Editor
Imagem gettyO NHS “procurou” alegações de que os pacientes estavam em risco de invadir dados dos pacientes devido a defeitos de software em uma agência de serviços médicos privados.
O defeito foi encontrado no Medipar em novembro passado, que opera 1.500 pacientes com NHS na Inglaterra em um mês.
O engenheiro de software que descobriu o erro acredita que o problema existia por pelo menos seis anos.
Medipar diz que não há evidências de que o erro tenha sido crônico e enfatizou que os dados do paciente não foram comprometidos.
O erro foi corrigido alguns dias após a descoberta.
Até o final de fevereiro, a Companhia encomendou uma agência de segurança externa para revisar uma revisão de seus sistemas de gerenciamento de dados.
Um porta -voz do NHS disse: “Estamos procurando ansiedade levantada sobre o Medipar e tomaremos mais ações, se apropriado”.
O sistema Medipar permite que os pacientes marquem a nomeação virtual com médicos e esses médicos dê acesso aos dados apropriados do paciente.
No entanto, o buggy de software descobriu em novembro enfraquecer o sistema de registros do paciente interno do Medipar para hackers, disse o engenheiro.
O engenheiro de software que não queria citar ficou chocado ao ver o que descobriu.
“Quando peguei, eu apenas pensei ‘não, não pode ser'” “”
O problema estava em bits de software conhecido como APIs (Application Programming Interface), que permite que diferentes sistemas de computador conversem entre si.
O engenheiro diz que essas APIs não estavam adequadamente protegidas no Medipar e poderiam ser acessíveis por externalidades, que foram capazes de ver as informações do paciente.
Ele disse que era menos provável que o paciente fosse retirado das informações do paciente, mas sem toda a investigação, a empresa não poderia ter certeza.
“Trabalhei em agências em que todo o sistema seria retirado imediatamente se algo assim acontecesse”, disse ele.
Depois de descobrir o erro, o engenheiro disse à agência que o problema deve ser levado a um especialista em ciberquaca externo para investigar o problema, que ele disse que a empresa não o havia feito.
A Medipar diz que a agência de segurança externa confirmou que não encontrou nenhuma evidência de violação de dados e todos os sistemas de dados da empresa estavam atualmente garantidos.
Diz que o processo de investigar e corrigir o erro da API foi “extremamente aberto”.
A Medipher disse que era a OIC (escritório do Comissário da Informação) e a SecuC (Comissão de Qualidade de Cuidados), “no interesse da transparência” e a OIC confirmou que nenhuma ação não era necessária para receber qualquer evidência de qualquer violação.
O engenheiro, que foi contratado em outubro, deixou a empresa em janeiro para verificar o erro no software da empresa.
O Dr. Bahman, fundador e CEO da Medipar, disse em comunicado: “Não há evidências da violação de dados de qualquer paciente do nosso sistema”.
Ele confirmou que o erro foi descoberto em novembro e uma correção foi criada dentro de 48 horas.
“A agência de proteção externa apreendeu que a alegação de que esse erro pode fornecer acesso a pacientes com grandes quantidades de alegações é claramente falsa”.
A agência de segurança terminará sua revisão no final desta semana.
O Dr. Nedat-Shukuhi acrescentou: “Levamos nossas responsabilidades muito a sério com pacientes e NHS.
Imagem gettyEspecialistas em sérias cibernéticas expressaram suas preocupações pelo engenheiro de software.
“Existe a possibilidade de esperar que não se espera que os dados armazenados do Medipa do NHS sejam tão seguros”, disse o professor Alan Woodward na Universidade de Surrey.
“O banco de dados pode ser criptografado e todas as outras precauções podem ser tomadas, mas se houver alguma maneira de confundir a aprovação da API, alguém sabe como obter acesso ao possível”, acrescentou.
Outro especialista observou que, como a Medipher trabalha com dados médicos, a empresa deveria ter vindo com especialistas em cibercata assim que o problema foi identificado.
“Mesmo que a empresa suspeite que qualquer informação não tenha sido roubada, será aconselhável investigar e confirmar o especialista em ciberquaca adequadamente qualificado, especialmente com dados da natureza diante de um problema”, disse Scott Helme, disse um pesquisador de segurança.
A Medipar fundou o Dr. Nedat-S-S-S-S-S-S-S-S-S-S-S-S-S-S-S-Shokuhi em 2013, com o objetivo de melhorar o atendimento de pacientes externos. Desde então, sua tecnologia tem sido usada pelo NHS Trust em toda a Inglaterra.
Em um comunicado, o porta -voz do NHS disse que essas relações de confiança eram responsáveis por seu contrato com o setor privado.
“As empresas separadas do NHS devem confirmar que atendem às suas responsabilidades legais e aos padrões nacionais de proteção de dados para proteger os dados do paciente enquanto recrutavam os fornecedores, e oferecemos apoiações e treinamento nacionalmente sobre como fazê -lo”.
