Хакването на NHS налага по-строги правила за киберсигурност в Обединеното кралство за частни доставчици
Кибератака, засягаща хиляди пациенти на NHS в Обединеното кралство, помогна за задействане на действия от правителството на сър Кийр Стармър, за да принуди частните доставчици на основни обществени услуги да засилят защитата срещу хакери.
Изпълнителите ще трябва да засилят цифровата сигурност съгласно плановете, разкрити в речта на краля, за справяне с нарастващата уязвимост на цифровите „вериги за доставки“, които обслужват държавните институции.
Хакването на ransomware на 3 юни от руската група Qilin в съвместното публично-частно патологично предприятие Synnovis прекъсна здравните грижи за хиляди хора, регистрирани в големи лондонски болници.
Това подчертава допълнителните рискове за цифровата сигурност при нарастващото използване на частни доставчици на услуги от NHS, политика както на консервативното, така и на лейбъристкото правителство.
„Има огромна празнина в системата, тъй като нямаме ясен регулатор за киберсигурността на здравеопазването, който да разследва въздействието върху безопасността на пациентите от инциденти в киберсигурността, да наблюдава поведението на доставчиците и да налага наказания за не -съответствие“, каза д-р Сайф Абед, бивш лекар на NHS и експерт по киберсигурност и обществено здраве.
Големият международен ИТ прекъсване в петък, който остави повечето кабинети на общопрактикуващите лекари в Англия без достъп до системите за досиета на пациентите, някои болници трябваше да работят ръчно от хартия, а някои аптеки не можаха да раздават жизненоважни лекарства, подчерта дълбокото въздействие прекъсване на цифровите услуги на NHS.
Министрите тази седмица предложиха законопроект за киберсигурност и устойчивост в отговор на атаки от „престъпници и държавни актьори“ срещу „болници, университети, местни власти, демократични институции и държавни служби“.
Законодателството има за цел да засили правилата за киберсигурност и изискванията за докладване, разпространени в момента между 12 регулатора, покриващи основни инфраструктурни сектори и цифрови услуги като онлайн пазари.
Великобритания се нуждаеше от „спешна актуализация“ на своите правила, така че нейната инфраструктура и икономика да не са „сравнително по-уязвими“ от тези на партньорите в ЕС, каза правителството. Блокът стартира свое собствено надграждане на своите разпоредби за киберустойчивост, след като Обединеното кралство напусна през 2020 г.
Ако бъде приет в закон, законопроектът на Обединеното кралство ще засили кибер предпазните мерки и изискванията за докладване на инциденти за частни компании, предоставящи обществени услуги. Той също така ще предостави ресурси на регулаторите чрез „потенциални механизми за възстановяване на разходите“ и ще разшири техните правомощия за разследване на потенциални кибернетични уязвимости.
Здравеопазването е основен фокус на хода на Обединеното кралство и голяма мишена на хакери по целия свят. Правителството подчерта как хакването на Synnovis през юни досега е довело до отлагането на 3396 амбулаторни срещи и 1255 избирателни процедури в King’s and Guy’s и St Thomas’s.
Инцидентът направи "болезнено ясно колко уязвими са части от здравната служба за атака", каза един правителствен служител.
„Тези нападатели видяха слаба връзка в линията за доставки на NHS и безмилостно я експлоатираха“, добави служителят. „Дигиталните доставчици трябва да имат същата защита като самата здравна услуга.“
Synnovis, която е 51 процента собственост на международния бизнес за диагностика Synlab, заяви, че приветства всички усилия за укрепване на киберзащитата и защита на услугите срещу дейността на престъпници и враждебни участници.
Той добави, че е отделил „всеки наличен ресурс“ за ограничаване на въздействието от хакерската атака от 3 юни и възстановяване на капацитета на услугата и е разследвал инцидента с NHS и Национален център за киберсигурност, клон на британската агенция за сигнално разузнаване GCHQ.
Законопроектът за киберсигурност беше „определена стъпка в правилната посока“ към защита на здравеопазването, каза д-р Сайра Гафур, ръководител на цифровото здравеопазване в Imperial Институтът за глобални здравни иновации на Колежа в Лондон.
Все още трябва да бъдат установени важни подробности, добави тя, включително кой регулатор ще контролира новите правила, как ще бъдат прилагани и какви санкции ще съдържат, ако компаниите не спазват използвайте адекватна сигурност.
„Трябва да бъдем по-добри в налагането на кибер стандарти спрямо доставчиците и предприемането на наказателни действия, когато тези стандарти не се спазват“, каза Гафур. „Ние сме толкова силни, колкото и най-слабото звено – и видяхме произтичащите щети върху грижите за пациентите, когато това се провали.“
