NHS, bir BT ihbarcı tarafından yapılan “bakıyorum”, hasta verilerinin özel bir sağlık hizmeti sağlayıcısı içindeki güvenlik başarısızlıkları tarafından savunmasız kaldığı iddialarıdır.
Sanal sağlık hizmeti sağlayıcısı Medefef’e atıfta bulunan NHS hastalarının kişisel detayları, bir uygulama programlama arayüzü (API) güvenlik kusuru nedeniyle ortaya çıkarıldı.
Verilerin tehlikeye atıldığına ve güvenlik açığının giderildiğine dair bir kanıt yoktur, ancak Medefer API güvenlik kusurunun verileri hedeflenen bir saldırıya karşı savunmasız bıraktığını itiraf etti.
Medefer, NHS’nin E-Referral Sistemi (E-RS) aracılığıyla hastalara çevrimiçi randevular sunar. Bir hasta Medefer’e yönlendirildiğinde, firma, çevrimiçi danışmanlık sağlayan sağlık görevlileri için kullanılabilir hale getirmek için E-RS veya NHS omurgasından hasta verileri alır.
Sağlık sağlayıcısı, kusuru araştırmak için bağımsız bir güvenlik firması atadığını ve durum hakkında tavsiyelerde bulunmak için harici bir avukat atadığını, ancak ne zaman söylemediğini söyledi.
Kasım 2024’te keşfedilen Medefer API’sındaki güvenlik deliği, Medefer’in NHS’den verileri içeren dahili hasta kayıt sistemi hakkındaki verilerin API aracılığıyla kimlik doğrulama gerektirmeden erişilebileceği anlamına geliyordu.
Medefef CEO’su ve NHS danışmanı doktor Bahman Nedjat-Shokouhi, sorunun keşfedildikten sonraki 48 saat içinde düzeltildiğini, ancak güvenlik açığının ne kadar sürdüğünü bilmediğini söyledi.
Maruz kalan verilerin tam tıbbi kayıtlar olmadığını, ancak isimleri, adresleri, NHS numaralarını ve bazı doktorların notlarını içerdiğini itiraf ettiğini söyledi.
Bir yazılım test yüklenicisi olan WhistleBlower, şirket için çalışırken özel şirket sistemlerindeki güvenlik deliğini yönetimine bildirdiğini söyledi. Sorunun en az altı yıl olduğuna inandığını söyledi.
“Bilgisayar korsanları, daha fazla kötü niyetli etkinlik için para kazanılabilecek veya kullanılabilecek özel ve hassas bilgileri almak için bir dizi otomatik araç ve teknik kullanmayı hedefliyor. Kimlik doğrulaması gerekmediğinden, saldırganlar büyük miktarda veriyi, örneğin tüm hasta kayıtlarını eklemek için API’lara otomatik çağrılar yazabilirler ”diye ekledi.
NHS ve Medefer, muhbirin kimliğini biliyorlar, ancak bu hikayeden adını saklamasını istedi. Computer Weekly, Medefef çalışanları arasında güvenlik sorunlarının ciddiyetini ifade eden konuşmaların kanıtını gördü.
Sözleşme sona erdi
Bilgi uçağı şunları söyledi: “Önümüzdeki iki ay içinde tekrar tekrar yetiştirilen sistemlerin nasıl inşa edildiği, korunduğu ve konuşlandırıldığı ile ilgili birçok sorunu vurguladım. Yine, bunu CEO ile yükseltmek ve halka açık olmakla tehdit etmek aniden feshedildi. “
Nedjat-shokouhi, bu, muhbirin bırakılmasının nedeni olmadığını söyledi, ancak daha fazla yorum yapmayacak
Medefer’den yapılan bir açıklama şunları söyledi: “Hastalara ve diğer ilgili taraflara güvence sağlayabilmemiz için konuyu ciddiye alıyoruz. Şeffaflık amacıyla, Bilgi Komiseri Ofisi’ne (ICO) iddialar ve iletişim hatlarının açık olduğunu bildirdik. Ayrıca, dış veri uzmanlarının ve önde gelen ve genç avukatların yardımıyla bir şehir firması tarafından yürütülecek konuyla ilgili bağımsız bir soruşturma başlattık. “
Şirket şunları ekledi: “Bugüne kadar herhangi bir hasta verisinin tehlikeye atıldığına dair hiçbir kanıt bulamadık. Veri güvenliği ve hasta gizliliğinin en yüksek standartlarının onaylanmasını sağlamaya devam edeceğiz ve ICO’yu uygun şekilde güncel tutacağız. Herhangi bir zayıflık varsa, elbette ele alınacaklar. “
Sözleşmesi feshedildikten sonra, bilgi uçurucu geçen ay destek için NHS ile temasa geçti ve acilen onunla temasa geçmesini istedi, ancak Computer Weekly’ye verdiği demeçte.
Bilgisayar haftalık NHS ile temasa geçtikten sonra, bir sözcü şunları söyledi: “Medefer hakkında dile getirilen endişeleri araştırıyoruz ve uygunsa daha fazla işlem yapacağız. Bireysel NHS kuruluşları, tedarikçileri atarken hasta verilerini korumak için yasal sorumluluklarını ve ulusal veri güvenliği standartlarını karşıladıklarını ve bunun nasıl yapılması gerektiği konusunda destek ve eğitim sunmalarını sağlamalıdır.
NHS, Haftalık Haftalık 27 Şubat’ta iletişim kurduğunda Medefef güvenlik endişelerinin farkında değildi.
Medefer, API kusuru ve düzeltme hakkında bir rapor hazırlamak için bir güvenlik firması kiraladı, bu da rapor edilecek.
ICO, Medefer’in güvenlik sorunuyla ilgili soruşturmanın farkına vardığını ve bildirilen bir ihlal olmadığını söyledi. Computer Weekly, ICO’ya güvenlik açığı tarafından Medefer tarafından ne zaman bilgilendirildiğini sordu, ancak “bu ayrıntıyı sağlamayacağını” söyledi.
İçinde bütünlük ve etik
Medefer’in şimdi doğru olanı yaptığını göründüğünü söyleyen bilgi uçurma, Postane skandalının NHS, ICO ve Medefer tarafından yeterli olmadığını hissettiğinde konuşma kararını etkilediğini söyledi. “Bu bir sorumluluk, dürüstlük ve etik meselesi” dedi.
Hull Üniversitesi’nde profesör ve İngiliz Bilgisayar Topluluğu Etik Uzman Grubu Başkanı Neil Gordon, Postane skandalının BT personelinin işverenleri ve yetkilileri potansiyel sorunlara karşı uyarmada önemli rolünü vurguladığını söyledi.
“Postane Horizon skandalı, BT profesyonellerinin sorunları belirlediklerinde konuşmaları için kritik ihtiyacı açıkça gösterdi. Sessizliğin yıkıcı sonuçları, pek çok alt görevlinin maruz kaldığı adaletsizlikte belirgindir ”dedi.
“BT sistemlerine olan güvenimiz büyüdükçe – özellikle sağlık ve otonom araçlar gibi güvenlik açısından kritik alanlarda – uzmanlar sadece endişeleri dile getirme yetkisini değil, aynı zamanda yaptıkları zaman da duyulmalıdır.”
Gordon, örgütlerin onu bastırmak yerine iç incelemeyi memnuniyetle karşılayan bir kültürü teşvik etmesi gerektiğini söyledi.