tweehonderd gekeurde NHS-instanties weet geen enkele te voldoen aan de eisen, die Shaw in zijn verklaring “hoog” noemt. Het gaat hierbij om beveiligingseisen die zijn gesteld door de nationale datatoezichthouder Dame Fiona Caldicott. In zijn verklaring tegenover het Britse parlement spreekt de NHS Digital-topman van complexe organisaties en dito omgevingen.

Patchingproblemen

Het ontbreekt hierbij ook aan basale beveiligingsvoorzieningen, wat de impact van WannaCry al wel duidelijk heeft gemaakt. Die ransomware maakte namelijk gebruik van kwetsbaarheden waar al geruime tijd patches publiekelijk beschikbaar voor waren. Sommige van de zorgverleners zijn ‘gezakt’ wat de vereisten betreft op het punt van patching, zegt Shaw.

Het Britse ministerie van Volksgezondheid is niet in staat om een kosteninschatting te geven van de WannaCry-infecties, verklaart het National Audit Office (NAO). In oktober is al een kritisch NAO-rapport naar buiten gekomen waarin de Britse auditor stelt dat de WannaCry-ramp vermeden had kunnen worden met basale IT-security. De nu geopenbaarde resultaten van de NHS-assessments voorspellen niet veel goeds voor de nabije toekomst.