Medefer réfute l’affirmation selon laquelle un défaut de sécurité a laissé les données des patients vulnérables
Docteur Bahman Nedjat-Shokouhi, PDG de Medefer (une photo fournie par Medefer)
Le fournisseur de soins de santé en ligne Medefer a rejeté l’affirmation de l’annonceur que son interface de programmation d’application (API) a rendu les patients du NHS vulnérables.
Lorsque le patient est mentionné pour un rendez-vous en ligne, l’entreprise reçoit des données sur les patients du Système électronique E-NHS (ER) ou de la colonne vertébrale NHS à la disposition des médecins pour des consultations.
Le fournisseur de tests de logiciels pour Medefer a affirmé qu’en novembre 2024, la direction de l’entreprise a déclaré à la carence de la société, ce qui signifiait que les données du NHS sur le dossier interne du patient pourraient être potentiellement accessibles sans vérifier.
Whistleblower a déclaré Computer Weekly: «Les pirates se concentrent sur des vulnérabilités comme celle-ci, en utilisant un outil et technicien automatisé pour charger des informations privées et sensibles qui pourraient être monétisées ou utilisées pour d’autres activités nocives.
“Puisqu’il n’était pas nécessaire de vérifier, les attaquants pouvaient scripter des appels automatisés à l’API pour exprimer une grande quantité de données, telles que tous les dossiers des patients.”
Quand il a répondu à la réclamation, le Dr Bahman Nedjat-Shokouhi, PDG de Gastroenterologist Medefer et NHS, a déclaré que la réparation de la vulnérabilité avait été développée dans les 48 heures suivant son annonce du fournisseur et a été résolue avec succès.
Il a ajouté qu’une agence de cybersécurité spécialisée indépendante a confirmé qu’il n’y avait aucune preuve de violation des données des patients des systèmes de l’entreprise.
«La décision d’introduire des experts en cybersécurité externes indépendants pour comprendre les faits autour de cette question a été fait immédiatement, le jour où la vulnérabilité potentielle a été découverte.
“L’agence externe de cybersécurité a affirmé que l’affirmation selon laquelle cette erreur pourrait donner accès à un grand nombre de données sur les patients est catégoriquement fausse, a confirmé que tous les systèmes de données Medefer sont actuellement sûrs et qu’il n’est pas possible d’accéder aux données de patient sans vérification de sécurité appropriée.
“Au cours de ce processus, nous avons agi de manière transparente.”
“Bien que nous n’ayons trouvé aucune preuve de violation des données, nous avons immédiatement terminé l’outil de signalement des incidents du NHS en Angleterre et fermé volontairement la correspondance avec nos régulateurs, le commissaire à l’information (ICO) et la Commission CQC (CQC) pour garantir que la transparence et la responsabilité du gouvernement.”
Il a ajouté que l’ICO a confirmé qu’il n’y avait aucune étape supplémentaire car il n’y a aucune preuve de violation de la confidentialité.
«En tant qu’organisation enregistrée par CQC et un fournisseur de services NHS financé par le public, dirigé par le NHS Doctors, nous prenons nos obligations envers les patients et le NHS très au sérieux.
«Nous maintenons des audits de sécurité externes réguliers de nos systèmes avec des agences de sécurité externes indépendantes, qui se sont produites plusieurs fois par an – avec l’intention de comprendre et de gérer toute vulnérabilité.
“Le test de pénétration externe il y a seulement quelques mois n’a pas identifié ce problème”, a déclaré Nedjat-Shokouhi.
Dit un porte-parole du NHS de l’Angleterre Rapports de santé numérique“Les organisations individuelles du NHS doivent s’assurer qu’elles répondent à leurs responsabilités juridiques et à leurs normes nationales de sécurité des données pour protéger les données des patients lors de la nomination des fournisseurs, et nous leur offrons un soutien et une formation nationale sur la façon dont cela doit être fait.”
Rapports de santé numérique Contacté ICO pour commentaire.
