Editor, Tecnologia de Negócios
Getty ImagesO NHS está “analisando” as alegações de que os dados do paciente ficaram vulneráveis a hackers devido a uma falha de software em uma empresa de serviços médicos privados.
A falha foi encontrada em novembro passado no Medefer, que lida com 1.500 referências de pacientes do NHS por mês.
O engenheiro de software que descobriu a falha acredita que o problema existia por pelo menos seis anos.
Medefer diz que não há evidências de que a falha tenha sido em vigor por muito tempo e enfatizou que os dados do paciente não foram comprometidos.
A falha foi corrigida alguns dias após ser descoberta.
No final de fevereiro, a Companhia encomendou uma agência de segurança externa para realizar uma revisão de seus sistemas de gerenciamento de dados.
Um porta -voz do NHS disse: “Estamos analisando as preocupações levantadas sobre a Medefer e tomaremos mais ações, se apropriado”.
O sistema da Medefer permite que os pacientes marquem compromissos virtuais com os médicos e forneçam a esses médicos acesso aos dados apropriados do paciente.
No entanto, o bug de software, descoberto em novembro, tornou o sistema interno de registros de pacientes da Medefer vulnerável a hackers, disse o engenheiro.
O engenheiro de software, que não quer ser identificado, ficou chocado com o que descobriu.
“Quando o encontrei, pensei ‘não, não pode ser’.”
O problema estava em bits de software chamado APIs (Application Programming Interfaces), que permitem que diferentes sistemas de computador conversem entre si.
O engenheiro diz que, na medição, essas APIs não estavam devidamente protegidas e poderiam ter sido acessadas por pessoas de fora, que teriam sido capazes de ver informações do paciente.
Ele disse que era improvável que as informações do paciente tenham sido retiradas da Medefer, mas que, sem uma investigação completa, a empresa não sabia ter certeza.
“Eu trabalhei em organizações em que, se algo assim acontecesse, todo o sistema seria derrubado imediatamente”, disse ele.
Ao descobrir a falha que o engenheiro disse à empresa que um especialista em segurança cibernética externa deve ser comprada para investigar o problema, o que ele diz que a empresa não fez.
A Medefer diz que a agência de segurança externa confirmou que não encontrou evidências de qualquer violação de dados e que todos os sistemas de dados da empresa estavam atualmente seguros.
Ele diz que o processo de investigar e corrigir a falha da API foi “extremamente aberto”.
A Medefer disse que relatou a questão à OIC (Gabinete do Comissário da Informação) e ao CQC (Comissão de Qualidade de Cuidados), “no interesse da transparência” e que a OIC confirmou que não há mais medidas a serem tomadas, pois não há evidências de violação.
O engenheiro, que havia sido contratado em outubro para testar falhas no software da empresa, deixou a empresa em janeiro.
Em um comunicado, o Dr. Bahman Nedjat-Shokouhi, fundador e CEO da Medefer, disse: “Não há evidências de que qualquer dados de pacientes viole de nossos sistemas”.
Ele confirmou que a falha foi descoberta em novembro e uma correção foi desenvolvida em 48 horas.
“A agência de segurança externa afirmou que a alegação de que essa falha poderia ter fornecido acesso a grandes quantidades de dados dos pacientes é categoricamente falsa”.
A agência de segurança completará sua revisão ainda esta semana.
O Dr. Nedjat-Shokouhi acrescentou: “Levamos nossas tarefas para os pacientes e o NHS muito a sério. Mantemos auditorias regulares de segurança externa de nossos sistemas por agências independentes de segurança externa, realizadas em várias ocasiões todos os anos”.
Getty ImagesEspecialistas em segurança cibernética, que analisaram as informações fornecidas pelo engenheiro de software, expressaram sua preocupação.
“Existe a possibilidade de que a medefer armazenasse dados derivados do NHS não tão segura quanto se esperaria que fosse”, disse o professor Alan Woodward, especialista em segurança cibernética da Universidade de Surrey.
“O banco de dados pode ser criptografado e todas as outras precauções tomadas, mas se houver uma maneira de agitar a autorização da API, quem sabe como pode potencialmente obter acesso”, acrescentou.
Outro especialista apontou que, à medida que a Medefer lida com dados médicos altamente sensíveis, a empresa deveria ter comprado em especialistas em segurança cibernética assim que o problema foi identificado.
“Mesmo que a empresa suspeitasse que nenhum dado foi roubado, ao enfrentar um problema que poderia ter resultado em uma violação de dados, especialmente com dados da natureza em questão, uma investigação e confirmação de um especialista em segurança cibernética adequadamente qualificada seria aconselhável”, diz Scott Helme, pesquisador de segurança.
A Medefer foi fundada em 2013 pelo Dr. Nedjat-Shokouhi, com o objetivo de melhorar os cuidados ambulatoriais. Desde então, sua tecnologia tem sido usada pelo NHS Trusts em todo o país.
Em comunicado, o porta -voz do NHS disse que essas relações de confiança são responsáveis por seus contratos com o setor privado.
“As organizações individuais do NHS devem garantir que cumpram suas responsabilidades legais e padrões nacionais de segurança de dados para proteger os dados do paciente ao nomear fornecedores, e oferecemos apoio e treinamento nacionalmente sobre como isso deve ser feito”.
