Wie sich herausstellte, hat der NHS Mühe, wichtiges Know-how im Bereich Cybersicherheit zu behalten. Es scheint auch, dass die Ausgaben für den Sektor unregelmäßig zugewiesen werden, wobei einige Trusts im letzten Jahr nur 250 £ ausgegeben haben.
Sehen Sie sich den verwandten NHS an, der von der Regierung den Kauf von Faxgeräten verboten hatNHS, um 500 Millionen Pfund für die „digitale Transformation“ zu erhalten. Kann Technologie den NHS retten?
Obwohl das Ministerium für Gesundheit und Soziales (DHSC) ein Jahr nach dem WannaCry-Angriff zusätzliche 150 Millionen £ für die NHS-Cybersicherheit bereitgestellt hat, haben Untersuchungen von Redscan eine deutliche Lücke sowohl bei der Finanzierung als auch bei der Personalausstattung aufgedeckt.
Die durchschnittlichen Ausgaben für Datensicherheitsschulungen bei 159 befragten Trusts betrugen in den letzten 12 Monaten 5.356 £, aber diese schwankten stark zwischen 238 £ und 78.000 £, ohne mit der Größe des Trusts oder seinem Standort zu korrelieren.
Bei einem mittelgroßen Trust mit 3.000 bis 4.000 Mitarbeitern beispielsweise lagen die Schulungsausgaben zwischen 500 und 33.000 £. Die Untersuchung stellt jedoch auch fest, dass ein erheblicher Teil der Schulungen intern unter Verwendung von NHS Digital-Ressourcen durchgeführt wurde.
Die DSGVO-Schulung war das am häufigsten genutzte Programm, zusammen mit anderen prominenten Kursen, darunter BCS Practioner Certificate in Data Protection und Senior Information Risk Owner. Es wurde jedoch festgestellt, dass NHS Trusts durchschnittlich nur einen qualifizierten Sicherheitsexperten pro 2.582 Mitarbeiter beschäftigt haben.
Alarmierenderweise beschäftigt fast ein Viertel der Trusts, 24 von 108, kein Personal mit Sicherheitsqualifikationen, obwohl einige rund 16.000 Vollzeit- und Teilzeitkräfte beschäftigen. Eine Handvoll Trusts gaben auch an, Mitarbeiter im Prozess der Erlangung von Sicherheitsqualifikationen zu haben.
„Diese Ergebnisse werfen ein Licht auf die Cybersicherheitsmängel des NHS, der unter schwierigen Umständen Schwierigkeiten hat, eine kohärente Sicherheitsstrategie umzusetzen“, sagte Mark Nicholls, Direktor für Cybersicherheit bei Redscan. „Individuellen Trusts mangelt es an internen Talenten für Cybersicherheit, und viele verfehlen die Schulungsziele. während Investitionen in Sicherheits- und Datenschutzschulungen bestenfalls lückenhaft sind. Das Ausmaß der Diskrepanzen ist alarmierend, da einige NHS-Organisationen weitaus besser ausgestattet, finanziert und ausgebildet sind als andere.“
Die Ergebnisse, die im Anschluss an eine Kampagne zur Informationsfreiheit (FOI) veröffentlicht wurden, auf die 159 NHS-Trusts reagierten, wurden anderthalb Jahre nach dem verheerenden WannaCry-Angriff veröffentlicht, der nach Schätzungen des DHSC 92 Millionen Pfund kostete.
Mehrere parlamentarische Berichte haben seitdem den Rekord des NHS in Bezug auf die Widerstandsfähigkeit der Cybersicherheit zerstört, wobei einer der jüngsten im April zeigt, dass Zero Trusts die Cybersicherheitsbewertungen der Regierung bestanden haben.
Eine separate FOI-Anfrage, die Redscan an NHS Digital sendete, zeigte Anzeichen einer Verbesserung, da 139 Trusts jetzt eine Datensicherheitsbewertung vor Ort durchgeführt hatten, verglichen mit nur 60 Trusts im letzten Jahr.
Neben der Ankündigung von zusätzlichen 150 Millionen £ in den nächsten drei Jahren hat sich das DHSC in einem Anfang dieses Jahres mit Microsoft abgeschlossenen Vertrag auch dazu verpflichtet, alle Windows XP-Geräte bis 2020 auf Windows 10 zu aktualisieren.
„Cybersicherheit hat für diese Regierung Priorität, und die Mittel werden den NHS Trusts auf der Grundlage ihrer spezifischen Bedürfnisse und Fähigkeiten bereitgestellt“, sagte ein DHSC-Sprecher gegenüber Alphr . „Letztes Jahr wurden über 60 Millionen £ in kritische Infrastrukturen investiert, und in den nächsten drei Jahren werden weitere 150 Millionen £ hinzukommen, um die Widerstandsfähigkeit des gesamten Gesundheits- und Pflegesystems zu verbessern.
„Wo Trusts keine ausreichenden Maßnahmen ergreifen, um ihre Netzwerke und Systeme zu sichern, werden wir starke Durchsetzungsbefugnisse einsetzen, um sicherzustellen, dass sie sich verbessern.“
Nicholls von Redscan fügte hinzu, dass es für Organisationen in allen Sektoren schwieriger wird, die Mitarbeiter mit den richtigen Kenntnissen und Fachkenntnissen zu finden, da die Qualifikationslücke weiter wächst.
„Es ist noch schwieriger für den NHS, der mit den Rekordlöhnen des Privatsektors konkurrieren muss“, fuhr er fort, „ganz zu schweigen von der Tatsache, dass Trusts außerhalb traditioneller Technologiezentren wie London und Cambridge einen kleineren Talentpool zur Auswahl haben. ”
Der leitende Sicherheitsforscher von Kaspersky, David Emm, sagte gegenüber Alphr Angesichts der Attraktivität von Gesundheitsdaten für Kriminelle ist es wichtig, dass der NHS Geld in robuste Schutzmaßnahmen investiert.
„Gesundheitsdienstleister müssen auch eng mit ihren IT-Sicherheitsteams zusammenarbeiten, um ausgeklügelte, hochwertige Schutzmaßnahmen zu implementieren, die es ihnen ermöglichen, Kundendaten zu verwalten und zu schützen“, sagte er.
„Nicht nur um der 'Ankreuzkästchen'-Compliance willen oder um saftige Bußgelder und peinliche, oft irreparable Reputationsschäden zu vermeiden, sondern um es ihnen und ihren Patienten zu ermöglichen, die vielen Früchte einer fortschrittlichen digitalen Gesundheitsversorgung zu ernten, die sich auf das Wissen um diese Daten verlassen können , Geräte und Netzwerke sind sicher.“