Milyonlarca hastanın sağlık bilgilerini tutan kayıtlardan sorumlu bir grup NHS klinisyeni, temel BT güvenlik önlemlerinin ihmal edildiğini iddia ettikleri bir NHS İngiltere projesi aracılığıyla büyük bir veri ihlali riski konusunda uyarıda bulunuyor.
Sonuç Kayıtları Platformu (ORP) kurma programı, NHS dışında çok az ilgi gördü; ancak tamamlandığında, şu anda ayrı tutulan, birbirinden farklı, son derece hassas, özel kategori veri kümelerinden oluşan 30’dan fazla klinik kayıt, tek bir merkezileştirilmiş veri kümesine taşınacak. hasta bakımının iyileştirilmesi amacıyla depo.
Ancak ORP’ye şu anda güvenli Sağlık ve Sosyal Bakım Ağı (HSCN) üzerinde yer almak yerine halka açık internet aracılığıyla erişilebilmektedir ve NHS güvenlik protokollerinin gerektirdiği çok faktörlü kimlik doğrulama (MFA) tarafından korunmamaktadır.
Bu, bir kullanıcıya kimlik avı yaparak veya kullanıcıyı bilgi çalan kötü amaçlı yazılım indirmeye kandırarak geçerli bir kimlik bilgisi elde edebilen bir tehdit aktörünün hasta verilerine erişebileceği anlamına gelir. Hatta bir eşleşme elde edene kadar olası kullanıcı adı ve şifrelerin birden fazla varyasyonunu deneyerek kaba kuvvet saldırıları bile gerçekleştirebilirler.
ORP birden fazla kaydı asimile ettikten sonra tehlikeye girerse, kanser hastaları, organ nakli alıcıları, büyük travmalar, yanıklar veya omurilik yaralanmaları nedeniyle bakım gören kişiler, doğuştan rahatsızlıklarla yaşayanlar da dahil olmak üzere milyonlarca hastanın verileri etkilenecektir. kistik fibroz veya yarık dudak ve damak gibi kişiler ve HIV gibi yaşamı değiştiren koşullarla yaşayanlar.
ORP programının gidişatıyla ilgilenen bir grup kayıt lideri sağlık profesyoneli ve teknoloji uzmanından oluşan Klinik Kayıtlar Federasyonu (FCR) tarafından uyarı zilleri çalıyor.
Bir FCR temsilcisi şunları söyledi: “Bu yıl yayına giren platform, iki faktörlü kimlik doğrulama (2FA) olmadan internete yerleştirildi ve bu, sistemden çok önce, geçen yılın ortasından bu yana yürürlükte olan NHS güvenlik politikalarına aykırıdır. canlı yayına geçti. NHS’nin tüm sistemlerde 2FA’ya sahip olması özel bir politikadır ve bu, NHS verilerini gereksiz riske maruz bırakan hatalı tek platform stratejileri nedeniyle internette de bulunmasına rağmen.”
Veri ihlali
FCR, ORP’ye neler olabileceğine örnek olarak Manchester Üniversitesi’ne düzenlenen bir siber saldırı sırasında Travma Denetim ve Araştırma Ağı’nın (TARN) 2023’te gerçekleşen veri ihlaline işaret etti.
“NHS İngiltere bu işin içindeydi [incident] aynı zamanda milyonlarca hasta kaydının tehlikeye girmesine neden oldu. İhlal riski konusunda uyarıldılar ancak harekete geçmediler. Yani, bir ihlal riski olduğunu biliyorlar, bu ihlalin olduğunu açıkça biliyorlar ve sonra gidip ORP kaydını internete koyuyorlar, buna yeniden geliştirilen TARN kaydı da dahil (artık NMTR olarak yeniden adlandırılıyor), 2FA olmadan ve diğer güvenlik sorunları,” dedi FCR temsilcisi.
FCR ayrıca potansiyel ORP kullanıcılarının incelenmesiyle ilgili daha fazla güvenlik endişesine de değindi.
“Kullanıcı kaydı ve doğrulaması, güvenli olmayan e-postayla aktarılan kişisel verileri içeren Excel elektronik tabloları kullanılarak e-posta yoluyla yönetiliyor. Şifreler, herhangi bir iki faktörlü doğrulama işlemine gerek kalmadan kullanıcılara e-posta yoluyla gönderiliyor. Hükümet yönergeleri, eyalet sistemlerinin bunu asla yapmaması gerektiğini çünkü bu güvenli bir kanal olmadığını gösteriyor. Kullanıcılar hangi kayıtlara erişmek istediklerini ve hangi düzeyde erişim istediklerini belirleyebilirler. Kullanıcıların toplu ön kayıtları da gerçekleşiyor. FCR temsilcisi, tüm sürecin yıkıma tamamen açık olduğunu söyledi.
“Hastalar, verilerinin bu şekilde yönetilmesinden haklı olarak son derece endişe duyacaktır. Hasta verilerini korumak için ORP yazılım platformu, platform tamamen incelenene ve güvenlik sorunları giderilene kadar derhal geçerli olmak üzere kaldırılmalıdır.”
Başlangıçta tıbbi cihazlarla ilgili veriler için bir kayıt defteri olarak kurulan eleştirmenler, ORP’nin kapsamının orijinal kapsamının çok ötesine genişletildiğini de söyledi.
Bir NHS İngiltere sözcüsü şunları söyledi: “Cihazların ve implantların takip edilmesi ve izlenmesi hasta güvenliği açısından çok önemlidir. NHS İngiltere, siber güvenlik ve veri korumada en yüksek standartları karşılamaya kararlıdır ve Sonuç Kayıtları Platformu da tüm uygun güvenlik standartlarını karşılamaktadır.”
Güvenlik SORULARI
FCR, Computer Weekly’ye, ORP projesinin kıdemli sorumlu sahibi (SRO), NHS İngiltere’de klinik iyileştirme ve seçmeli iyileşmeden sorumlu ulusal direktör Tim Briggs’e yönelttiği soruların yanıtlarını sağladı.
ORP çalışması için gerekli tüm NHS güvenlik ve bilgi yönetişimi (IG) süreçlerinin doğru bir şekilde takip edilip edilmediği sorulduğunda yanıt şöyle oldu: “Tüm NHS İngiltere güvenlik ve IG süreçleri takip edildi ve gerçekleştirilen Sonuç ve Kayıtlar Programı çalışması için tamamlandı. tarih.”
NHS İngiltere, ORP’nin ilgili siber güvenlik kimlik bilgilerine göre test edildiğini ve tedarikçisinin ilgili güvenlik standartlarına uyduğunu söyledi. Kuruluş, ORP sözleşmesi imzalandığında MFA’nın dışarıya dönük internet tabanlı sistemler için bir gereklilik olmadığını ancak MFA’nın artık eklendiğini ve Temmuz ayında uygulamaya geçeceğini iddia etti.
FCR, Temmuz ayının başlamasına iki haftadan az bir süre kala, MFA ile ilgili ORP’de yapılacak değişiklikler hakkında herhangi bir kullanıcının bilgilendirildiğinin farkında olmadığını söyledi.
ORP programı derinlemesine
Başlangıçta tıbbi cihazlar sonuç ve kayıt programı (MDORP) olarak bilinen ORP projesinin biraz karmaşık bir geçmişi var.
Bunu kurma yönündeki ilk karar, tıbbi kazalara ilişkin iki ayrı soruşturmanın ardından alındı: binden fazla kadını gereksiz göğüs ameliyatına maruz bıraktığı için 20 yıl hapis cezasını çeken sahtekar cerrah Ian Paterson’un işlediği suçlara ilişkin Paterson Soruşturması; ve sarkma ve idrar kaçırma ameliyatlarında kullanılan sentetik ağın güvenliğini araştıran Bağımsız İlaçlar ve Tıbbi Cihazlar Güvenlik İncelemesi (IMMDSR) veya Cumberledge Raporu.
IMMDSR’nin temel tavsiyeleri arasında hastalara implante edilen veya verilen tüm tıbbi cihazlara ilişkin verileri ve hasta ve prosedür bilgilerini kaydetmek için bir Tıbbi Cihaz Bilgi Sisteminin (MDIS) oluşturulması yer aldı. Bu veriler şu anda bir dizi klinik kayıtta tutulmaktadır.
2021’de hükümetin IMMDSR’ye verdiği yanıt, tavsiyeyi kabul etti ve MDIS’in oluşturulması çağrısında bulundu, ancak bunun klinik kayıtlarda tutulan mevcut veri kümelerini kullanmak dışında nasıl yapılacağını söylemedi.
NHS Digital – o zamanlar olduğu gibi – MDIS’i oluşturmak üzere yönlendirildi ve daha sonra Cerrahi Cihazlar ve İmplant Bilgi Sistemi (SDIIS) olarak yeniden adlandırıldı. hatırlamak.
NHS İngiltere’nin önceki açıklamalarına göre, bu yeteneğin Nisan 2021’de devreye alınması gerekiyordu, ancak üç yıl geçmesine rağmen hala teslim edilmedi ve bu durum IMMDSR rapor yazarları ve Sağlık Seçimi Komitesi milletvekilleri arasında endişelere yol açtı.
Devam eden gecikmeler, MDORP kapsamının tüm NHS klinik kayıtlarını kapsayacak şekilde genişletilmesiyle birleştiğinde (ORP unvanındaki değişiklikle ifade edilir) Eylül 2023’te üyeliği yapılan FCR grubunun oluşumuna yol açan faktörler arasındaydı. NHS cerrahları ve doktorları, klinik akademisyenleri, bilim adamları ve teknoloji uzmanlarından oluşan, kapsam dahilindeki bazı kayıtları temsil eden klinik liderlerden oluşan bir liste.
Yukarıda ayrıntılı olarak açıklanan siber güvenlik endişelerinin yanı sıra FCR, ORP’nin ilk başta amaçlanandan çok daha fazla klinik kaydı içerecek şekilde (tıbbi cihazların fiziksel güvenliğine odaklanmak) başlangıçtaki görevini dramatik bir şekilde aşmasından endişe duyduğunu, ancak henüz bu konuda yeterli bilgi bulunmadığını söyledi. IMMDSR rapor tavsiyeleri üzerine teslim edildi.
FCR, bir dizi klinik kayıt kuruluşunun, kayıt defterinin tek veri kontrolünü NHS İngiltere’ye devreden taslak sözleşmeler imzalama konusunda baskı altına girdiğini iddia etti; bunu yapmak için bir çıkış stratejisi geliştirin; ve kayıt defteri personelini devredin ve yazılım geliştiricileri gibi üçüncü taraf sözleşmelerini feshedin. Grup ayrıca yazılım platformunun oluşturulmasında doğru satın alma sürecinin takip edilmediğini de iddia etti.
FCR, ORP liderliğinin rutin olarak endişelerini dile getirenlere kendileriyle ilgilenildiğini ve geniş bir istişare çalışmasının yürütüldüğünü söylediğini, ancak üyelerinin buna dair hiçbir kanıt görmediklerini söylediğini söyledi.
Birleşik Krallık Hemofili Derneği
FCR, NHS İngiltere’yi yerleşik ve dünyaca ünlü kayıtlara karşı “korkutucu, yıkıcı bir yaklaşım” izlemekle suçladı ve tartışmalı Federasyon Veri Platformu’nu (FDP) zorlayan aynı kişilerin yönetimi devralmak ve yeniden geliştirmek için “tehlikeli derecede kusurlu bir strateji” izlediğini savundu. yalnızca verilerini FDP’ye aktarmak için kayıtlar oluşturdular.
NHS İngiltere, mevcut kayıtları devralmak veya yeniden geliştirmek ya da verilerini FDP’ye aktarmak gibi bir planın olmadığını söyledi.
Buna yanıt olarak FCR temsilcisi şunları söyledi: “Bu tamamen saçmalık ve kayıtları kızdıracak. Bunun aksini gösteren çok sayıda kanıt var” diyen bir PA Consulting incelemesine atıfta bulunuluyor: “NHS İngiltere’nin, tek bir platformda konsolidasyon amacıyla incelenecek yeni ve yerleşik kayıtlardan oluşan bir öncelik listesi var” ve sözleşme NHS İngiltere tarafından mevcut kayıtlara verilen şartlar, NHS’nin “üç ila beş yıllık bir süre boyunca ulusal klinik kayıtlar için otomatik/rutin/merkezi veri toplama modeline geçiş yapmasını” sağlayacak şartları içeriyordu.
Ayrıca, SRO Briggs’in FCR’nin önceki sorularına verdiği yanıtta şunlar belirtildi: “NHS İngiltere tarafından tamamen veya önemli ölçüde finanse edilen ve şu anda tek bir BT platformuna dahil edilmek üzere incelenmekte olan 30’dan fazla kayıt bulunmaktadır.”
Hasta grupları yeniden düşünmeyi teşvik ediyor
Büyüyen tartışma, aralarında ORP olarak gruplandırılan kayıtlardan biri olan Ulusal Hemofili Veritabanının (NHD) geleceği konusunda endişe duyan Haemophilia Society UK, Haemophilia Northern Ireland ve Haemophilia Scotland’ın da bulunduğu hasta savunuculuk gruplarının da dikkatini çekti. .
NHD, hemofili ve diğer kanama bozukluklarının izlenmesinde, klinik sonuçların izlenmesinde ve bu tür koşullarla yaşayan insanlar arasındaki eğilimlerin ve potansiyel endişe alanlarının belirlenmesinde çok önemli bir rol oynamaktadır.
Ayrıca, 1970’li ve 80’li yıllarda 30.000’den fazla kişinin kan nakli veya hepatit C veya HIV bulaştıran tedaviler aldığı kontamine kan skandalını araştıran, yakın zamanda sonuçlanan Enfekte Kan Araştırması’nın desteklenmesinde de kritik bir rol oynadı. Bunun sonucunda 3.000’den fazla insan öldü. Ayrıca, özellikle tıbbi kayıtların artık mevcut olmadığı durumlarda, gelecekteki tıbbi iddiaların kanıtlanması için de muhtemelen bu bilgilere dayanılacaktır.
Birleşik Krallık Hemofili Derneği başkanı Kate Burt ve muadilleri Haemophilia NI ve Haemophilia İskoçya’dan Nigel Hamilton ve Alan Martin, Computer Weekly tarafından görülen NHS İngiltere ulusal tıp direktörü Steve Powis’e yazdıkları bir mektupta, Enfekte Kan Araştırmasının, NHD’nin NHS dışında faaliyet göstermesi ihtiyacını önerdi.
Soruşturma başkanı Brian Langstaff raporunda, NHD’nin hayati önem taşıyan çalışmalarına devam etmesi durumunda ek fon sağlanması çağrısında bulundu ve bunun NHS’ye dahil edilmesi gerektiği anlamına geldiğinin düşünülebileceğini kabul etse de “çok az avantaj” olacağını düşündü. Çünkü bu, NHS’yi daha büyük maliyetlere maruz bırakacak ve NHD’yi bütçe dalgalanmalarına ve belirsizliğe maruz bırakacaktır.
Burt, Hamilton ve Martin, “Sir Brian’ın raporundaki tüm tavsiyelere uyulmasının ve uygulanmasının çok önemli olduğuna inanıyoruz” diye yazdı. “Bu teklifin ele alınış şekli konusunda derin endişe duyuyoruz. Hasta örgütleri veya NHD ile herhangi bir istişare yapılmadı ve herhangi bir iş vakası sunulmadı.
“Bu nedenle hasta kayıtlarının korunacağına veya ORP’nin NHD’nin kapsamını ve karmaşıklığını anladığına dair hiçbir güvenimiz yok” dediler. “NHD’nin korunması ve finansmanının arttırılması, yalnızca kirli kan skandalından zarar görenler için değil, aynı zamanda kanama bozukluğu olan şimdiki ve gelecek nesiller için de önemli. Geçmişten ders almalı ve sabırlı sesleri karar alma sürecinin merkezine koymalıyız.
“Bu nedenle NHS İngiltere’yi, NHD’yi devralma planlarını derhal durdurmaya çağırıyoruz. Sizden Enfekte Kan Araştırması’nın, UKHCDO tarafından yürütülen NHD’nin, kanama bozuklukları topluluğu için kesinlikle hepimizin istediği, daha iyi hasta merkezli bakımın sağlanmasında hayati bir araç olmasını sağlayacak tavsiyelerini desteklemenizi rica ediyoruz.”