英國醫療服務公司軟體漏洞 曝露NHS病患資料安全風險

2025/03/10 | 健康

英國國民保健署（NHS）正在調查一起關於病患資料可能因一家私人醫療服務公司的軟體漏洞而遭受駭客攻擊的指控。據了解，這項漏洞於去年11月在Medefer公司被發現。該公司每月處理英格蘭地區約1500件NHS病患轉診業務。



一位發現此漏洞的軟體工程師表示，問題可能已存在至少六年。Medefer則聲稱，沒有證據顯示該漏洞存在這麼長時間，並強調病患資料並未因此外洩。據悉，該漏洞在發現後幾天內已修復。今年2月底，該公司委託一家外部安全機構對其資料管理系統進行審查。



NHS發言人表示：「我們正在調查關於Medefer的相關疑慮，並將在適當時採取進一步行動。」



Medefer的系統允許病患預約與醫生進行線上會診，並授權醫生存取相應的病患資料。然而，這位工程師指出，去年11月發現的軟體錯誤使Medefer的內部病患記錄系統容易受到駭客攻擊。



該名不願透露姓名的軟體工程師對他的發現感到震驚。他表示，問題出在應用程式介面（API）上，這些介面使不同的電腦系統能夠相互通信。該工程師表示，Medefer的API沒有得到適當的保護，可能被外部人員存取，進而查看病患資訊。他認為病患資訊被盜的可能性不大，但在全面調查之前，公司無法確定。



Medefer表示，外部安全機構已確認沒有發現任何資料外洩的證據，並且公司所有資料系統目前都是安全的。他們聲稱調查和修復API漏洞的過程「非常透明」。Medefer還表示，已向資訊專員辦公室（ICO）和護理品質委員會（CQC）報告了此問題，「為了透明起見」，並且ICO已確認無需採取進一步行動，因為沒有證據表明存在違規行為。



Medefer的創辦人兼執行長Bahman Nedjat-Shokouhi博士在一份聲明中表示：「沒有證據表明我們的系統存在任何病患資料洩露。」他證實該漏洞已於去年11月被發現，並在48小時內開發了修復程式。



網絡安全專家對軟體工程師提供的資訊表示擔憂。薩里大學的網絡安全專家Alan Woodward教授表示：「Medefer儲存來自NHS的數據可能不如人們希望的那麼安全。即使資料庫已加密並採取了所有其他預防措施，但如果存在破解API授權的方法，任何知道如何操作的人都可能獲得存取權限。」



另一位專家指出，由於Medefer處理高度敏感的醫療數據，因此公司應在發現問題後立即聘請網絡安全專家。



Medefer於2013年由Nedjat-Shokouhi博士創立，旨在改善門診護理。自那時以來，其技術已被英格蘭各地的NHS信託基金使用。NHS發言人表示，這些信託基金負責與私營部門簽訂合約。「個別NHS組織必須確保他們履行其法律責任和國家資料安全標準，以在任命供應商時保護病患資料，並且我們在全國範圍內為他們提供關於如何做到這一點的支援和培訓。」