Az NHS “vizsgálja” azokat az állításokat, amelyek szerint a betegadatokat egy magán orvosi szolgáltatásokat nyújtó cég szoftverhibája miatt sebezhetővé tették a hackerekkel szemben.

A hibát tavaly novemberben fedezték fel a Medefernél, amely havonta 1500 NHS-beteg beutalót kezel.

A hibát felfedező szoftvermérnök szerint a probléma már legalább hat éve fennállt.

A Medefer szerint nincs bizonyíték arra, hogy a hiba ilyen régóta fennállt volna, és hangsúlyozta, hogy a betegadatok nem kerültek veszélybe.

A hibát a felfedezés után néhány nappal kijavították.

Február végén a vállalat megbízott egy külső biztonsági ügynökséget, hogy vizsgálja felül adatkezelési rendszereit.

Az NHS szóvivője elmondta: “Megvizsgáljuk a Medeferrel kapcsolatban felmerült aggályokat, és szükség esetén további lépéseket teszünk”.

A Medefer rendszere lehetővé teszi a betegek számára, hogy virtuális időpontokat foglaljanak az orvosoknál, és hozzáférést biztosít ezeknek a klinikusoknak a megfelelő betegadatokhoz.

A novemberben felfedezett szoftverhiba azonban sebezhetővé tette a Medefer belső betegnyilvántartó rendszerét a hackerekkel szemben – mondta a mérnök.

A magát megnevezni nem kívánó szoftvermérnököt sokkolta, amit felfedezett.

“Amikor megtaláltam, csak arra gondoltam, hogy ‘nem, ez nem lehet'”.

A probléma az API-knak (alkalmazásprogramozási interfészek) nevezett szoftverrészletekben volt, amelyek lehetővé teszik, hogy a különböző számítógépes rendszerek kommunikáljanak egymással.

A mérnök szerint a Medefernél ezek az API-k nem voltak megfelelően biztosítva, és potenciálisan kívülállók is hozzáférhettek volna, akik így betekinthettek volna a betegadatokba.

Szerinte nem valószínű, hogy a Medeferből betegadatokat vittek el, de teljes körű vizsgálat nélkül a vállalat nem tudhatta biztosan.

“Dolgoztam már olyan szervezetekben, ahol, ha ilyesmi történt volna, az egész rendszert azonnal leállították volna” – mondta.

A hiba felfedezése után a mérnök azt mondta a vállalatnak, hogy egy külső kiberbiztonsági szakértőt kellene bevonni a probléma kivizsgálására, amit a vállalat szerinte nem tett meg.

A Medefer szerint a külső biztonsági ügynökség megerősítette, hogy nem talált bizonyítékot az adatok megsértésére, és hogy a vállalat összes adatrendszere jelenleg biztonságos.

A vállalat szerint az API-hiba kivizsgálásának és kijavításának folyamata “rendkívül nyitott” volt.

A Medefer azt mondta, hogy “az átláthatóság érdekében” jelentette a problémát az ICO-nak (Information Commissioner’s Office) és a CQC-nek (Care Quality Commission), és hogy az ICO megerősítette, hogy nincs szükség további lépésekre, mivel nincs bizonyíték a jogsértésre.

A mérnök, akit októberben szerződtettek, hogy a cég szoftverének hibáit tesztelje, januárban távozott a cégtől.

Dr. Bahman Nedjat-Shokouhi, a Medefer alapítója és vezérigazgatója nyilatkozatában elmondta: “Nincs bizonyíték arra, hogy a rendszereinkből bármilyen betegadat sérült volna”.

Megerősítette, hogy a hibát novemberben fedezték fel, és 48 órán belül kifejlesztették a javítást.

“A külső biztonsági ügynökség azt állította, hogy kategorikusan hamis az az állítás, miszerint ez a hiba hozzáférést biztosíthatott volna nagy mennyiségű betegadathoz.”

A biztonsági ügynökség még ezen a héten befejezi a vizsgálatot.

Dr. Nedjat-Shokouhi hozzátette: “Nagyon komolyan vesszük a betegek és az NHS iránti kötelezettségeinket. Rendszereink rendszeres külső biztonsági ellenőrzését független külső biztonsági ügynökségek végzik, amelyeket minden évben több alkalommal is elvégeznek.”

A kiberbiztonsági szakértők, akik megnézték a szoftverfejlesztő által szolgáltatott információkat, aggodalmuknak adtak hangot.

“Fennáll annak a lehetősége, hogy a Medefer nem olyan biztonságosan tárolta az NHS-ből származó adatokat, mint ahogy azt remélnénk” – mondta Alan Woodward professzor, a Surrey Egyetem kiberbiztonsági szakértője.

“Lehet, hogy az adatbázis titkosítva van, és minden más óvintézkedést megtettek, de ha van mód az API-engedélyezés megzavarására, bárki, aki tudja, hogyan, potenciálisan hozzáférhet” – tette hozzá.

Egy másik szakértő rámutatott, hogy mivel a Medefer rendkívül érzékeny, orvosi adatokkal foglalkozik, a vállalatnak kiberbiztonsági szakértőket kellett volna bevonnia, amint a problémát észlelték.

“Még ha a vállalat gyanította is, hogy nem loptak el adatokat, ha olyan problémával szembesül, amely adatvédelmi incidenshez vezethetett volna, különösen a szóban forgó jellegű adatok esetében, tanácsos lenne egy megfelelően képzett kiberbiztonsági szakértő vizsgálata és megerősítése” – mondja Scott Helme biztonsági kutató.

A Medefert 2013-ban alapította Dr. Nedjat-Shokouhi, azzal a céllal, hogy javítsa a járóbeteg-ellátást. Azóta technológiáját az NHS trösztök az egész országban használják.

Az NHS szóvivője közleményében azt mondta, hogy ezek a trösztök felelősek a magánszektorral kötött szerződéseikért.

“Az egyes NHS-szervezeteknek biztosítaniuk kell, hogy a beszállítók kijelölésekor eleget tegyenek a jogi kötelezettségeiknek és a nemzeti adatbiztonsági előírásoknak a betegadatok védelme érdekében, és mi országos szinten támogatást és képzést nyújtunk számukra arról, hogyan kell ezt megtenni.”