Podaci o pacijentu NHS-a ostali su ranjivi po manu u aplikacijskom programiranju interfejsa koji se koristi na mrežnom pružatelju zdravstvenih usluga Medefer
Od
- Karl Flinders,Glavni reporter i viši editor EMEA
Objavljeno: 05. marta 2025. 15:00
NHS je “looking into” Tvrdnje koje su izvršili zviždač koji su podaci o pacijentu ostavili ranjivi po sigurnosnim neuspjehom unutar privatnog zdravstvenog dobavljača.
Osobni detalji NHS pacijenata koji se odnose na virtualni pružatelj zdravstvenih usluga Medefer bili su izloženi zbog sigurnosne propusnosti aplikacijskog programiranja (API).
Nema dokaza da su podaci ugroženi i ranjivost je utvrđena, ali Medefer je priznao da je API sigurnosni nedostaci napustio podatke o ugroženim napadom.
Medefer nudi pacijente putem interneta putem NHS-ovog sistema za e-upućivanje (E-RS). Kada se pacijent uputi na Medefer, firma prima podatke o pacijentu iz E-RS-a ili NHS kralježnice kako bi ga omogućila liječnicima, koji pružaju mrežne savjetovanja.
Dobavljač zdravstvene zaštite rekao je da je imenovao nezavisnu sigurnosnu firmu za istraživanje mana i vanjskog branioca da savjetuju situaciju, ali nije rekao kada.
Sigurnosna rupa u Medefer API-u, koja je otkrivena u novembru 2024. godine, značila je da su podaci o Medeferovom internom sistemu pacijenta, koji sadrži podatke iz NHS-a, mogu se pristupiti bez potrebe za provjerom autentičnosti, putem API-ja.
Medefer CEO i NHS konsultant Doktor Bahman Nedjat-Shokouhi rekao je da je problem utvrđen u roku od 48 sati od otkrića, ali priznao je da ne zna koliko je postojala ranjivost.
Rekao je da izloženi podaci nisu puni medicinski karton, ali su priznali da je uključena imena, adrese, NHS brojeve i neke bilješke o nekim ljekarima.
Zviždač, izvođač softverskih testiranja, rekao je da je izvijestio o sigurnosnoj rupi u sistemima privatne kompanije u svom upravljanju, radeći za kompaniju. Rekao je da vjeruje da je problem postojao najmanje šest godina.
“Hakeri ciljaju ranjivosti kao što su ovo koristeći automatizirane alate i tehnike za dohvaćanje privatnih i osjetljivih podataka koje bi se mogle umanjiti ili koristiti za daljnje zlonamjerne aktivnosti na API-je da bi se exfiltrattrat trazirali velike količine podataka, na primjer sve zapise pacijenta”, dodao je sve zapise pacijenta.
NHS i Medefer znaju identitet zvižduka, ali zatražio je da odbije svoje ime iz ove priče. Kompjuterski tjednik je vidio dokaze o razgovorima između Medefer zaposlenika koji izražavaju ozbiljnost sigurnosnih problema.
Ugovor je prekinut
Zviždač je rekao: “Našao sam niz drugih ranjivosti i istaknuo mnoga pitanja kako su izgrađeni sustavi, održavani i raspoređeni, koji su se više puta postavili u naredna dva mjeseca. Postavljajući ovo sa generalnim direktorom i prijetnjama da ću javno ugovor naglo.”
Nedjat-Shokouhi je rekao da to nije razlog zbog kojeg je zviždač pušta, ali ne bi dodatno komentirao
Izjava iz Medefera rekao je: “Ozbiljno vodimo ouručanost pacijentima i drugim zainteresovanim stranama. U interesu transparentnosti smo obavijestili da su u navodu i Crnije komunikacije navode u pitanje gradske firme od strane zavodnika za pomoć stručnjacima za vanjske podatke i vodećih i juniorskih branitelja.”
Kompanija je dodala: “Do danas, nije bilo dokaza da su bilo koji podaci o pacijentu. Nastavit ćemo osigurati da se iCO ažurira, naravno da će se iCO ažurirati, naravno da se naravno, naravno.”
Nakon što je njegov ugovor prestao, zviždač je za podršku kontaktirao NHS-a za podršku i zatražio da ga on hitno kontaktira, ali nije primio potvrdu ili odgovor, rekao je na kompleksu.
Nakon što se računar nedjeljni kontaktiralo, portparol je rekao: “Mi ćemo se zabrinuti zabrinute o Medeferu i poduzeti daljnje djelovanje u skladu sa svojim pravnim odgovornostima i nacionalnim podacima o sigurnosnim standardima za zaštitu dobavljača, a nudimo im podršku i usavršavajući na nacionalnoj pomoći.”
NHS nije bio svjestan metefer sigurnosnih zabrinutosti kada je računar sedmično kontaktirao 27. februara.
Medefer je angažirao sigurnosnu firmu za proizvodnju izvještaja o mana i popravljanju API-e, što bi trebalo da izveštava.
ICO je potvrdio Medefer učinio je svjestan istrage sigurnosnog problema i rekao je da nije bilo prijavljenog kršenja. Računar je sedmično pitao ICO kada ga je informisao medefer ranjivosti, ali rekao je da “ne bi pružio tu detalje”.
Integritet i etika u njemu
Zviždač, koji je rekao da izgleda da medefer sada radi ispravno, rekao je da je skandal poštu uticala na svoju odluku da govori kad se ne smatra da nije dovoljno, ICO i Medefer. “To je pitanje odgovornosti, integriteta i etike”, rekao je.
Neil Gordon, profesor na Hulu i predsjedavajući etičkim specijalističkom grupom britanskog računarskog društva, rekao je da je skandal poštu istaknula važnu ulogu koju IT osoblje ima u opravdanju poslodavaca i vlasti na potencijalne probleme.
“Skandal horizonskog pošti u kancelariji je pokazao kritičnu potrebu za IT profesionalcima da razgovaraju kada identificiraju probleme. Destruktivne posljedice tišine očite su u nepravdu koja je patela toliko sudskih gradova”, rekao je za kompjuterski tjednik.
“Kao što se naše oslanjanje na IT sisteme raste – posebno u kritičnim područjima poput zdravstvene zaštite i autonomnih vozila – specijalisti se ne smiju samo da se osnažuju za podizanje zabrinutosti, ali i čuju se i kada se čuju.”
Gordon je rekao da organizacije trebaju poticati kulturu koja pozdravlja interni nadzor, a ne suzbijajući ga.
Pročitajte više o zdravstvu i nhs to
-
Napredni softver novčano je novčano kažnjen u iznosu od £ 3 m preko napada Lockbita
Napisao: Alex Scroxton
-
Glavni službenici podataka NHS-a koji se tiču izlaska FDP-a
Napisao: Lis Evenstad
-
Svježa zabrinutost zbog NHS England Regies Nabavka
Napisao: Alex Scroxton
-
Napredna lica fino preko napada zaključavanja koji je osakaćen NHS 111
Napisao: Alex Scroxton