Національна служба охорони здоров’я (NHS) “розглядає” звинувачення в тому, що дані пацієнтів залишалися вразливими до хакерських атак через програмну помилку у приватній медичній компанії Medefer.
Помилка була виявлена у листопаді минулого року в компанії Medefer, яка обробляє 1500 направлень пацієнтів NHS щомісяця.
Програміст, який виявив цю вразливість, вважає, що проблема існувала принаймні шість років. Medefer стверджує, що немає доказів того, що помилка була присутня такий тривалий час, та підкреслює, що дані пацієнтів не були скомпрометовані.
Проблема була виправлена через кілька днів після виявлення.
Наприкінці лютого компанія доручила зовнішній агентстві з безпеки провести огляд своїх систем управління даними.
Представник NHS заявив: “Ми розглядаємо занепокоєння, висловлені щодо Medefer, і вживаємо подальші заходи за необхідності.”
Система Medefer дозволяє пацієнтам записуватися на віртуальні прийоми до лікарів і надає цим лікарям доступ до відповідних даних пацієнтів.
Однак програмний баг, виявлений у листопаді, зробив внутрішню систему записів пацієнтів Medefer вразливою для хакерів, за словами інженера.
Інженер, який не хоче називати своє ім’я, був шокований тим, що він виявив. “Коли я це знайшов, я просто подумав: ‘Ні, це не може бути’.”
Проблема полягала у фрагментах програмного забезпечення, званих API (інтерфейси програмування додатків), які дозволяють різним комп’ютерним системам взаємодіяти одне з одним.
За словами інженера, в Medefer ці API не були належним чином захищені і потенційно могли бути доступні сторонніми особами, які змогли б бачити інформацію пацієнтів.
Він зазначив, що малоймовірно, що інформація пацієнтів була вкрадена з Medefer, але без повного розслідування компанія не могла знати цього напевно.
Інженер сказав, що в інших організаціях, де він працював, у разі подібних проблем система одразу ж зупинялася б.
Виявивши вразливість, інженер порадив компанії залучити зовнішнього експерта з кібербезпеки для розслідування проблеми, чого, за його словами, компанія не зробила.
Medefer стверджує, що зовнішнє агентство з безпеки підтвердило, що не має доказів будь-якого витоку даних і що всі дані компанії є зараз у безпеці.
За їх словами, процес розслідування й виправлення вразливості API був “дуже відкритим”.
Medefer повідомила про проблему до Управління інформації (ICO) та Комісії з якості охорони здоров’я (CQC) “в інтересах прозорості”, і зазначила, що ICO підтвердила, що немає підстав для подальших дій, оскільки немає доказів витоку.
Інженер, який був контрактором у жовтні для тестування на вразливості програмного забезпечення компанії, залишив компанію в січні.
У заяві доктор Бахман Неджат-Шокухі, засновник і генеральний директор Medefer, заявив: “Немає доказів витоку даних пацієнтів з наших систем”.
Він підтвердив, що вразливість була виявлена у листопаді, і виправлення було розроблено протягом 48 годин.
“Зовнішнє агентство з безпеки підтвердило, що звинувачення в тому, що ця вразливість могла надати доступ до великої кількості даних пацієнтів, є категорично неправдою.”
Зовнішнє агентство з безпеки завершить своє розслідування на цьому тижні.
Доктор Неджат-Шокухі додав: “Ми дуже серйозно ставимося до наших обов’язків перед пацієнтами та NHS. Ми регулярно проводимо зовнішні аудити безпеки наших систем незалежними агентствами безпеки, які здійснюються багаторазово щорічно.”
Експерти з кібербезпеки, які ознайомилися з інформацією, наданою програмістом, висловили своє занепокоєння.
“Є ймовірність, що Medefer зберігала дані, отримані від NHS, не так надійно, як хотілося б,” – зазначив професор Алан Вудворд, експерт з кібербезпеки з Університету Суррею.
“База даних може бути зашифрована і вжито всі інші запобіжні заходи, але якщо існує спосіб обійти авторизацію API, будь-хто, хто знає як, може отримати доступ,” – додав він.
Інший експерт наголосив, що оскільки Medefer працює з чутливими медичними даними, компанії слід було залучити експертів з кібербезпеки, щойно проблема була виявлена.
“Навіть якщо компанія підозрювала, що жодні дані не були вкрадені, при виникненні проблеми, яка могла призвести до витоку даних, особливо з урахуванням чутливого характеру даних, слід було б провести розслідування та підтвердження від відповідного кваліфікованого експерта з кібербезпеки,” – зазначив Скотт Хелм, дослідник безпеки.
Medefer була заснована у 2013 році доктором Неджат-Шокухі з метою покращення амбулаторного лікування. Відтоді її технології використовуються NHS у різних регіонах країни.
Представник NHS зазначив, що ці установи відповідають за свої контракти з приватним сектором.
“Окремі організації NHS повинні забезпечити виконання своїх юридичних відповідальностей і національних стандартів безпеки даних, щоб захистити дані пацієнтів при призначенні постачальників, і ми пропонуємо їм підтримку та навчання на національному рівні щодо того, як це має бути зроблено.”
