Subscribe
Правни - јануари 28, 2025
On 14 May 2021, Ireland’s Health Service Executive (HSE) was subjected to an unprecedented ransomware cyber-attack that impacted all online systems involved in the provision of its services ranging from radiology, pathology/laboratories, radiotherapy, maternity, primary care, disability services and blood tests.
As HSE staff were unable to access patient data, delayed patient admissions and discharges and difficulties with patient handovers were also created a direct result of the attack.
As a precautionary measure designed to limit the impact of the attack, the HSE, which at that time operated with over 70,000 IT devices in approximately 4,000 locations, took the decision to shut down its Information and Communications Technology (ICT) network.
This meant that all HSE systems irrespective of whether or not they had been affected were impacted.
A review into how the attack occurred and how it was possible for an entire national health service to be so effectively compromised was subsequently ordered from PricewaterhouseCoopers (PwC) by the HSE Board and its Chief Executive Officer.
The HSE tasked PwC to urgently establish the facts in relation to the current preparedness of the organisation in terms of its ICT systems, cyber and information protections and its operational preparedness.
The report that followed the post incident review acknowledged the immediate actions taken by the HSE which included requested the assistance of the Garda National Cyber Crime Bureau, the International Criminal Police Organisation (“Interpol”) and the National Cyber Security Centre (“NCSC”). It also highlighted the enormous dedication and effort observed at all staff levels during the response to the Incident.
However, the PwC report was scathing its assessment of the HSE’s preparedness while underscoring the many lost opportunities that could have prevented the attacker from gaining access to the HSE’s ICT systems.
Specifically, PwC says that in its assessment the cyber-attack was enabled to cause the damage that it did because the HSE was operating on what it termed a frail IT estate that had evolved rather than having been designed for resilience and security.
Тој, исто така, откри очигледни слабости во надзорот, како што е фактот дека во моментот на инцидентот, HSE немаше ниту еден одговорен сопственик за сајбер безбедноста, на ниво на повисоко раководство или раководство.
Исто така, се појави дека имало неколку откритија за активноста на напаѓачот пред 14 мај 2021 година, но тоа не резултирало со инцидент за сајбер безбедноста и истрага која била иницирана од HSE. Како резултат на тоа, беа пропуштени можностите да се спречи успешното детонирање на откупниот софтвер.
Во однос на финансиското влијание на нападот, првичните трошоци беа ставени во регионот од околу 40 милиони евра, а дополнителни правни трошоци од 2,6 милиони евра беа направени по сајбер-нападот. Овие суми се само дел од проценетите 657 милиони евра што ќе треба да се потрошат за целосно спроведување на сите подобрувања во сајбер безбедноста препорачани од прегледот на PwC по инцидентот.
Од нападот, HSE работеше на значително решавање на дефицитите и ранливостите идентификувани во нејзината ИКТ архитектура. Исто така, презеде голем број клучни чекори, вклучително и регрутирање на главен службеник за безбедност на информации за да ги води операциите за сајбер безбедност од крај до крај.
Многу од прашањата покренати од сајбер-нападот врз здравствената услуга на Ирска, особено работата за ажурирање на нејзиниот „изнемоштен ИТ имот“ се обврзани повторно да се појават по објавувањето на акциониот план на Европската комисија за зајакнување на сајбер безбедноста на 15 јануари. на болниците и давателите на здравствени услуги.
Наведените цели на акциониот план се насочени кон подобрување на откривањето закани, подготвеноста и одговорот на кризи во здравствениот сектор во Европа. Тој, исто така, има за цел да обезбеди приспособени насоки, алатки, услуги и обука за болниците и давателите на здравствена заштита со неколку специфични активности кои ќе се спроведуваат постепено во 2025 и 2026 година, во соработка со здравствените провајдери, земјите-членки и заедницата за сајбер безбедност.
Комуникацијата од Комисијата за акцискиот план конкретно го идентификува ирскиот сајбер-напад како пример за вид на инцидент што може да го покаже потенцијалот на сајбер нападите брзо да се шират низ меѓусебно поврзаните системи. Тој, исто така, го наведува ирскиот сајбер-напад како инцидент што ја нагласува важноста од постојано обезбедување дека фундаменталната сајбер хигиена и култура на сајбер безбедност е оперативна низ организациите низ ЕУ.
Додека сајбер-нападот на Ирска беше алармантен напад што предизвика значителни нарушувања и финансиски трошоци, акциониот план на Комисијата се труди да го нагласи потенцијалот за подеструктивни и злобни резултати кога ќе биде распореден од државни и недржавни актери како дел од поширока хибридна кампања против целокупното безбедносно опкружување на ЕУ.
Неуспехот адекватно да се подготвиме и да ги одбиеме сајбер-нападите на крајот може да доведе, според мислењето на Комисијата, до дестабилизација на нашите општества од страна на оние кои се обидуваат да профитираат од поделбата и нарушувањето. Ова не треба да се сугерира, а акциониот план секако не сугерира дека постои решение „сребрена куршума“ за предизвиците во сајбер безбедноста што постојат во однос на заштитата на дигиталните платформи за здравствена заштита на ЕУ.
Наместо тоа, тој се фокусира на повикување на зајакната превенција, подготвеност и „покоординиран пристап кон солидарноста додека ја користи експертизата на европската индустрија за сајбер-безбедност“. Како таков, и како што е наведено во акцискиот план, тој го одразува поширокиот пристап на ЕУ кон безбедноста што дополнително ќе се развива и формализира во претстојната европска стратегија за внатрешна безбедност.
This is why the plan is specifically urging all member states to adopt a ‘whole-of-society’ and ‘whole-of-government’ approach.
This point is also reflected in guidance documents issued by Ireland’s National Cyber Security Centre (NCSC) specifically in its National Cyber Emergency Plan (NCEP).
The NCEP sets out the national approach for responding to serious cybersecurity incidents that affect the confidentiality, integrity, and availability of nationally important information technology and operational technology systems and networks such as those impacted during the attack on Ireland’s HSE.
Ireland’s willingness to advance to its preparedness in this area may also be seen in the recent publication of the incoming Irish administration’s Programme for Government. There a commitment has been provided that Government will deliver a new National Cybersecurity Strategy in 2025. It also commits to promoting the development of a centre of excellence for developing cyber security skills.
That there is a need for greater levels of technological competence and familiarity with cybersecurity among staff in key national services was also noted in the PwC post incident review.
However, while the need to adopt complex cybersecurity measures within the Irish health systems was accepted, the review also recognised the need to balance this with a need for ease-of-use, especially for clinical staff.
The experience of the HSE cyber-attack and the growing global threat from cyber-criminals makes the realisation of this particular Programme for Government commitment a national imperative.
It is also important that Ireland continues its work on the transposition into Irish law of the updated Network and Information Systems Directive II (NIS2) EU Directive concerning cybersecurity.
The previous Irish Government accepted that this Directive represented a major step forward for cyber resilience and would enhance cyber risk management across the Union including generating significant improvements in the capacity to respond to major incidents such as the HSE attack.
It may finally be noted that that while Ireland through its National Cyber Security Centre is actively taking staps to protect and defend the security and integrity of network and information systems in the State, the previous administration also approved the drafting of the National Cyber Security Bill 2024.
This general scheme of the Bill is noteworthy for the broad range of activities that will be permissible including the scanning of publicly accessible networks and the sharing of personal data with relevant authorities. It may now receive added legislative impetus following publication of Commission’s action plan to strengthen the cybersecurity of hospitals and healthcare providers.
That being said, when the final draft of the Bill is presented, it is highly likely that persistent concerns around how we balance digital security, the drive for open data and the right to personal privacy in a time of increasing cyber-attacks will also feature prominently.