Britse ziekenhuizen hebben duizenden afspraken moeten annuleren wegens de WannaCry-ransomware die zich in mei van dit jaar verspreidde. Een aanval die geheel voorkomen had kunnen worden door het opvolgen van basale beveiligingsmaatregelen, aldus een onderzoek van het National Audit Office van de Britse overheid. De ransomware wist 81 van de 236 zorgorganisaties van de National Health Service (NHS) te infecteren.

Ook werden 603 zorginstellingen en andere NHS-organisaties door WannaCry besmet, waaronder 595 huisartsenpraktijken in heel Groot-Brittannië. NHS England verzamelde informatie over geannuleerde afspraken om het incident in kaart te brengen, maar dit omvatte niet alle soorten afspraken. In totaal identificeerde NHS Engeland 6900 afspraken die werden geannuleerd en de organisatie schat dat in totaal 19.000 afspraken niet doorgingen. Het is onbekend hoeveel afspraken bij huisartsenpraktijken werden geannuleerd of hoeveel ambulances en patiënten moesten worden omgeleid bij de centra die niet in staat waren om sommige patiënten te behandelen.

Volgens het onderzoeksrapport (pdf) werden zorginstellingen en ziekenhuizen in maart en april gewaarschuwd dat ze hun systemen moesten patchen, maar dit advies werd niet opgevolgd. WannaCry verspreidde zich via een beveiligingslek in Windows dat in maart van dit jaar door Microsoft werd gepatcht. De NSA-exploit waar WannaCry gebruik van maakte werd in april door een groep genaamd Shadow Brokers op internet gepubliceerd.

"De WannaCry-aanval had potentieel ernstige gevolgen voor de NHS en diens mogelijkheid om zorg aan patiënten te leveren. Het was een redelijk ongeraffineerde aanval en had door de NHS voorkomen kunnen worden als er basale it-beveiligingsmaatregelen waren opgevolgd. Er zijn veel geraffineerdere cyberdreigingen dan WannaCry en het ministerie en de NHS moeten dan ook orde op zaken stellen om tegen toekomstige aanvallen beschermd te zijn", aldus Amyas Morse, hoofd van het National Audit Office.