В ноябре обнаружена критическая ошибка в программном обеспечении компании Medefer, обслуживающей 1 500 обращений NHS ежемесячно. Сбой в API, отвечающих за межсистемное взаимодействие, мог предоставить хакерам возможность доступа к внутренним системам хранения данных пациентов. Анонимный инженер-программист сообщил, что ошибка могла существовать не менее шести лет, хотя представители компании отвергают данное утверждение.
Dr. Bahman Nedjat-Shokouhi, основатель и генеральный директор Medefer, заявил: «Нет никаких доказательств утечки данных пациентов из наших систем». Исправление выявленной ошибки было произведено в течение 48 часов после обнаружения, после чего в конце февраля привлечено внешнее агентство кибербезопасности для проверки системы управления данными.
Регулирующие органы — ICO и CQC — а также NHS были проинформированы о выявленной уязвимости в рамках принципов прозрачности. NHS подчеркнул, что, несмотря на использование технологии Medefer различными NHS-трактами, каждое учреждение несет ответственность за соблюдение своих правовых и нормативных стандартов при сотрудничестве с поставщиками услуг.
Технический анализ выявил, что недостаточная защита API могла позволить злоумышленникам получить несанкционированный доступ к конфиденциальной информации. Анонимный инженер отметил: «Когда я обнаружил это, я просто подумал: 'нет, не может быть'», добавив, что немедленное привлечение внешних экспертов по кибербезопасности стало бы правильным решением.
Профессор Аллан Вудвард из Университета Суррея выразил опасения по поводу возможного недостаточного уровня защиты данных NHS, указав на ситуацию, когда ошибка в авторизации API может открыть доступ к чувствительной информации, даже при наличии мер шифрования. Scott Helme, исследователь в сфере кибербезопасности, подчеркнул необходимость оперативного реагирования при обнаружении подобных уязвимостей.
Контрактный инженер, цель которого заключалась в тестировании программного обеспечения Medefer, был принят компанией в октябре и покинул коллектив в январе. Внешняя проверка, проведенная привлеченным агентством, не выявила фактов утечки данных, что подтверждает регулярное проведение внеплановых аудитов систем безопасности.
Регулярные внешние проверки, проводимые независимыми экспертами несколько раз в год, призваны обеспечить соблюдение высоких стандартов безопасности данных, используемых как NHS-трактами, так и другими организациями, сотрудничающими с Medefer.
Изображение носит иллюстративный характер
Dr. Bahman Nedjat-Shokouhi, основатель и генеральный директор Medefer, заявил: «Нет никаких доказательств утечки данных пациентов из наших систем». Исправление выявленной ошибки было произведено в течение 48 часов после обнаружения, после чего в конце февраля привлечено внешнее агентство кибербезопасности для проверки системы управления данными.
Регулирующие органы — ICO и CQC — а также NHS были проинформированы о выявленной уязвимости в рамках принципов прозрачности. NHS подчеркнул, что, несмотря на использование технологии Medefer различными NHS-трактами, каждое учреждение несет ответственность за соблюдение своих правовых и нормативных стандартов при сотрудничестве с поставщиками услуг.
Технический анализ выявил, что недостаточная защита API могла позволить злоумышленникам получить несанкционированный доступ к конфиденциальной информации. Анонимный инженер отметил: «Когда я обнаружил это, я просто подумал: 'нет, не может быть'», добавив, что немедленное привлечение внешних экспертов по кибербезопасности стало бы правильным решением.
Профессор Аллан Вудвард из Университета Суррея выразил опасения по поводу возможного недостаточного уровня защиты данных NHS, указав на ситуацию, когда ошибка в авторизации API может открыть доступ к чувствительной информации, даже при наличии мер шифрования. Scott Helme, исследователь в сфере кибербезопасности, подчеркнул необходимость оперативного реагирования при обнаружении подобных уязвимостей.
Контрактный инженер, цель которого заключалась в тестировании программного обеспечения Medefer, был принят компанией в октябре и покинул коллектив в январе. Внешняя проверка, проведенная привлеченным агентством, не выявила фактов утечки данных, что подтверждает регулярное проведение внеплановых аудитов систем безопасности.
Регулярные внешние проверки, проводимые независимыми экспертами несколько раз в год, призваны обеспечить соблюдение высоких стандартов безопасности данных, используемых как NHS-трактами, так и другими организациями, сотрудничающими с Medefer.
