NHS 安全文化问题是一场酝酿多年的危机

快速阅读: 据《The Register》最新报道，文章讨论了NHS在网络安全方面的挑战，指出单纯增加资金无法解决问题。NHS面临文化、预算和供应链等问题，导致网络安全韧性不足。专家建议引入董事会成员的个人责任，以提高安全标准。NHS需改革其管理和预算分配方式，以增强整体安全水平。

分析：走进任何一家医院，问医生和董事会成员同样的问题——“我们应该投资哪种安全系统？”——你可能会得到不同的答案。医生会选择能带来最多积极患者结果的系统，而董事会成员会选择最适合他们日益紧张预算的解决方案。这是当前NHS领导人的一种看法，这也是在英国国家医疗服务体系中建立网络韧性的根本问题之一。这是一个难以接受的事实，但关键行业的决策者并没有做出最安全的网络安全选择，而且几乎没有激励措施促使他们这样做。《登记报》最近参加了一场由高级NHS IT和安全人员举行的圆桌讨论会，与普遍的看法相反，解决医疗安全危机不能简单地通过投入更多资金来解决。这可能对一些医院有所帮助，但认为一笔丰厚的资金注入可以成为医疗安全的灵丹妙药的想法立即遭到了与会者的普遍摇头反对。事情远没有那么简单。然而，信息很清楚地表明，这个国家的NHS，被所有人喜爱，被全世界敬仰，是英国皇冠上少数几颗闪亮的宝石之一，在安全方面存在严重文化问题。回到那个最初的问题，你就能理解我们的意思了。当临床决策没有考虑到网络安全的影响时，这种态度会渗透到整个组织，内部人士认为NHS应该效仿金融行业的做法。虽然已经晚了三十年，但现在正是时候。

这个问题的答案是否与穿着拉链衫有关？即使对于没有NHS那种财务困境或分散、老旧系统的组织来说，实现网络安全韧性也是一项艰巨的任务。这一问题威胁着所有医院的安全，特别是如果像英国正在考虑的那样实施勒索软件支付禁令的话。在英国医疗行业工作的技术人员指出，如果董事会成员因网络安全失败而承担个人责任，就像私营部门正在缓慢增加的做法一样，那么严重事件的数量将会减少。攻击正在增加，但NHS仍然在处理十年前就已经存在的相同安全问题。内部人士怀疑该机构是否从“想哭”勒索软件事件中吸取了任何教训，更不用说后来的各种重大攻击了。英国拟议的公共部门勒索支付禁令的咨询期下个月结束。在桌面上的三个提案中，有两个将禁止公共部门包括NHS在内的支付行为。医院将没有法律途径来支付勒索软件团伙。无论如何，英国医院一般不这么做，这也是为什么像Synnovis袭击这样的事件通常会造成如此大的破坏的原因。医院将不得不依靠他们的备份，但如果这些备份在攻击期间被破坏，或者备份不够新，那该怎么办？

NHS数字部门的高层认为，现在是时候引入董事会成员的个人责任，作为确保资金用于实现组织整体网络安全韧性的下一步。这样做的目的是让医疗董事会成员承担类似的问责制，就像金融服务和市场法案（FSMA）2000年帮助将金融服务行业转变为高度监管、安全的庞然大物一样。FSMA引入了金融服务管理局，后来成为金融服务行为管理局（FCA），其广泛的工作部分导致整个行业部署了足够强大的系统来缓解严重的攻击。现在我们有了证券交易委员会（SEC）引入的规则，以及如NIS2和DORA等法规，都在努力加大对高管的压力，要求他们优先考虑安全或面临法律后果。英国网络安全和韧性法案（CSRB），去年在国王演讲中宣布，旨在加强现有的NIS法规，并可能引入个人责任条款，尽管咨询过程中没有提到这一点。预计该法案将在今年下半年开始在议会推进。

NHS自身无助于改善NHS内部的安全人员希望开始构建更加具有网络安全韧性的系统，并在未来防范攻击，但该组织长期进展的主要障碍之一是它向各部门分配预算的方式。从为未来五到十年提供长期技术支持计划的银行转到NHS，这里的预算通常只发放一年，IT顾问们表示，无法提前规划安全转型的能力必须改变。一位领导者表示，他们非常幸运地获得了为期三年的承诺资金，用于前线数字化项目，这被视为一种罕见的情况。然而，对大多数人来说，启动项目至少需要同样长的时间。即使资金到位，需要多个不同部门和信托机构批准的重大计划也会导致进度长期延误。如果在那时采购的任何解决方案尚未全额付款，预算就会被撤回，根本不会有任何积极的变化。

30年的NHS供应链系统在11个月内遭遇35次重大警报。NHS财务系统替换项目已经延期三年，再次推迟。针对NHS的网络攻击导致医院错过癌症护理目标。勒索团伙声称攻击了NHS奥尔德海儿童医院。高层管理人员还觉得NHS在管理合同时表现不佳，没有监督服务水平协议，也没有追究供应商的失败责任。这导致组织内部对供应商的信任度下降。许多人认为供应商并未真正以NHS的最佳利益行事，并最终加剧了其问题。

应对禁令从根本上讲，NHS的安全问题不仅仅是金钱问题，尽管更稳健的财务状况肯定有助于解决预算问题。它缺乏自上而下的安全文化，这种文化使NHS走向网络安全韧性成为每个人的责任，并简化了那些迫切需要实施安全措施的人的过程。令人深思的是，医疗行业内部人士实际上怀念新冠疫情，因为在那段时期，他们说NHS在其职业生涯中首次灵活到允许在没有通常繁琐的审批阶段的情况下进行改进。重新设计组织进行安全的方式可能是其在英国通过勒索软件支付禁令后生存下来唯一的方法。这个话题仍然是一个极具争议的问题，专家们对此意见分歧，不确定是否应引入禁令，甚至不确定是否有后勤可行性适用于如NHS这样的机构。如果没有能力支付赎金——再次强调，NHS并不以支付赎金著称——在危机中的选择将变得更加有限。医院通常在这些危机中表现得不错。当然，压力水平更高，自动化或数字化的正常操作必须手动完成，但除了短期中断外，病人继续接受治疗。通常，护理不会受到太大影响，尽管在某些悲惨的情况下并非如此。

无论是否引入禁令，应急响应人员和国家安全机构普遍认为，必须激励组织提高其安全性。无论是通过网络安全保险公司对投保人提出更多要求，还是更严格的法规，或是多种措施的结合，都需要做更多的工作来迫使组织变得更加网络安全韧性。这些措施可能会随着CSRB的到来而出现，鉴于所有其他近期的主要法规都包含了此类条款，这不足为奇。值得注意的是，与勒索支付辩论一样，引入董事会层面的个人责任可能不会有完全一致的意见。然而，NHS内部的强烈声音认为，这可能是改善其安全文化的一个有用工具。如果董事会对影响安全结果的所有因素负责，并且对任何失败负有个人责任，那么内部人士认为，很可能会看到改进。

拯救自己的“培根”以摆脱安全困境？这真是个好主意。在最近一次根据查塔姆大厦规则举行的讨论会上，内部人士自由发言，允许报道所说的内容，但禁止透露谁说的。《登记报》联系了NHS以获取回应。

(以上内容均由Ai生成)