“Ransomware NHS IT te wijten aan gebrek aan innovatie door aanbesteding”
De ransomware waarmee de infrastructuur van de Engelse gezondheidszorg, NHS is platgelegd, het programma “wannacry” is veroorzaakt door achterhaalde software-architectuur. De ransomware gijzelt de eindgebruiker met het dreigement cruciale bestanden weg te gooien als er geen losgeld wordt betaald. Wannacry was zo effectief omdat er door de Engelse staat gefinancierde ziekenhuizen nog met Windows XP gewerkt. Windows XP is niet overal bijgewerkt met de meest recente patch die drie maanden eerder is verschenen. Dat de software waarmee de NHS werkt, zo achterhaald is, is volgens een expert van het Engelse tijdschrift Diginomica, en daarvoor, Computerworld, te wijten aan de aanbesteding.
“Ja, technologie binnen de NHS is grotendeels gedateerd en er is veel ruimte voor verbetering, maar het probleem is niet de technologie zelf. Het probleem zit hem naar mijn mening in de cultuur en het ouderwetse aanbesteden, wat een veel grotere uitdaging is om op te nemen (dan de wijziging van de technologie, red)”, aldus DuPreez in een blog van zijn tijdschrift.
De ransomware aanval is in 90 landen uitgevoerd en heeft in Nederland onder meer het studenten-steunpunt LAKS en de parkeergarages van Q-park. In totaal zijn 90 landen door de aanval getroffen. De NHS is het grootste slachtoffer, met 48 geïnfecteerde afdelingen in Engeland en 13 in Schotland. De ransomware heeft mogelijk ook geleid tot slachtoffers, zo kon een röntgenapparaat door de ransomware niet worden ingezet en was patiënteninformatie onbereikbaar.
Een eerder financieringsprogramma om de infrastructuur van de NHS te vernieuwen, heeft stevig gefaald. Het programma heeft 13 miljoen pond gekost en weinig aantoonbaars opgeleverd, aldus Beverly Bryant, directeur van de inkopende dienst NHS Digital. De markt voor softwareleveranciers van specifiek op de NHS gerichte software, is volgens de directeur een oligopolie, en er zijn weinig klanten, met als resultaat dat steeds dezelfde software bij dezelfde oude leveranciers wordt gekocht, volgens dezelfde werkwijze. De machtspositie van leveranciers betekent dat er niet op resultaat gestuurd wordt. Meer geld geven aan een leverancier die weer niets oplevert, is dan geen oplossing.
Professor in cyberterrorisme Gavin E.L. Hall stelt eveneens dat een oorzaak voor de aanval zit in het aanbesteden van IT-infrastructuur. Wel stelt hij dat de oplossing eerder erin ligt, dat de verantwoordelijkheid van de leverancier voor “dit soort ongelukken” naar de verzekering moet doorschuiven. Bij de aanschaf voor de publieke sector voor IT zou niet alleen moeten worden gekeken naar de IT-aanbesteding maar zou ook een kosten-baten-analyse moeten worden gehouden van hoe steeds sterker oplopende kortingen zich verhouden tot een nieuwe infrastructuur.
Redactie AN, 22 mei 2017