संपादक, व्यवसाय प्रौद्योगिकी
गेटी इमेजेजएनएचएस उन आरोपों को “देख रहा है” यह है कि एक निजी चिकित्सा सेवा कंपनी में सॉफ्टवेयर दोष के कारण रोगी डेटा को हैकिंग के लिए कमजोर छोड़ दिया गया था।
यह दोष पिछले नवंबर में मेडेफर में पाया गया था, जो एक महीने में 1,500 एनएचएस रोगी रेफरल को संभालता है।
सॉफ्टवेयर इंजीनियर जिसने दोष की खोज की थी, का मानना है कि समस्या कम से कम छह वर्षों से मौजूद थी।
मेडेफर का कहना है कि इस बात का कोई सबूत नहीं है कि दोष लंबे समय से था और इस बात पर जोर दिया कि रोगी डेटा से समझौता नहीं किया गया है।
खोज किए जाने के कुछ दिनों बाद दोष तय हो गया था।
फरवरी के अंत में कंपनी ने अपने डेटा प्रबंधन प्रणालियों की समीक्षा करने के लिए एक बाहरी सुरक्षा एजेंसी को कमीशन किया।
एनएचएस के एक प्रवक्ता ने कहा: “हम मेडेफर के बारे में उठाए गए चिंताओं को देख रहे हैं और यदि उचित हो तो आगे की कार्रवाई करेंगे।”
Medefer की प्रणाली रोगियों को डॉक्टरों के साथ आभासी नियुक्तियों को बुक करने की अनुमति देती है, और उन चिकित्सकों को उपयुक्त रोगी डेटा तक पहुंच प्रदान करती है।
हालांकि, नवंबर में खोजे गए सॉफ्टवेयर बग ने मेडेफर के आंतरिक रोगी रिकॉर्ड प्रणाली को हैकर्स के लिए असुरक्षित बना दिया, इंजीनियर ने कहा।
सॉफ्टवेयर इंजीनियर, जो नाम नहीं लेना चाहता है, वह जो उसने उजागर किया, उससे हैरान था।
“जब मुझे यह मिला, तो मैंने सोचा कि ‘नहीं, यह नहीं हो सकता’।”
समस्या एपीआईएस (एप्लिकेशन प्रोग्रामिंग इंटरफेस) नामक सॉफ्टवेयर के बिट्स में थी, जो विभिन्न कंप्यूटर सिस्टम को एक दूसरे से बात करने की अनुमति देती है।
इंजीनियर का कहना है कि मेडेफर में उन एपीआई को ठीक से सुरक्षित नहीं किया गया था, और संभवतः बाहरी लोगों द्वारा एक्सेस किया जा सकता था, जो रोगी की जानकारी देख पाए थे।
उन्होंने कहा कि यह संभावना नहीं थी कि रोगी की जानकारी मेडेफर से ली गई थी, लेकिन पूरी जांच के बिना, कंपनी निश्चित रूप से नहीं जान सकती थी।
“मैंने उन संगठनों में काम किया है, जहां, अगर ऐसा कुछ हुआ, तो पूरी प्रणाली को तुरंत नीचे ले जाया जाएगा,” उन्होंने कहा।
दोष की खोज करने पर इंजीनियर ने कंपनी को बताया कि एक बाहरी साइबर सुरक्षा विशेषज्ञ को समस्या की जांच के लिए खरीदा जाना चाहिए, जो वह कहता है कि कंपनी ने नहीं किया।
मेडेफर का कहना है कि बाहरी सुरक्षा एजेंसी ने पुष्टि की है कि उसे किसी भी डेटा के उल्लंघन का कोई सबूत नहीं मिला है और कंपनी के सभी डेटा सिस्टम वर्तमान में सुरक्षित थे।
यह कहता है कि एपीआई दोष की जांच और ठीक करने की प्रक्रिया “बेहद खुली” थी।
मेडेफर ने कहा कि इसने इस मुद्दे को ICO (सूचना आयुक्त कार्यालय) और CQC (देखभाल गुणवत्ता आयोग), “पारदर्शिता के हितों में” को बताया था, और यह कि ICO ने पुष्टि की थी कि आगे कोई कार्रवाई नहीं की जानी है क्योंकि उल्लंघन का कोई सबूत नहीं है।
इंजीनियर, जिसे अक्टूबर में कंपनी के सॉफ्टवेयर में खामियों के लिए परीक्षण करने के लिए अनुबंधित किया गया था, ने जनवरी में कंपनी छोड़ दी।
एक बयान में, मेडेफर के संस्थापक और सीईओ डॉ। बहमन नेदजत-शोकौही ने कहा: “हमारे सिस्टम से किसी भी रोगी डेटा उल्लंघन का कोई सबूत नहीं है।”
उन्होंने पुष्टि की कि नवंबर में दोष की खोज की गई थी और 48 घंटों में एक फिक्स विकसित किया गया था।
“बाहरी सुरक्षा एजेंसी ने दावा किया है कि यह आरोप है कि यह दोष बड़ी मात्रा में रोगियों के डेटा तक पहुंच प्रदान कर सकता है, स्पष्ट रूप से गलत है।”
सुरक्षा एजेंसी इस सप्ताह के अंत में अपनी समीक्षा पूरी करेगी।
डॉ। नेदजत-शोकौही ने कहा: “हम रोगियों और एनएचएस को बहुत गंभीरता से अपने कर्तव्यों को लेते हैं। हम स्वतंत्र बाहरी सुरक्षा एजेंसियों द्वारा अपने सिस्टम के नियमित बाहरी सुरक्षा ऑडिट रखते हैं, हर साल कई मौकों पर किए जाते हैं।”
गेटी इमेजेजसाइबर सुरक्षा विशेषज्ञ, जिन्होंने सॉफ्टवेयर इंजीनियर द्वारा आपूर्ति की गई जानकारी को देखा है, ने अपनी चिंता व्यक्त की है।
सरे विश्वविद्यालय के एक साइबरसिटी विशेषज्ञ प्रोफेसर एलन वुडवर्ड ने कहा, “इस बात की संभावना है कि एनएचएस से प्राप्त किए गए डेटा को सुरक्षित रूप से नहीं किया गया है।
उन्होंने कहा, “डेटाबेस को एन्क्रिप्ट किया जा सकता है और अन्य सभी सावधानियों को लिया जा सकता है, लेकिन अगर एपीआई प्राधिकरण को गड़बड़ करने का एक तरीका है, तो कोई भी जानता है कि संभावित रूप से कैसे पहुंच प्राप्त कर सकता है,” उन्होंने कहा।
एक अन्य विशेषज्ञ ने बताया कि जैसे ही समस्या की पहचान की गई थी, जैसे ही, कंपनी को उच्च-संवेदनशील, चिकित्सा डेटा के साथ, कंपनी को साइबर सुरक्षा विशेषज्ञों में खरीदा जाना चाहिए था।
“भले ही कंपनी को संदेह था कि कोई भी डेटा चोरी नहीं हुआ था, जब एक ऐसे मुद्दे का सामना करना पड़ सकता है, जिसके परिणामस्वरूप डेटा ब्रीच हो सकता है, विशेष रूप से प्रकृति के डेटा के साथ, एक उपयुक्त रूप से योग्य साइबर सुरक्षा विशेषज्ञ से एक जांच और पुष्टि की सलाह दी जाएगी,” स्कॉट हेल्मे, एक सुरक्षा शोधकर्ता कहते हैं।
Medefer की स्थापना 2013 में डॉ। नेदजत-शोकौही द्वारा की गई थी, जिसमें आउट पेशेंट देखभाल में सुधार करने के लिए एक लक्ष्य था। तब से इसकी तकनीक का उपयोग देश भर में एनएचएस ट्रस्टों द्वारा किया गया है।
एनएचएस के प्रवक्ता ने एक बयान में कहा कि वे ट्रस्ट निजी क्षेत्र के साथ अपने अनुबंधों के लिए जिम्मेदार हैं।
“व्यक्तिगत एनएचएस संगठनों को यह सुनिश्चित करना चाहिए कि वे आपूर्तिकर्ताओं को नियुक्त करते समय रोगी डेटा की सुरक्षा के लिए अपनी कानूनी जिम्मेदारियों और राष्ट्रीय डेटा सुरक्षा मानकों को पूरा करें, और हम उन्हें राष्ट्रीय स्तर पर समर्थन और प्रशिक्षण प्रदान करते हैं कि यह कैसे किया जाना चाहिए।”
