Programvarufel på Firm lämnade NHS -data ”sårbara för hackare”

Ben Moriseditor, Technology of BusinessGetty Imagesmedefer hanterar cirka 1 500 hänvisningar per månad NHS är ”undersöker” anklagelser om att patientdata lämnades sårbara för hacking på grund av en mjukvarufel hos ett privat medicinskt företag. Felen hittades i november förra året på Medefer, som hanterar 1 500 NHS -patienthänvisningar en månad. Programvaruingenjören som upptäckte att bristen tror att problemet hade funnits i minst sex år. Medefer säger att det inte finns några bevis på att bristen hade funnits så länge och betonade att patientdata inte har komprometterats. Felen fixades några dagar efter att ha upptäckts. I slutet av februari beställde företaget en extern säkerhetsbyrå för att genomföra en översyn av dess datahanteringssystem. En NHS -talare sa: ”Vi undersöker de oroande för att göra med Medefer och kommer att ta ytterligare handlingar om det är vidare. och ger dessa kliniker tillgång till lämplig patientdata. Men mjukvarufelet, som upptäcktes i november, gjorde Medefer’s interna patientrekordsystem sårbara för hackare, sa ingenjören. Said. Said. Programvaruingenjören, som inte vill bli namngivna, var chockad av vad han avslöjade. ”När jag hittade det, jag tänkte bara” nej, det kan inte vara ”. andra. Ingenjören säger att på Medefer var dessa API: er inte ordentligt säkrade och kunde potentiellt ha åtkomst av utomstående, som skulle ha kunnat se patientinformation. Han sa att det var osannolikt att patientinformation togs från Medefer, men att utan en fullständig utredning kunde företaget inte ha känt säkert. ”Jag har arbetat i organisationer där, om något liknande hände, skulle hela systemet tas bort omedelbart,” sade han. På att upptäcka den bristen som ingenjören berättade för företaget att en extern cybersecurity -expert bör köpas i för att undersöka problemet, som han säger att företaget inte gjorde. var ”extremt öppen”. Medefer sa att det hade rapporterat frågan till ICO (informationskommissionärskontor) och CQC (Care Quality Commission), ”I intresset för öppenhet”, och att ICO hade bekräftat att det inte finns någon ytterligare åtgärder som det inte finns något bevis på en brytning. Den ingenjören, som hade blivit kontrakterade i oktober för att testa för Flaws i företagets programvara, lämnas inte företaget i en uttalande. VD för Medefer, sade: ”Det finns inga bevis för något patientdataöverträdelse från våra system.” Han bekräftade att bristen hade upptäckts i november och en fix utvecklades på 48 timmar. ”Säkerhetsbyrån har hävdat att anklagelserna senare. Dr Nedjat-Shokouhi tillade: ”Vi tar våra uppgifter till patienter och NHS mycket allvarligt. Vi har regelbundna externa säkerhetsrevisioner av våra system av oberoende externa säkerhetsbyråer, genomförda vid flera tillfällen varje år.” Getty Imageshuge mängder av medicinska uppgifter måste delas bland läkare och sjukhuscykler. ”Det finns möjligheten att Medefer lagrade data härrörande från NHS inte så säkert som man skulle hoppas att det skulle vara,” sade prof Alan Woodward, en cybersecurity -expert vid University of Surrey. ”Databasen kan vara krypterad och alla andra förutsägelser, men om det finns ett sätt att glite API: s auktorisation, alla som vet hur man kan få åtkomst,” han har åttnats. En annan expert påpekade att när Medefer hanterar mycket känsliga, medicinska data, borde företaget ha köpt in cybersecurity-experter så snart problemet identifierades. ”Även om företaget misstänkte att ingen information stulits, när man mötte en fråga som kunde ha resulterat i ett dataöverträdelse, särskilt med data om den aktuella, en utredning och bekräftelse från en lämplig kvalificerad CYBERSECURITY skulle vara rådgivande,” säger ”Sause, en sagt, en SAITME, en säkerhet, en utredning och bekräftelse från en lämplig kvalificerad CYBERSECURITY skulle vara rådgivande,” säger ”Sause, en sagt, en SAITME, en säkerhet, en utredning och bekräftelse från en lämplig kval Forskare.Medefer grundades 2013 av Dr Nedjat-Shokouhi, med ett mål att förbättra poliklinisk vård. Sedan dess har dess teknik använts av NHS -förtroenden över hela landet. I ett uttalande sade NHS -talesman sa att dessa förtroenden är ansvariga för sina kontrakt med den privata sektorn. ”Enskilda NHS -organisationer måste se till att de uppfyller sitt juridiska ansvar och nationella datasäkerhetsstandarder för att skydda patientdata när de utnämner leverantörer, och vi erbjuder dem stöd och utbildning nationellt om hur detta ska göras.”