NHS Istražuje Mogućnost Odliva Podataka Zbog Greške u Softveru
NHS se trenutno usredotočuje na sumnje u vezi s greškom u softveru jednog pružatelja usluga virtualnog zakazivanja, koja je godinama ostavljala pacijentove podatke izložene. Prema izvještaju ComputerWeekly, istraživač je otkrio sigurnosni propust u sustavu pod nazivom Medefer, koji mjesečno obrađuje 1,500 referenci pacijenata za NHS.
Čime se bavi Medefer?
Medefer omogućava pacijentima da zakazuju virtualne sastanke s liječnicima i pruža liječnicima pristup relevantnim podacima o pacijentima. Ipak, čini se da API-ji unutar Medeferovog softvera nisu bili adekvatno osigurani. Ova sigurnosna slabost mogla je dopustiti da osjetljivi pacijentovi podaci padnu u pogrešne ruke, potvrdio je anonimni istraživač.
Kako su hakere mogle iskoristiti ovu grešku?
Prema riječima istraživača, hakeri su mogli ciljati na navedene ranjivosti koristeći “set automatiziranih alata i tehnika” kako bi pribavili osobne i osjetljive informacije koje bi mogle biti monetizirane ili korištene za daljnje zlonamerne aktivnosti. Budući da autentifikacija nije bila potrebna, prijetnje su mogle “scripirati automatizirane pozive na API-je kako bi uklonile velike količine podataka, na primjer, sve pacijentove evidencije.” Čini se da je ova greška mogla postojati najmanje šest godina, što sugerira da bi veliki dio podataka NHS-a mogao biti u opasnosti.
Reakcije Medefera i sigurnosne agencije
Medefer tvrdi da su prvi put čuli za istragu NHS-a putem medija te da nisu imali nikakav prethodni kontakt o ovom pitanju. “Nema dokaza o bilo kojem kršenju podataka pacijenata iz naših sustava u bilo kojem trenutku,” izjavili su iz Medefera. Vanjska agencija za cyber sigurnost je također osigurala da je tvrdnja o tome da bi ova greška mogla omogućiti pristup velikim količinama podataka pacijenata kategorički netočna, potvrđujući da su svi Medeferovi sustavi sigurni i da je nemoguće pristupiti bilo kojim podacima pacijenata bez odgovarajuće autentifikacije sigurnosti.
Medefer i ICO
Medefer je reportirao ovaj problem Uredu povjerenika za informacije (ICO), a Komisija je potvrdila da nije potrebno poduzimati dodatne mjere. Međutim, važno je napomenuti da su zdravstveni podaci izuzetno vrijedni za prijetnje, budući da se medicinske informacije mogu prodavati na tamnom webu, a osobno prepoznatljive informacije (poput imena, adresa i e-mailova) mogu se koristiti u napadima socijalnog inženjeringa ili krađi identiteta.
Završne misli
Ako imate bilo kakve sumnje o mogućem izlaganju vaših podataka, važno je pažljivo pratiti svoje račune. Edukacija o sigurnosti podataka i prevencija potencijalnih prijetnji ključni su za zaštitu vaših osobnih informacija u digitalnom dobu. Ostati informiran je najbolji način da se zaštitite.
