إن NHS هو “النظر في” الادعاءات التي قدمها مصارعة تقنية المعلومات التي تفيد بأن بيانات المريض قد تركت عرضة للخطر بسبب فشل الأمن داخل مقدم الرعاية الصحية الخاص.
تعرضت التفاصيل الشخصية لمرضى NHS المشار إليها إلى مزود الرعاية الصحية الظاهري Medefer بسبب واجهة برمجة التطبيق (API) عيب أمني.
لا يوجد أي دليل على أن البيانات قد تم اختراقها وأن الضعف قد تم إصلاحه ، لكن Medefer اعترف بأن عيب أمان API ترك البيانات عرضة للهجوم المستهدف.
يقدم Medefer مواعيد للمرضى عبر الإنترنت من خلال NHS نظام المرجع الإلكتروني (E-RS). عندما تتم إحالة المريض إلى Medefer ، تتلقى الشركة بيانات المريض من E-RS أو العمود الفقري NHS لإتاحتها للمسعفين ، الذين يقدمون استشارات عبر الإنترنت.
وقال مقدم الرعاية الصحية إنها عينت شركة أمنية مستقلة للتحقيق في العيب ومحامي خارجي لتقديم المشورة بشأن الموقف ، لكنها لم تقل متى.
تعني ثقب الأمان في Medefer API ، الذي تم اكتشافه في نوفمبر 2024 ، بيانات عن نظام سجل المريض الداخلي الخاص بـ Medefer ، والذي يحتوي على بيانات من NHS ، يمكن الوصول إليها دون الحاجة إلى المصادقة ، عبر واجهة برمجة التطبيقات.
الرئيس التنفيذي لشركة Medefer ومستشار NHS بهمان نيدجات شوكوهي قال تم إصلاح المشكلة في غضون 48 ساعة من اكتشافها ، لكنه اعترف بعدم معرفة المدة التي كانت فيها الضعف.
وقال إن البيانات المكشوفة لم تكن سجلات طبية كاملة ولكنها اعترفت بأنها تضمنت أسماء وعناوين وأرقام NHS وبعض ملاحظات الأطباء.
وقال The Whistleblower ، وهو مقاول اختبار البرمجيات ، إنه أبلغ عن ثقب الأمن في أنظمة الشركة الخاصة لإدارتها ، أثناء العمل لدى الشركة. وقال إنه يعتقد أن المشكلة موجودة لمدة ست سنوات على الأقل.
“يستهدف المتسللين نقاط الضعف مثل هذا باستخدام مجموعة من الأدوات والتقنيات الآلية لاسترداد المعلومات الخاصة والحساسة التي يمكن استثمارها أو استخدامها لمزيد من النشاط الضار. نظرًا لعدم الحاجة إلى أي مصادقة ، يمكن للمهاجمين نص المكالمات الآلية إلى واجهات برمجة التطبيقات للاختبار كميات كبيرة من البيانات ، على سبيل المثال جميع سجلات المرضى “.
يعرف NHS و Medefer هوية المبلغين عن المخالفات ، لكنه طلب حجب اسمه من هذه القصة. شهدت الكمبيوتر أسبوعيًا أدلة على المحادثات بين موظفي Medefer الذين يعبرون عن خطورة المشكلات الأمنية.
تم إنهاء العقد
قال المبلغين عن المخالفات: “لقد وجدت عددًا من نقاط الضعف الأخرى وأبرزت العديد من القضايا حول كيفية بناء الأنظمة ونشرها ونشرها ، والتي أثيرت مرارًا وتكرارًا خلال الشهرين المقبلين. على ذلك ، مرة أخرى ، تم رفع هذا الأمر مع الرئيس التنفيذي والتهديد بالجمهور على انتهاء عقدتي فجأة “.
قال Nedjat-Shokouhi هذا لم يكن السبب في أن المبلغين عن المخالف
وقال بيان من Medefer: “نحن نأخذ الأمر على محمل الجد حتى نتمكن من تقديم الطمأنينة للمرضى والأطراف المهتمة الأخرى. من أجل الشفافية ، قمنا بإخطار مكتب مفوض المعلومات (ICO) بادعاءات وخطوط الاتصالات مفتوحة. لقد قمنا أيضًا بتكليف تحقيق مستقل في الأمر الذي تتم من قبل شركة من المحامين في المدينة بمساعدة خبراء البيانات الخارجيين والمستشارين الرئيسيين والمبتدئين. “
وأضافت الشركة: “حتى الآن ، لم نجد أي دليل على أن أي بيانات مريض قد تعرض للخطر. سنستمر في ضمان زيادة معايير أمن البيانات وسرية المريض وسنحافظ على تحديث ICO ، حسب الاقتضاء. إذا تم العثور على أي نقاط ضعف ، فسيتم معالجتها بالطبع “.
بعد أن تم إنهاء عقده ، اتصل المبلغين عن NHS الشهر الماضي للحصول على الدعم وطلب الاتصال به بشكل عاجل ، لكنه لم يتلق أي اعتراف أو استجابة ، كما أخبر Computer Weekly.
بعد الاتصال بـ Computer Week مع NHS ، قال متحدث باسم: “نحن نبحث في المخاوف التي أثيرت بشأن Medefer وسوف تتخذ المزيد من الإجراءات إذا كان ذلك مناسبًا. يجب على منظمات NHS الفردية ضمان مواجهة مسؤولياتها القانونية ومعايير أمن البيانات الوطنية لحماية بيانات المريض عند تعيين الموردين ، ونقدم لهم الدعم والتدريب على الصعيد الوطني على كيفية القيام بذلك”.
لم يكن NHS على دراية بمخاوف Medefer Security عندما اتصلت بها Computer Week في 27 فبراير.
قام Medefer بتعيين شركة أمنية لإنتاج تقرير عن عيب API وإصلاحه ، والذي من المقرر أن يقدم تقاريرًا.
أكدت ICO Medefer إدراكها للتحقيق في المشكلة الأمنية وقالت إنه لم يتم الإبلاغ عن خرق. سأل الكمبيوتر أسبوعيًا ICO عندما أبلغت ميدفر بالضعف ، لكنه قال إنها “لن توفر هذه التفاصيل”.
النزاهة والأخلاق فيه
وقال المبلغين عن المخالفات ، الذي قال إنه يبدو أن ميدفر يفعل الآن الشيء الصحيح ، إن فضيحة مكتب البريد أثرت على قراره بالتحدث عندما شعر أنه لم يكن كافياً من قبل NHS و ICO و Medefer. وقال “إنها مسألة المسؤولية والنزاهة والأخلاق”.
نيل جوردون ، أستاذ في جامعة هال وقال رئيس مجموعة الأخلاقيات في جمعية الأخلاقيات التابعة لجمعية الكمبيوتر البريطانية ، إن فضيحة مكتب البريد قد أبرزت الدور المهم الذي يلعبه موظفو تكنولوجيا المعلومات في تنبيه أصحاب العمل والسلطات للمشاكل المحتملة.
“لقد أظهرت فضيحة أفق مكتب البريد بشكل صارخ الحاجة الماسة لمحترفي تكنولوجيا المعلومات للتحدث عندما يحددون المشكلات. وقال لـ Computer Weekly:
“مع زيادة اعتمادنا على أنظمة تكنولوجيا المعلومات – خاصة في المجالات الحرجة للسلامة مثل الرعاية الصحية والمركبات ذاتية الحكم – يجب ألا يشعر المتخصصون فقط بالسلطة في إثارة المخاوف ولكن أيضًا يسمعون عندما يفعلون”.
وقال جوردون إن المنظمات يجب أن تعزز ثقافة ترحب بالتدقيق الداخلي ، بدلاً من قمعها.
