DETIKEPRI.COM, TEKNOLOGI – NHS “menyelidiki” tuduhan bahwa data pasien rentan diretas karena cacat perangkat lunak di sebuah perusahaan layanan medis swasta.
Cacat tersebut ditemukan November lalu di Medefer, yang menangani 1.500 rujukan pasien NHS per bulan di Inggris.
Insinyur perangkat lunak yang menemukan cacat tersebut yakin masalah tersebut telah ada setidaknya selama enam tahun.
Medefer mengatakan tidak ada bukti bahwa cacat tersebut telah ada selama itu dan menekankan bahwa data pasien belum dikompromikan.
Cacat tersebut diperbaiki beberapa hari setelah ditemukan.
Pada akhir Februari, perusahaan menugaskan badan keamanan eksternal untuk melakukan peninjauan terhadap sistem manajemen datanya.
Seorang juru bicara NHS berkata: “Kami sedang menyelidiki masalah yang timbul tentang Medefer dan akan mengambil tindakan lebih lanjut jika diperlukan.”
Sistem Medefer memungkinkan pasien untuk memesan janji temu virtual dengan dokter, dan memberi dokter tersebut akses ke data pasien yang sesuai.
Namun, bug perangkat lunak, yang ditemukan pada bulan November, membuat sistem rekam medis internal Medefer rentan terhadap peretas, kata teknisi tersebut.
Teknisi perangkat lunak, yang tidak ingin disebutkan namanya, terkejut dengan apa yang ditemukannya.
“Ketika saya menemukannya, saya hanya berpikir ‘tidak, tidak mungkin’.”
Masalahnya ada pada perangkat lunak yang disebut API (antarmuka pemrograman aplikasi), yang memungkinkan sistem komputer yang berbeda untuk saling berkomunikasi.
Teknisi tersebut mengatakan bahwa di Medefer, API tersebut tidak diamankan dengan baik, dan berpotensi dapat diakses oleh orang luar, yang dapat melihat informasi pasien.
Dia mengatakan bahwa tidak mungkin informasi pasien diambil dari Medefer, tetapi tanpa penyelidikan penuh, perusahaan tidak dapat mengetahuinya dengan pasti.
“Saya pernah bekerja di organisasi yang, jika terjadi hal seperti ini, seluruh sistem akan langsung ditutup,” katanya.
Saat menemukan kelemahan tersebut, teknisi tersebut memberi tahu perusahaan bahwa pakar keamanan siber eksternal harus didatangkan untuk menyelidiki masalah tersebut, yang menurutnya tidak dilakukan oleh perusahaan.
Medefer mengatakan badan keamanan eksternal telah mengonfirmasi bahwa mereka tidak menemukan bukti adanya pelanggaran data dan bahwa semua sistem data perusahaan saat ini aman.
Dikatakan bahwa proses investigasi dan perbaikan kelemahan API tersebut “sangat terbuka”.
Medefer mengatakan bahwa mereka telah melaporkan masalah tersebut ke ICO (Kantor Komisioner Informasi) dan CQC (Komisi Kualitas Perawatan), “demi kepentingan transparansi”, dan bahwa ICO telah mengonfirmasi bahwa tidak ada tindakan lebih lanjut yang harus diambil karena tidak ada bukti pelanggaran.
Teknisi yang dikontrak pada bulan Oktober untuk menguji kelemahan perangkat lunak perusahaan tersebut, meninggalkan perusahaan tersebut pada bulan Januari.
Dalam sebuah pernyataan, Dr Bahman Nedjat-Shokouhi, pendiri dan CEO Medefer, mengatakan: “Tidak ada bukti adanya pelanggaran data pasien dari sistem kami.”
Ia mengonfirmasi bahwa kelemahan tersebut telah ditemukan pada bulan November dan perbaikan telah dilakukan dalam waktu 48 jam.
“Badan keamanan eksternal telah menegaskan bahwa tuduhan bahwa kelemahan ini dapat memberikan akses ke sejumlah besar data pasien adalah sepenuhnya salah.”
Badan keamanan tersebut akan menyelesaikan peninjauannya akhir minggu ini.
Dr Nedjat-Shokouhi menambahkan: “Kami menjalankan tugas kami kepada pasien dan NHS dengan sangat serius. Kami mengadakan audit keamanan eksternal secara berkala terhadap sistem kami oleh badan keamanan eksternal independen, yang dilakukan beberapa kali setiap tahun.”
Pakar keamanan siber, yang telah memeriksa informasi yang diberikan oleh teknisi perangkat lunak, telah menyatakan kekhawatiran mereka.
“Ada kemungkinan bahwa Medefer menyimpan data yang berasal dari NHS tidak seaman yang diharapkan,” kata Prof Alan Woodward, pakar keamanan siber di University of Surrey.
“Basis data mungkin dienkripsi dan semua tindakan pencegahan lainnya telah dilakukan, tetapi jika ada cara untuk mengacaukan otorisasi API, siapa pun yang mengetahuinya berpotensi memperoleh akses,” tambahnya.
Pakar lain menunjukkan bahwa karena Medefer menangani data medis yang sangat sensitif, perusahaan seharusnya mendatangkan pakar keamanan siber segera setelah masalah tersebut teridentifikasi.
“Bahkan jika perusahaan menduga tidak ada data yang dicuri, saat menghadapi masalah yang dapat mengakibatkan pelanggaran data, terutama dengan data yang dimaksud, penyelidikan dan konfirmasi dari pakar keamanan siber yang berkualifikasi akan disarankan,” kata Scott Helme, peneliti keamanan.
Medefer didirikan pada tahun 2013 oleh Dr. Nedjat-Shokouhi, dengan tujuan untuk meningkatkan perawatan rawat jalan. Sejak saat itu, teknologinya telah digunakan oleh berbagai lembaga NHS di seluruh Inggris.
Dalam sebuah pernyataan, juru bicara NHS mengatakan bahwa lembaga-lembaga tersebut bertanggung jawab atas kontrak mereka dengan sektor swasta.
“Masing-masing organisasi NHS harus memastikan bahwa mereka memenuhi tanggung jawab hukum dan standar keamanan data nasional untuk melindungi data pasien saat menunjuk pemasok, dan kami menawarkan dukungan dan pelatihan nasional tentang cara melakukannya.”
Saya seorang Wartawan di DETIKEPRI.COM yang dilindungi oleh Perusahaan Pers bernama PT. Sang Penulis Melayu, dan mendedikasikan untuk membuat sebuah produk berita yang seimbang sesuai kaidah Jurnalistik dan sesuai Etik Jurnalistik yang berdasarkan Undang-Undang Pers.
![](https://pinterest.com/pin/create/button/?url=https%3A%2F%2Fwww.detikepri.com%2Fberita-utama%2F24%2F03%2F2025%2Fbug-perangkat-lunak-di-perusahaan-membuat-data-nhs-rentan-terhadap-peretas&media=https://www.detikepri.com/wp-content/uploads/2025/03/NHS.jpg&description="menyelidiki" tuduhan bahwa data pasien rentan diretas karena cacat perangkat lunak di sebuah perusahaan layanan medis swasta.){kind=link}