Editor, tecnología de negocios
Getty PicturesNHS está «considerando» acusaciones de que el paciente está siendo pirateado debido a la deficiencia de software en una empresa de servicios médicos privados.
Este error se encontró en Medefer en noviembre pasado, que opera 1.500 referencias de pacientes del NHS por mes en Inglaterra.
El ingeniero de software que encontró el error cree que el problema ha sido al menos seis años.
Medifer dijo que el paciente no comprometió los datos y que no tenía evidencia durante mucho tiempo.
El error se solucionó unos días después.
A fines de febrero, la compañía designó una compañía de seguridad externa para realizar una revisión de sus sistemas de gestión de datos.
Un portavoz del NHS dijo: «Estamos considerando las preocupaciones planteadas sobre el Mediaf y si es apropiado, tomaremos más medidas».
El sistema del Medefer permite a los pacientes reservar citas virtuales con los médicos y acceder a los datos del paciente a esos médicos.
Sin embargo, el error de software descubierto en noviembre ha provocado que el paciente interno del medifer piratee el sistema récord, dijo el ingeniero.
El ingeniero de software, que no quería nombrarlo, se sorprendió con lo que había descubierto.
«Cuando lo encuentro, ‘No, no lo quiero’.
Este problema está en bits de software llamados API (interfaz de programación de aplicaciones), que permite que diferentes sistemas informáticos se hablen entre sí.
El ingeniero dijo que esas API no se conservaron adecuadamente en el Medefer, y que se podía acceder a los extraños que podían ver la información del paciente.
No es probable que el paciente sea tomado del medífero, pero sin una investigación completa, la compañía no está segura.
«Trabajé en empresas y si esto sucede, todo el sistema se eliminará de inmediato», dijo.
Le dijo al ingeniero que la compañía debería traer un especialista en seguridad cibernética externa para investigar el problema, dijo.
La agencia de seguridad externa ha confirmado que no se ha encontrado ninguna evidencia por la violación de los datos y que todos los sistemas de datos de la compañía son actualmente seguros.
El proceso de investigación y resolución de la API es «muy abierto».
La ICO (Oficina del Comisionado de Información) y CQC (Comisión de Calidad de la Atención), «Beneficios de transparencia», dijo que se informó este problema, y que no había evidencia de tomar más medidas para tomar más medidas, ya que no había evidencia de la violación.
El ingeniero dejó la compañía en enero, que había firmado un acuerdo en octubre para evaluar las deficiencias en el software de la compañía.
En un comunicado, el fundador y CEO del CEO Dr. Bahman Nedzat-Shokouhi dijo: «No hay evidencia en la violación de los datos del paciente de nuestros sistemas».
Confirmó que el error se encontró en noviembre y que se desarrolló una solución dentro de las 48 horas.
«La agencia de seguridad externa enfatizó que la acusación de que este error proporcionaría grandes cantidades de datos de los pacientes es categóricamente incorrecto».
La compañía de seguridad completará su revisión a finales de esta semana.
El Dr. Nedzat-Shokouhi dijo: «Tomamos nuestros deberes muy en serio a los pacientes y al NHS. Tenemos auditorías de seguridad externos regulares de nuestros sistemas por agencias de seguridad externas independientes realizadas cada año».
Getty PicturesLos profesionales de la seguridad cibernética han expresado su preocupación por la información suministrada por el ingeniero de software.
«Los datos proporcionados por el Medifer del NHS no son seguros en lugar de seguros», dijo el profesor Alan Woodward, experto en seguridad cibernética de la Universidad de Surrey.
«La base de datos puede estar encriptada y todas las demás precauciones tomadas, pero si hay una manera de exceso de la API, alguien que sabe cómo obtener acceso», dijo.
Otro experto, el Medifer debería traer a los profesionales de seguridad cibernética de la compañía tan pronto como el problema se identifique con datos médicos altos sensibles.
«Aunque la compañía sospecha que investigar y verificar es bueno a partir de los datos del experto en seguridad cibernética calificada apropiada, con los datos de la naturaleza cuestionable, especialmente con los datos de la pregunta», dijo el investigador de seguridad Scott Helm.
El Medfefer fue fundado por el Dr. Nedzat-Shokouhi en 2013 con el objetivo de mejorar la atención del paciente ATT. Desde entonces, su tecnología ha sido utilizada por NHS Trusts en Inglaterra.
El portavoz del NHS dijo en un comunicado que esos fideicomisos son responsables de sus contratos con los sectores privados.
«Cuando las organizaciones individuales del NHS designan a los proveedores para proteger los datos del paciente para garantizar sus responsabilidades legales y los estándares nacionales de seguridad de datos, y les brindamos apoyo y capacitación a nivel nacional para ellos».
