Gall trefniadau cadw tŷ syml sicrhau nad yw systemau TG gofal iechyd yn dioddef yn sgil methiannau seiber

Mae'r problemau diweddar yn gysylltiedig â meddalwedd seiberddiogelwch Crowdstrike a sut y gall diweddariad TG achosi anhrefn llwyr, yn dangos mor hanfodol mae ein systemau cyfrifiadurol i weithrediad y systemau rydyn ni i gyd yn dibynnu arnyn nhw o ddydd i ddydd.

Ganol mis Gorffennaf, achosodd un gwall yn y diweddariad broblemau ledled y byd, gan daro trenau, siopau, meysydd awyr a fferyllfeydd, ymhlith eraill - gyda chwmnïau hedfan yn gorfod canslo hediadau, ac effaith wael ar rai o feddygfeydd Prydain.

Gwella effeithlonrwydd yw bwriad y dechnoleg hon, a dim ond pan fo pethau'n mynd o chwith, a'r methiannau'n effeithio ar filiynau o bobl, rydyn ni’n gofyn cwestiynau o ddifrif ynghylch pa mor dda mae’r systemau mewn gwirionedd.

Er nad trosedd oedd wrth wraidd problem Crowdstrike, dangosodd sut y gall problem gyda systemau cyfrifiadurol hanfodol - naill ai yn sgil trosedd neu ddiffygion yn yr oruchwyliaeth arbenigol - gael effaith fawr.

O ran ein systemau iechyd, mae sicrhau eu bod yn rhydd rhag problemau yn hanfodol bwysig, ac mae angen i'r rhai sy'n eu gweithredu fod yn gyfan gwbl o ddifrif ynghylch eu diogelu.

Fel y dywedodd un sylwebydd wrth siarad am fyd sy'n fwyfwy cysylltiedig: "Mae Rhyngrwyd y Pethau (RhYP) wedi'i integreiddio â dyfeisiau meddygol, gan alluogi gwell cysur i gleifion, atebion meddygol cost-effeithiol, triniaethau ysbyty cyflym, a gofal iechyd wedi’i bersonoli fwyfwy at anghenion yr unigolyn."

Er mor wych y mae hyn, mae'r cysylltedd hwn hefyd yn achosi llawer o bryderon, fel y dangoswyd yn glir gan ystadegyn a ddatgelwyd yn ddiweddar gan arbenigwr systemau.

Yn ôl Yaroslav Goortovoi, Awdur Technegol gydag arbenigwyr meddalwedd Altoros, mae 46% o ddyfeisiau RhYP meddygol yn agored i niwed seiber.

Mae hyn yn golygu y gallai bron i hanner y peiriannau y gall pobl fod yn ddibynnol arnyn nhw ar gyfer diogelwch meddygol fod mewn perygl o gael eu hacio, a gallai hacwyr gael mynediad at ein data, effeithio ar ein lles, neu effeithio ar weithrediad ein systemau gofal iechyd.  

Byddai'n wych pe bai'r ffigwr 46% hwn yn cynrychioli’r sefyllfa waethaf bosibl a allai godi - ond, yn anffodus, rydyn ni wedi gweld yr effaith y gall ymosodiadau seiber ei chael ar systemau gofal iechyd.

Ym mis Mai 2017, yn yr hyn a alwyd yn ymosodiad WannaCry, achoswyd problemau mawr gan ymosodiad meddalwedd wystlo (ransomware) ar y GIG – lle gwnaeth grŵp troseddol amgryptio systemau a ffeiliau gofal iechyd, a mynnu pridwerth yn gyfnewid am fanylion ynghylch sut i ddychwelyd y systemau i weithrediad arferol.

Effeithiodd hyn ar dros 80 o Ymddiriedolaethau GIG y DU ac fe gododd yn sgil methiant i ddiweddaru meddalwedd, man gwan a ddefnyddiwyd wedyn gan hacwyr i fynd i mewn i'r systemau.

Yn ôl llefarydd ar ran y GIG "oherwydd diffyg pats i’r system weithredu, mae dros 230,000 o gyfrifiaduron mewn o leiaf 150 o wledydd wedi eu heintio". Arweiniodd hyn at gost o ryw £92 miliwn i adfer systemau’n llawn.

Mae haciau eraill wedi cynnwys gwe-rwydo yn cael ei ddefnyddio i gael mynediad at systemau gofal iechyd, ac mae eraill wedi arwain at ganslo llawdriniaethau hanfodol i achub bywydau, data cleifion yn cael ei werthu ar y we dywyll, a miloedd o apwyntiadau’n cael eu canslo.

Mae'n amlwg felly bod angen i'r rhai sy'n gweithredu yn y sector gofal iechyd fod yn gwbl o ddifrif ynghylch  diogelwch systemau, ond mae ymchwil wedi awgrymu bod rhai’n methu â gweithredu ar y rhybuddion.

Canfu ystadegau gan arbenigwyr yn y diwydiant meddalwedd, Capterra, mai llai na hanner (43%) y practisau gofal iechyd oedd yn dweud eu bod bob amser yn newid cyfrineiriau diofyn ar ddyfeisiau meddygol cysylltiedig, a llai na thraean (32%) bob amser yn eu diweddaru pan fydd pats ar gael.

Mae'r ffigurau hyn yn dangos bod rhan fawr o'r sector gofal iechyd yn methu â gweithredu argymhellion diogelwch sylfaenol, sydd yn y pen draw yn arwain at fwy o systemau fod mewn peryg o ymosodiadau seiber.

Trwy ddilyn y mecanweithiau diogelwch sylfaenol hyn – fel diweddaru’n rheolaidd, defnyddio patsys, newid cyfrineiriau diofyn, cynnal archwiliadau rheolaidd, gwneud asesiadau risg, dilyn hyfforddiant rheolaidd a phrofi cymhwysedd pob gweithiwr sy'n defnyddio'r dyfeisiau - bydd y rhai sy'n defnyddio'r systemau hyn yn gallu gwella diogelwch y diwydiant ymhellach a helpu i'w amddiffyn rhag peryglon methiannau sylweddol.

Mae ymosodiad Wannacry ac anhrefn Crowdstrike yn dangos mor hanfodol mae dysgu gwersi o broblemau fel hyn. Os nad yw’r gwersi hynny’n cael eu dysgu, rydyn ni'n siŵr o'u hailadrodd.

Gan Rachael Medhurst, Uwch Ddarlithydd mewn Fforensig Digidol a Seiberddiogelwch ym Mhrifysgol De Cymru

Ysgrifennwyd yr erthygl hon ar gyfer Business News Wales. Gallwch ddarllen y gwreiddiol yma.