Ein Softwarefehler, könnte eine neue Sicherheitslücke im NHS geöffnet haben. Der NHS „prüft“ nun angeblich Vorwürfe, dass Patientendaten aufgrund eines Softwarefehlers bei einem privaten medizinischen Dienstleistungsunternehmen angreifbar geblieben seien.
Der Fehler wurde letzten November bei Medefer entdeckt, das jeden Monat 1.500 Überweisungen von NHS-Patienten bearbeitet. Laut der von der BBC zitierten Quelle könnte er bereits seit sechs Jahren vorhanden gewesen sein, aber er wurde erst jetzt eskaliert.
Das Problem liegt in den System APIs, nämlich darin, dass es angeblich eine Möglichkeit gab, die API Autorisierung zu manipulieren, um Zugriff auf Daten zu erhalten. Medefer bestreitet, dass es zu Verstößen oder Lecks gekommen sei.
„Die externe Sicherheitsbehörde hat erklärt, dass die Behauptung, dieser Fehler hätte Zugriff auf große Mengen von Patientendaten ermöglichen können kategorisch falsch ist“, sagte Dr. Bahman Nedjat-Shokouhi, Gründer und CEO von Medefer.
Trotzdem unterstreicht dieser Vorfall die Notwendigkeit robuster Abwehrmechanismen auf allen Ebenen Ihrer Daten. Dies gilt umso mehr wenn man bedenkt, dass der NHS und identifizierbare Patientendaten zu den am stärksten regulierten Teilen der Online Umgebung gehören.
Es zeigt auch, dass Cybersicherheitsmaßnahmen gründlich und allumfassend sein müssen, es spielt keine Rolle, ob Sie eine gut verschlüsselte Datenbank haben, wenn es eine Möglichkeit gibt, Authentifizierungsmaßnahmen durchzusetzen.
Wie geht es weiter?
Wie bei allen ähnlichen Fällen ist es sehr wahrscheinlich, dass das aktuelle Problem identifiziert und gegebenenfalls schnell behoben wird. Da es derzeit keine Beweise dafür gibt dass tatsächlich kritische Informationen durchgesickert sind, könnten die Auswirkungen relativ gering sein.
Wir können jedoch davon ausgehen dass im kommenden Jahr weitere regulatorische Schritte unternommen werden, um zu versuchen und ziehen Sie die Schrauben etwas an, um zu verhindern, dass solche Probleme auftreten. Cybersicherheit im Unternehmenssektor, wo Ausfälle Schäden in Höhe von Tausenden von Dollar verursachen, ist eine Sache. Im öffentlichen Sektor, wo das Gesundheitswesen und die Regierung angesiedelt sind, besteht seit langem Druck, die Einhaltung bewährter Verfahren sicherzustellen.
Gut eingerichtete Cybersicherheitsmaßnahmen, einschließlich Zero Trust Prinzipien hinter dem Datenzugriff und unterstützt durch einen Notfallwiederherstellungsplan, sind kein optionales Extra mehr, sondern eine Notwendigkeit für Organisationen, die sich weiterentwickeln wollen.
Ihre Daten in Ihren Händen – mit TECH-ARROW