Redacteur, zakelijke technologie
Getty -afbeeldingenNHS “kijkt” naar die beschuldigingen dat patiëntgegevens zwak zijn gelaten voor hacking vanwege software -defecten in een particulier medisch servicebedrijf.
Dit defect werd afgelopen november in Medifer gevonden, dat in een maand 1500 NHS -verwijzingen voor de patiënt verwerkt.
De software -ingenieur die het defect ontdekte, gelooft dat het probleem minstens zes jaar aanwezig was.
Medifer zegt dat er geen bewijs is dat het defect lange tijd was en benadrukte dat patiëntgegevens niet zijn aangetast.
De schuld werd enkele dagen na de ontdekking opgelost.
Eind februari heeft het bedrijf een extern beveiligingsbureau opdracht gegeven om haar gegevensbeheersystemen te herzien.
Een woordvoerder van de NHS zei: “We kijken naar de zorgen over Medefer en zullen verdere actie ondernemen indien van toepassing.”
Het systeem van Medefer stelt patiënten in staat om virtuele afspraken met artsen te boeken en toegang te geven tot geschikte patiëntgegevens aan artsen.
De softwarebug in november maakte echter het interne patiëntendecordsysteem van Medefer onveilig voor hackers, zei de ingenieur.
De software -ingenieur, die de naam niet wil aannemen, was verrast door wat hij heeft blootgelegd.
“Toen ik het kreeg, dacht ik ‘nee, het kon niet gebeuren’.
Het probleem was in stukjes software genaamd API’s (Application Programming Interface), waarmee verschillende computersystemen met elkaar kunnen praten.
De ingenieur zegt dat die API’s niet correct zijn beveiligd in Medifer, en mogelijk toegankelijk voor buitenstaanders, die de informatie van de patiënt konden zien.
Hij zei dat het onwaarschijnlijk was dat de informatie van de patiënt uit Medefer werd gehaald, maar zonder een volledig onderzoek kon het bedrijf het zeker niet weten.
“Ik heb gewerkt in organisaties waar, als zoiets gebeurt, het hele systeem onmiddellijk zal worden verwijderd,” zei hij.
Bij het zoeken naar het defect vertelde de ingenieur het bedrijf dat een externe cyberbeveiligingsexpert moet worden gekocht om het probleem te onderzoeken, waarvan hij zegt dat het bedrijf dat niet heeft gedaan.
Medifer zegt dat het externe beveiligingsagentschap heeft bevestigd dat het geen bewijs heeft gevonden van enige gegevensovertreding en dat alle datasystemen van het bedrijf momenteel veilig waren.
Er staat dat het proces van het onderzoeken en repareren van het API -defect “extreem open” was.
Medifer zei dat het de kwestie aan de ICO (het kantoor van de Informatiecommissaris) en CQC (Care Quality Commission) had uitgelegd, “in het belang van transparantie”, en dat ICO bevestigde dat er geen verdere actie moest worden ondernomen omdat er geen bewijs van de overtreding was.
De ingenieur, die in oktober in oktober werd gecontracteerd om te testen op fouten in de software van het bedrijf, verliet het bedrijf in januari.
In een verklaring, de oprichter en CEO van Medifer, Dr. Bahman Nedjat-Shokauhi zei: “Er is geen bewijs van schending van de patiëntgegevens van ons systeem.”
Hij bevestigde dat het defect in november werd ontdekt en een oplossing werd ontwikkeld in 48 uur.
“Het externe beveiligingsagentschap beweerde dat er wordt beweerd dat dit defect toegang kan bieden tot grote hoeveelheden gegevens van patiënten, het is duidelijk onjuist.”
Het beveiligingsbureau zal zijn beoordeling eind deze week voltooien.
Dr. Nedjat-Shakauhi zei: “We nemen onze taken zeer serieus aan patiënten en NHS. We hebben regelmatig externe beveiligingsaudit van ons systeem door onafhankelijke externe beveiligingsinstanties, elk jaar elk jaar.”
Getty -afbeeldingenCyber Security Experts, die de informatie hebben gezien die door de software -ingenieur verstrekt, hebben hun bezorgdheid geuit.
Professor Alan Woodward, een cybercity -expert aan de Surrey University, zei: “Er is een mogelijkheid dat de gegevens verkregen van NHS niet veilig zijn gedaan.
Hij zei: “De database kan worden gecodeerd en alle andere voorzorgsmaatregelen kunnen worden genomen, maar als er een manier is om de API -autoriteit te verknoeien, weet niemand hoe mogelijk toegang kan krijgen,” zei hij.
Een andere expert zei dat zodra het probleem was geïdentificeerd, het bedrijf in cyberbeveiligingsexperts had moeten worden gekocht zodra het bedrijf werd geïdentificeerd, met hooggevoelige, medische gegevens.
“Hoewel het bedrijf vermoedde dat er geen gegevens werden gestolen, wanneer een probleem kon worden geconfronteerd, wat resulteerde in gegevens kaal, vooral met natuurgegevens, zou een geschikt gekwalificeerde cyberbeveiligingsspecialist worden geadviseerd om een onderzoek en bevestiging te hebben,” zegt Scott Helm, zegt een beveiligingsonderzoeker.
Medefer werd opgericht in 2013 Dr. Nedajat werd uitgevoerd door-Shokauhi, met als doel de poliklinische zorg te verbeteren. Sindsdien wordt de technologie gebruikt door NHS Trusts in het hele land.
De woordvoerder van de NHS zei in een verklaring dat ze verantwoordelijk zijn voor hun contracten met de privésector van de Trust.
“Individuele NHS -organisaties moeten ervoor zorgen dat ze aan hun wettelijke verantwoordelijkheden en nationale gegevensveiligheidsnormen voldoen voor de bescherming van patiëntgegevens terwijl ze leveranciers benoemen, en we bieden hen ondersteuning en training op nationaal niveau.”
