Brytyjskie Ministerstwo Zdrowia było ostrzegane przez NAO przed ryzykiem podobnych ataków już na początku 2016 roku – przypominają autorzy raportu. Jednak aż do lipca 2017 r. resort nie ustosunkował się formalnie do tych sygnałów.
Audytorzy wykazali też, w żaden sposób nie weryfikowano, czy placówki medyczne uwzględniły ostrzeżenia i zastosowały się do zaleceń, które NHS Digital wydał w marcu i kwietniu 2017 r., czyli na miesiąc przed atakiem słynnego wirusa szyfrującego.
Jak wynika z raportu NAO, w oprogramowaniu wszystkich placówek poszkodowanych przez wirusa, występowały te same, stosunkowo łatwe do załatania luki. W zainfekowanych jednostkach używano komputerów z nieaktualizowanymi lub nie wspieranymi już przez producenta wersjami Windows. Były to więc urządzenia łatwo podatne na wszelkie ataki. Jednak nawet pomimo tego, zasięg ataku mógłby być znacznie mniejszy, gdyby właściwie skonfigurowano inne zabezpieczenia, takie jak np. firewalle – podkreśla raport NAO.
Istniały wprawdzie, opracowane przez resort zdrowia procedury postępowania w przypadku ataku cybernetycznego, uwzględniające podział ról i odpowiedzialności, jednak pozostawały one na papierze - nigdy nie przetestowano ich w placówkach. W czasie majowego ataku zapanował więc komunikacyjny i organizacyjny chaos.
WannaCry, choć tak groźny w skutkach, nie był wirusem o szczególnie wyrafinowanych drogach ataku. NHS musu się przygotować na znacznie groźniejsze ataki cybernetyczne w przyszłości – konkludują autorzy raportu.
Źródła: NAO / PharmaTimes