该公司的软件错误使 NHS 数据“容易受到黑客攻击”

快速阅读: 《英国广播公司》消息，英国国家医疗服务体系（NHS）正调查一私营公司MediField的软件漏洞，该漏洞可能使患者数据面临黑客风险。MediField每月处理约1500例NHS转诊，但否认数据泄露。公司表示已修复漏洞并接受外部安全审查。网络安全专家认为，尽管未发现数据泄露，公司应更积极地处理此问题。

图片来源：盖蒂图片社
图片来源：图片说明：图片来源：梅德费尔每月处理大约1500个转诊

本·莫里斯
《商业科技》栏目编辑
发布于4小时前

英国国家医疗服务体系（NHS）正在调查一家私营医疗服务公司因软件漏洞导致患者数据可能被黑客攻击的风险。该漏洞于去年十一月在梅德费尔公司被发现，该公司每月处理大约1500个NHS患者的转介。发现该漏洞的软件工程师认为，这个问题可能已经存在六年以上。梅德费尔公司表示没有证据表明该漏洞存在那么长时间，并强调患者数据未被泄露。该漏洞在几天后被修复。

今年二月底，该公司委托了一家外部安全机构对其数据管理系统进行了全面审查。NHS的一位发言人表示：“我们正在调查关于梅德费尔的担忧，并将在必要时采取进一步行动。”

梅德费尔的系统允许患者与医生预约虚拟诊疗，并为这些临床医生提供适当的患者数据访问权限。然而，这位不愿透露姓名的软件工程师发现的十一月份软件漏洞使梅德费尔的内部患者记录系统面临黑客攻击的风险。这位工程师对所发现的问题感到震惊。“当我发现它时，我心想‘这不可能是真的。’”

问题出现在称为API（应用程序编程接口）的软件部分，这些API允许不同计算机系统之间相互通信。工程师表示，在梅德费尔，这些API没有得到妥善保护，可能被外部人员访问，这些人可以查看患者信息。他表示，虽然不太可能有患者信息从梅德费尔泄露，但在没有全面调查之前，公司无法确定这一点。“我在一些组织工作过，如果发生这样的事情，整个系统会立即被关闭，”他说。

发现漏洞后，工程师告诉公司应该聘请外部网络安全专家来调查这个问题，但他表示公司并没有这样做。梅德费尔表示，外部安全机构确认他们没有发现任何数据泄露的证据，公司当前的所有数据系统都是安全的。公司称，调查和修复API漏洞的过程是“非常透明”的。梅德费尔表示，为了透明起见，他们已将此问题报告给ICO（信息专员办公室）和CQC（护理质量委员会），并得到ICO确认无需进一步行动，因为没有证据表明发生了数据泄露事件。

这位工程师于十月被聘用来测试公司软件中的漏洞，并在一月份离开公司。梅德费尔创始人兼首席执行官巴赫曼·内贾特-肖库希博士在声明中表示：“我们系统中没有证据表明有任何患者数据泄露。”他确认该漏洞是在去年十一月被发现的，并在48小时内开发出修复方案。“外部安全机构断言，这一漏洞可能导致大量患者数据泄露的说法是完全错误的。”

安全机构将在本周晚些时候完成其审查。内贾特-肖库希博士补充道：“我们非常重视对患者和NHS的责任。我们定期由独立的外部安全机构对我们系统进行外部安全审计，每年进行多次。”

图像来源：盖蒂图片社
图片来源：图片说明：大量的医疗数据必须在医生和医院之间共享

网络安全专家审查了软件工程师提供的信息后，表达了自己的担忧。萨里大学的网络安全专家艾伦·伍德沃德教授说：“有可能梅德费尔存储的NHS数据没有达到期望的安全水平。”“数据库可能是加密的，并采取了其他预防措施，但如果有一种方法可以绕过API授权，任何了解这种方法的人都可能获得访问权限，”他补充说。

另一位专家指出，由于梅德费尔处理的是高度敏感的医疗数据，公司在发现问题时应立即聘请网络安全专家。“即使公司怀疑没有数据被盗，但面对可能导致数据泄露的问题，特别是涉及此类敏感数据时，进行调查并由合适的网络安全专家确认是明智的，”安全研究员斯科特·赫尔姆说。

梅德费尔由内贾特-肖库希博士于2013年创立，目标是改善门诊护理。自那时以来，其技术已被全国范围内的NHS信托机构使用。NHS的一位发言人表示，这些信托机构对其与私营部门的合同负责。“各NHS机构必须确保他们在任命供应商时履行法律义务和国家标准，以保护患者数据，并在全国范围内向他们提供支持和培训。”

(以上内容均由Ai生成)