NHS terungkap sedang berjuang untuk mempertahankan keahlian keamanan siber yang penting. Tampaknya pengeluaran untuk sektor ini juga dialokasikan secara tidak menentu, dengan beberapa Trust hanya mengeluarkan £250 pada tahun lalu.
Lihat terkait
Meskipun Departemen Kesehatan dan Pelayanan Sosial (DHSC) telah memberikan tambahan £150 juta untuk keamanan siber NHS setahun setelah serangan WannaCry, penelitian oleh Redscan telah memperlihatkan kesenjangan besar dalam hal pendanaan dan staf.
Rata-rata pengeluaran untuk pelatihan keamanan data di 159 Trust yang disurvei adalah £5.356 dalam 12 bulan terakhir, namun jumlahnya berkisar antara £238 dan £78,000 tanpa korelasi dengan ukuran Trust, atau lokasi.
BACA BERIKUTNYA: Bisakah teknologi menyelamatkan NHS?
Untuk Trust skala menengah yang memiliki antara 3.000 dan 4.000 karyawan, misalnya, pengeluaran pelatihan berkisar antara £500 hingga £33.000. Namun penelitian tersebut juga mencatat bahwa sejumlah besar pelatihan dilakukan secara internal dengan menggunakan sumber daya NHS Digital.
Pelatihan GDPR adalah program yang paling umum diikuti, dengan kursus terkemuka lainnya termasuk Sertifikat Praktisi BCS dalam Perlindungan Data, dan Pemilik Risiko Informasi Senior. Namun, ditemukan bahwa NHS Trusts hanya mempekerjakan rata-rata satu profesional keamanan yang memenuhi syarat per 2,582 staf.
Yang mengkhawatirkan, hampir seperempat Trust, 24 dari 108, tidak mempertahankan staf dengan kualifikasi keamanan meskipun beberapa di antaranya mempekerjakan sekitar 16.000 pekerja penuh waktu dan paruh waktu. Sejumlah Trust juga melaporkan memiliki karyawan dalam proses memperoleh kualifikasi keamanan.
“Temuan ini menyoroti kegagalan keamanan siber NHS, yang sedang berjuang untuk menerapkan a strategi keamanan yang kohesif dalam keadaan sulit,” kata direktur keamanan siber Redscan, Mark Nicholas. “Perwalian individu tidak memiliki talenta keamanan siber internal dan banyak yang gagal mencapai target pelatihan; sementara investasi dalam pelatihan keamanan dan perlindungan data tidak merata. Besarnya kesenjangan ini mengkhawatirkan, karena beberapa organisasi NHS memiliki sumber daya, pendanaan, dan pelatihan yang jauh lebih baik dibandingkan yang lain.”
BACA BERIKUTNYA: NHS dijadwalkan untuk mendapatkan £500 juta untuk “transformasi digital”
Temuan tersebut, yang dirilis setelah kampanye Kebebasan Informasi (FOI) yang mendapat tanggapan dari 159 NHS Trust, telah dirilis satu setengah tahun setelahnya. serangan WannaCry yang menghancurkan DHSC itu diperkirakan menelan biaya £92 juta.
Beberapa laporan parlemen telah memperburuk rekor NHS dalam hal ketahanan keamanan siber, dan salah satunya adalah laporan terbaru yang muncul pada bulan April zero Trusts lulus penilaian keamanan siber pemerintah.
Permintaan FOI terpisah yang dikirim Redscan ke NHS Digital menunjukkan tanda-tanda perbaikan, karena 139 Perwalian kini telah melakukan Penilaian Keamanan Data di Lokasi, dibandingkan dengan hanya 60 Perwalian pada tahun lalu.
Selain mengumumkan tambahan £150 juta selama tiga tahun ke depan, DHSC juga berkomitmen untuk itu memutakhirkan semua perangkat Windows XP ke Windows 10 pada tahun 2020 dalam kesepakatan yang dicapai Microsoft awal tahun ini.
“Keamanan dunia maya adalah prioritas pemerintah dan pendanaan diberikan kepada NHS Trust berdasarkan kebutuhan dan kemampuan spesifik mereka,” kata juru bicara DHSC. Alfa. “Lebih dari £60 juta telah diinvestasikan tahun lalu untuk infrastruktur penting, dan akan ada £150 juta tambahan pada tiga tahun ke depan untuk meningkatkan ketahanan di seluruh sistem kesehatan dan layanan.
“Jika Trust tidak mengambil tindakan yang memadai untuk mengamankan jaringan dan sistem mereka, kami akan menggunakan kekuatan penegakan hukum yang kuat untuk memastikan perbaikannya.”
BACA BERIKUTNYA: NHS telah dilarang membeli mesin faks untuk meningkatkan keamanan
Nicholls dari Redscan menambahkan bahwa ketika kesenjangan keterampilan terus meningkat, akan semakin sulit bagi organisasi di semua sektor untuk menemukan orang-orang dengan pengetahuan dan keahlian yang tepat.
“Hal ini bahkan lebih sulit lagi bagi NHS, yang harus bersaing dengan upah yang sangat besar dari sektor swasta,” lanjutnya, “belum lagi fakta bahwa kepercayaan di luar pusat teknologi tradisional seperti London dan Cambridge memiliki lebih sedikit talenta yang dapat dipilih dari."
kata peneliti keamanan utama Kaspersky, David Emm Alfamengingat betapa menariknya data kesehatan bagi para penjahat, maka sangat penting bagi NHS untuk menginvestasikan uangnya dalam perlindungan yang kuat.
“Penyedia layanan kesehatan juga harus bekerja sama dengan tim keamanan TI mereka untuk menerapkan perlindungan canggih dan berkualitas tinggi yang memungkinkan mereka mengelola dan melindungi data pelanggan,” katanya.
“Bukan hanya demi kepatuhan ‘kotak centang’, atau untuk menghindari denda yang besar dan memalukan, bahkan kerusakan reputasi yang seringkali tidak dapat diperbaiki, namun untuk memungkinkan mereka dan pasiennya untuk mendapatkan banyak manfaat dari layanan kesehatan digital canggih, percaya diri dengan pengetahuan tentang data, perangkat, dan jaringan aman."
