Національна служба охорони здоров’я «розглядає» звинувачення в тому, що дані пацієнтів стали вразливими для злому через програмну помилку в приватній медичній компанії.

Помилка була виявлена ​​в листопаді минулого року в компанії Medefer, яка щомісяця обробляє 1500 звернень пацієнтів від NHS.

Інженер-програміст, який виявив недолік, вважає, що проблема існувала щонайменше шість років.

Медефер каже, що немає доказів того, що недолік існував так довго, і підкреслив, що дані пацієнтів не були скомпрометовані.

Недолік було виправлено через кілька днів після виявлення.

Наприкінці лютого компанія доручила зовнішньому агентству безпеки провести перевірку її систем керування даними.

Представник NHS сказав: «Ми вивчаємо занепокоєння, висловлене щодо Медефера, і вживатимемо подальших заходів, якщо це необхідно».

Система Medefer дозволяє пацієнтам записуватися на віртуальний прийом до лікарів і надає клініцистам доступ до відповідних даних пацієнтів.

Проте помилка програмного забезпечення, виявлена ​​в листопаді, зробила внутрішню систему реєстрації пацієнтів Медефера вразливою для хакерів, сказав інженер.

Інженер-програміст, який не бажає називати свого імені, був шокований тим, що він відкрив.

«Коли я знайшов це, я просто подумав «ні, цього не може бути».»

Проблема полягала в частинах програмного забезпечення під назвою API (інтерфейси прикладного програмування), які дозволяють різним комп’ютерним системам спілкуватися одна з одною.

Інженер каже, що в Medefer ці API не були належним чином захищені, і потенційно до них могли отримати доступ сторонні особи, які мали б змогу бачити інформацію про пацієнтів.

Він сказав, що малоймовірно, що інформація про пацієнтів була отримана від Medefer, але без повного розслідування компанія не могла знати напевно.

«Я працював в організаціях, де, якби трапилося щось подібне, усю систему негайно зняли», — сказав він.

Виявивши недолік, інженер сказав компанії, що потрібно залучити зовнішнього експерта з кібербезпеки для дослідження проблеми, чого, за його словами, компанія не зробила.

Медефер каже, що зовнішнє агентство безпеки підтвердило, що воно не знайшло доказів будь-якого порушення даних і що всі системи даних компанії наразі захищені.

У ньому йдеться, що процес дослідження та виправлення недоліку API був «надзвичайно відкритим».

Medefer заявив, що повідомив про проблему в ICO (Офіс уповноваженого з питань інформації) і CQC (Комісію з якості медичного обслуговування) «в інтересах прозорості», і що ICO підтвердив, що не потрібно вживати жодних подальших дій, оскільки немає доказів порушення.

Інженер, з яким у жовтні було укладено контракт для тестування недоліків у програмному забезпеченні компанії, залишив компанію в січні.

У своїй заяві д-р Бахман Неджат-Шокоухі, засновник і генеральний директор Medefer, сказав: «Немає доказів будь-якого порушення даних пацієнтів із наших систем».

Він підтвердив, що недолік було виявлено в листопаді, а виправлення було розроблено за 48 годин.

«Зовнішнє агентство безпеки стверджує, що твердження про те, що цей недолік міг надати доступ до великої кількості даних пацієнтів, є категорично неправдивими».

Агентство безпеки завершить перевірку пізніше цього тижня.

Доктор Неджат-Шокоухі додав: «Ми дуже серйозно ставимося до своїх обов’язків перед пацієнтами та Національною службою охорони здоров’я. Ми проводимо регулярні зовнішні перевірки безпеки нашої системи незалежними зовнішніми агентствами безпеки, які проводяться кілька разів на рік».

Експерти з кібербезпеки, які переглянули інформацію, надану програмістом, висловили своє занепокоєння.

«Існує ймовірність того, що Медефер зберігав дані, отримані від Національної служби охорони здоров’я, не настільки безпечно, як можна було сподіватися», — сказав професор Алан Вудворд, експерт з кібербезпеки з Університету Суррея.

«Базу даних може бути зашифровано та вжито всіх інших запобіжних заходів, але якщо є спосіб порушити авторизацію API, будь-хто, хто знає, як потенційно може отримати доступ», — додав він.

Інший експерт зазначив, що, оскільки Medefer має справу з дуже конфіденційними медичними даними, компанії слід було залучити експертів з кібербезпеки, як тільки було виявлено проблему.

«Навіть якщо компанія підозрює, що жодних даних не було вкрадено, якщо зіткнеться з проблемою, яка могла призвести до витоку даних, особливо з даними такого характеру, було б доцільно провести розслідування та отримати підтвердження від відповідного кваліфікованого експерта з кібербезпеки», — говорить Скотт Хелме, дослідник безпеки.

Медефер був заснований у 2013 році доктором Неджатом-Шокоухі з метою покращення амбулаторної допомоги. Відтоді його технологія використовується трестами NHS по всій країні.

У заяві представник NHS сказав, що ці трасти відповідають за свої контракти з приватним сектором.

«Окремі організації NHS повинні забезпечити виконання своїх юридичних обов’язків і національних стандартів безпеки даних щодо захисту даних пацієнтів під час призначення постачальників, і ми пропонуємо їм підтримку та навчання на національному рівні щодо того, як це робити».