Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Britse NHS schat kosten van WannaCry-aanval op ruim 100 miljoen euro

De Britse National Health Service heeft een schatting gepubliceerd van de kosten van de WannaCry-aanval, die veel ziekenhuizen en artsenpraktijken in 2017 trof. De organisatie raamt de kosten op 92 miljoen pond, wat omgerekend neerkomt op ongeveer 104,5 miljoen euro.

In het document dat door het ministerie van Volksgezondheid en Sociale Zaken online is gezet, staat dat het daarbij gaat om de kosten die zijn ontstaan als directe aanleiding van het incident en de kosten die vervolgens zijn gemaakt in de maanden juni en juli van vorig jaar. De directe kosten, die zijn gemaakt tussen 12 en 18 mei 2017 en die onder meer samenhingen met afgelaste afspraken, komen uit op 19 miljoen pond. Het vervolgens herstellen van de it-systemen en het bieden van ondersteuning kostte nog eens 73 miljoen pond.

Na de aanval is er een overeenkomst met Microsoft gesloten met een waarde van 150 miljoen pond, onder meer om systemen naar Windows 10 te upgraden en Advanced Threat Protection te kunnen inzetten. Uit een eerder rapport was gebleken dat 34 procent van de zorgdiensten door WannaCry was getroffen, waardoor 19.000 afspraken niet door konden gaan. Dat rapport concludeerde dat de gevolgen van de aanval eenvoudig te voorkomen waren geweest, omdat veel organisaties bijvoorbeeld ongepatchte Windows 7-systemen gebruikten.

De WannaCry-ransomware verspreidde zich in mei 2017 via een kwetsbaarheid in SMB door gebruik te maken van de NSA-exploit EternalBlue. Microsoft had twee maanden voor de internetaanval patches uitgebracht voor deze kwetsbaarheid, maar deze waren in veel gevallen niet toegepast. In september klaagde de Amerikaanse Justitie een Noord-Koreaanse man aan voor WannaCry, maar ook voor een eerdere aanval op Sony. In Nederland was het parkeerbedrijf Q-park door de malware getroffen.

Door Sander van Voorst

Nieuwsredacteur

12-10-2018 • 18:35

43 Linkedin Google+

Reacties (43)

Wijzig sortering
Dat rapport concludeerde dat de gevolgen van de aanval eenvoudig te voorkomen waren geweest, omdat veel organisaties bijvoorbeeld ongepatchte Windows 7-systemen gebruikten.
Als ze alleen maar een klein deel van die 104,5 miljoen euro hadden geÔnvesteerd in het up-to-date houden van hun systemen...

In de IT wereld en het informatiebeveiligingsveld geldt 'goedkoop is duurkoop' ook.

[Reactie gewijzigd door The Zep Man op 12 oktober 2018 18:41]

De NHS wordt al jaren stelselmatig onder budget gehouden, dus dit is niet echt raar. Het probleem is nu dus weer dat de tories vast weer gaan roepen dat de private sector dit veel beter en efficiŽnter kan terwijl zij het budget steeds verkleinen. Beetje sigaret weggooien en dan vreemd opkijken als er wat in de fik vliegt.
Tjah, we spreken hier over een sector waar simpelweg onvoldoende geld is. Als je basisgezondheidszorg betaald wordt met belastinggeld dan weet je dat er onvoldoende middelen zijn. Te weinig personeel dat te weinig betaald wordt, verouderde infrastructuur en materiaal en dus ook IT die niet helemaal up to date is. Wil je dat oplossen heb je meer geld nodig. De belastingen verhogen? Mensen meer laten betalen? Allemaal politieke zelfmoord. De sector dan maar vrij laten? We zien wel in de VS wat daar van komt.
Dat is dus dikke onzin.

Het is een werkplek. Een automonteur heeft gereedschap nodig,
op kantoor/werkplek heb je een pc nodig.
Omgerekend per dag is het een fractie van het salaris en automatiseren heeft al zoveel heeft opgeleverd. Je wilt niet dat je nog steeds berekeningen maakt op papier,
of typen op een typemachine.

De kostenbesparingen voor minder personeel zie je niet terugkomen als investering in een up-to-date werkplek.


http://www.nhsconfed.org/resources/key-statistics-on-the-nhs
Ruim 1mln fte,
zullen minder werkplekken zijn omdat je bij verschillende diensten ploegen en/of weekend draait.
Maar als we uitgaan van 500k werkplekken,
dan heeft de upgrade dus een schokkende 300 pond per werkplek gekost. En die werkplek wordt ook nog eens door meerdere mensen gebruikt, per fte is het minder.
Omgerekend per dag is het een fractie van het salaris en automatiseren heeft al zoveel heeft opgeleverd. Je wilt niet dat je nog steeds berekeningen maakt op papier,
Op zich heb je daar gelijk in, maar het gaat hier helemaal niet over automatiseren, maar over het beveiligen van die automatisering, en dat levert over het algemeen helemaal niks op voor een bedrijf.
Als we nu nog steeds geloven dat beveiliging van systemen niets oplevert dan heeft men volgens mij het nieuws niet gevolgd. Al kan je maar een dag niet werken. Dat is vaak al duurder dan een upgrade van het gehele besturingssysteem.

Nu nog aankomen met het excuus “ja maar dan werkt software x niet meer” kan niet. Dan is het tijd om afscheid te nemen van software X, want het neemt jou en je klanten helemaal niet serieus.
Dan is het tijd om afscheid te nemen van software X, want het neemt jou en je klanten helemaal niet serieus.
Als je in een industrie werkt waar apparatuur miljoenen kan kosten, met gemak 25 jaar meegaat, en OS/2 en XP nog steeds voor komen nemen klanten je niet serieus als je niet met software X kan werken en gaan ze naar een ander.
Sorry maar dat is echt komplete onzin. Als leveranciers je willens en wetens met onveilige apparatuur laten zitten dan is dat een groot issue. Het is natuurlijk komplete onzin dat apparatuur die miljoenen kost geen updates kan krijgen.

Het software en hardware stukje wat de apparatuur verder aanstuurd kan uiteraard worden vervangen tegen een veel geringere prijs dan die enkele miljoenen.

Echt kompleet van de zotte natuurlijk. Zeker voor een orgaan als de belastingdienst.
Als leveranciers je willens en wetens met onveilige apparatuur laten zitten dan is dat een groot issue. Het is natuurlijk komplete onzin dat apparatuur die miljoenen kost geen updates kan krijgen.
Dat doen ze niet, maar klanten zien op tegen de enorme kosten die dat met zich meebrengt, en het levert ze eigenlijk niks op.
Het software en hardware stukje wat de apparatuur verder aanstuurd kan uiteraard worden vervangen tegen een veel geringere prijs dan die enkele miljoenen.
Nee, dat kan lang niet altijd. Een olie-platform, raffinaderij, fabriek etc stil leggen voor een upgrade kost vaak een hele bak geld, al buiten de kosten van de apparatuur.
Als niet upgraden betekend dat toeleveranciers moeten werken met oude, onveilige software zie ze dat niet als hun probleem, maar dat van de toeleverancier/onderaannemer. Weigeren we dat te doen, dan gaan ze naar een ander die het risico wel wil nemen.

En wat heeft de belastingdienst er mee te maken?
@Iblies Ben je wel eens in een ziekenhuis van de NHS geweest?
Ik vond het toen een schrale toestand. Versleten tafeltjes, kapotte deuren. Alles wat niet bij het primaire proces hoorde werd geen geld aan besteed.

Als dat nu nog steeds zo is... IT hoort bij het primaire proces. Beveiliging niet. Of, als je nergens geld voor hebt dan DENK je dat dat zo is.
Gelukkig doen we dat in NL anders en investeren we ff een extra honderd miljoen om mooie tafeltjes en gebouwen te hebben....
https://www.nrc.nl/nieuws...c-te-verstrekken-a1422706

Het is een lastig verhaal en zoals altijd ligt de gulden weg ergens in het midden.

[Reactie gewijzigd door jozuf op 13 oktober 2018 08:37]

Dan heb je mooie tafeltjes maar is de zorg weer beneden pijl. Dat doen ze daar bij NHS wel nog altijd goed.
Ik wil weg blijven bij een discussie of de zorg in het algemeen wel of niet voldoende geld heeft. Het onderwerp is hier of de NHS instellingen voldoende geld hadden om iets tegen wannacry te kunnen doen en of een fractie van de nu geleden en geinvesteerde schade in het onderzoeken en herstellen een betere investering was geweest.

Om daar een oordeel over te kunnen geven lijkt het mij dat we moeten kijken naar waar het geld vandaan kwam om weer zorg te kunnen verlenen. We kunnen er niet omheen dat er na de aanval ook geld bij instellingen zelf bleek te zijn om de schade te herstellen. Dat geld kwam in eerste instantie uit bestaande budgetten en was dus wel degelijk voorhanden. Maar wat onduidelijk blijft is of een fractie van de schade of van de herstelgelden voldoende was geweest om grotere schade te voorkomen. Daarmee kan dus alleen met speculeren beoordeeld worden of er voldoende of onvoldoende geld was.

Wat wel duidelijk is: Maanden later is besloten dat er meer geld beschikbaar moet zijn specfiek voor het beter beschermen van de ICT. Daarmee zijn een aantal punten gemaakt: er is na de aanval opnieuw gekeken naar de prioriteiten en beschikbare middelen, een conclusie is dat er vanaf februari daardoor meer geld nodig is voor de bescherming en dat mag niet of nauwelijks ten kosten gaan van andere budgetten.
Het probleem is net zoals bij veel Hulp organisaties. Er zijn veel te veel mensen die zogenaamd belangrijk zijn en daarom veel geld krijgen als subsidies bonussen en zo voort.

Een ziekenhuis is geen commerciŽle instelling maar zo krijgt de top vaak wel betaald.

Laat dat geld wat wegvloeit naar de top in plaats daarvan naar onderzoek en productie van medicatie gaan. En dan daarbij lekker lak hebben aan die patenten op medicatie want dat is het stomste wat je kunt doen.

[Reactie gewijzigd door Marty007 op 13 oktober 2018 12:29]

Gelukkig maar dat ze na de Brexit 350 miljoen per week besparen. Kunnen ze een paar iT-ers inhuren }>
Jammer dat de Brexit nu al over de 500m per week kost, haha
En waarschijnlijk zullen de effectieve kosten nog wel flink oplopen, helemaal als het een no-deal wordt.

Wil niet weten wat er dan gebeurd als weer een WannaCry variant uitbreekt. Gewoon maar geen computers meer dan? :?
We zijn veel te veel afhankelijk geworden van computers en elektriciteit.

https://www.astroblogs.nl...ologie-kunnen-verwoesten/
Daarnaast het patches, het updaten van het OS kan niet altijd even goed gaan. Nu is het wel zo dat de systemen genoeg tijd hadden om te patch/updaten.

Al is het erg moeilijk in de medische sector om dat te doen. Omdat ze vaak van de vendor geen updates krijgen. Maar dat is weer een andere zaak.
Hopelijk hebben ze er flink van geleerd.

Eerder de systemen op orde brengen zal ongetwijfeld veel goedkoper geweest zijn.

Maar ja, eerst een harde les is meestal nodig.
En dat je zulke bugs/1days beter gelijk kan melden en publiekelijk maken. Ipv ze sneaky te gebruiken als de NSA.

Gezien Wannacry hun uitgelekte Exploit gebruikte.
Wel aardig dat ze een regeling voor mensen met weinig geld hebben 8)7
(Zie screenshot)

[Reactie gewijzigd door MarnickS op 13 oktober 2018 10:11]

Ben ook heel benieuwd hoe de hacker gaat controleren of je inderdaad arm bent. :+
Triest, maar blijkbaar moet er persť iets gebeuren om vervolgens geld te krijgen van de regering voor de upgrade naar W10 8)7
lol. hoe moeilijk is het om een patch proces in te richten en de patches in een week in productie te zetten.
Nou, kennelijk te moeilijk voor de gemiddelde systeembeheerder in de britse gezondheidsorg
Niet dat het in nederland beter geregeld is...
In mijn ervaring weet de gemiddelde icter wel hoe t moet. Echter zijn er managers en beknopte budgetten waar je met mee moet zien te doen. Ook hier, ruimte voor verbetering, maar als ik het management niet weet te overtuigen veranderd er niets
Ik zeg ook nergens dat de gemiddelde systeembeheerder in de britse gezondheidszorg er te stom voor is.
Het wordt ze door de organisatie moeilijk gemaakt; geen budget, geen tijd, etc.
Heeft niet alleen met dat te maken.

Veel medische spul is out-dated waardoor patchen van OS erg moeilijk is. Al weet ik niet hoe dat is met de cliŽnt machines of ze ook echt allemaal speciale hardware/software draaien waardoor het moeilijk is.

Buiten dat het meteen online gooien van een update op systemen zonder eerst een groep testers te hebben gedraaid. Dan heb je gewoon een slechte systeembeheerder.

Maar voor kleine bedrijfjes van tot 100 man tja is de impact ook vele malen lager dan bijvoorbeeld een bedrijf van 5000-10000.

Wij hebben 7000 medewerkers rondom de wereld ook bij ons is het moeilijk upgraden. We moeten zelfs mensen aanleren hoe een upgrade uitgevoerd moet worden en of wat ze extra moeten doen. Zelfs dat is af en toe moeilijk voor sommige.
Maar een aanmerkelijk deel hangt dan weer vaak niet direct aan de rest van het netwerk cq internet... of in eigen netwerk systemen. Dat geeft weer andere issues maar je bent niet meteen je echo apparaat of CT-scanner kwijt
Daar zijn ook wel oplossingen voor, masr maskt het idd wel complexer..
Probleem is dat de NHS geen uniforme organisatie is, maar een collectie van losstaande trusts.. die ieder hun eigen ding doen..
Als er 1 NHS IT organisatie was dan zou het simpel zijn.. Het bedrijf waar ik voor werk maar daar oplossingen voor en technisch zijn daar hele mooie systemen voor.. maar het probleem hier is de organisatie..
Kennelijk duurder dan 90 miljoen pond, anders hadden ze het wel gedaan... Of niet? ;)
gewoon achterstallig onderhoud, en dat kost veel meer, misschien wel 10x zo veel.
te gek voor woorden dat de overheid dat niet kan regelen.
Het is natuurlijk altijd een gok. Gebeurd er niets, dan heb je geld bespaard. Gebeurd er wel wat, tja, dan kost het je dus 100 miljoen.

Maar mensen gokken graag. Daarom bestaan er ook casinos en loterijen.
Een nieuwe MRI-scanner is natuurlijk sekssier dan een nieuwe windows versie.
Die (kwetsbare) sectoren zouden eigenlijk iets van Linux moeten draaien. Iedere werknemer kan echt wel overweg met een simpele desktop omgeving waar men alleen maar op icoontjes hoef te klikken om hun werk gedaan te krijgen. Omscholing is echt niet nodig.

Het zijn hoogstwaarschijnlijk de software leveranciers ook in deze die hun software alleen aanbieden voor het Microsoft platform en zo dus het personeel eigenlijk verplichten om dat platform te gebruiken, terwijl die sector al enorm financieel uitgeknepen word.

Erg vervelend allemaal :/
Voor het normale kantoorwerk kan dat misschien maar voor gespecialiseerde afdelingen niet. Hun gespecialiseerde software is inderdaad bijna altijd voor Windows en die gaan niet naar Linux omdat de afhankelijkheden in Linux veel te groot zijn. De verschillende distro’s maken al verschil en binnen de distro’s ben je nog eens sterk afhankelijk van versies van libraries en andere objecten.
En daarnaast: als de publieke sector massaal overstapt op Linux zal ook de malware zich meer op Linux gaan richten.
Want Linux en alle extra libs/apps die je nodig hebt om een functionerende desktop omgeving te krijgen, kennen geen exploits? Zeker met een laks patch proces (of geen), loop je ook daar tegen de problemen aan door het gebruik van verouderde software en ontbrekende beveiligingsmaatregelen.
En ondertussen kan onze belastingdienst de veiligheid van gegevens niet garanderen! Moet het daar ook eerst frontaal mis gaan voordat systemen/it de aandacht en geld krijgt die het nodig heeft om up to date te blijven? Ongetwijfeld dat het op deze manier veel meer geld gaat kosten in the long run.
Dat ligt dan weer meer aan de politiek dan de belastingdienst. Die geeft al jaren aan dat het niet meer kan. Maar ondertussen moeten ze vanuit Den Haag vele mensen ontslaan, krijgen ze nieuwe taken erbij, en moeten ze een systeem laten bouwen met constant veranderende requirements. Al met al een giftige cocktail.

Al met al ben ik blijer met een dienst die er gewoon voor uitkomt dat er dingen niet kloppen


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True