イギリスの国民保健サービス(NHS)に技術を提供する企業であるDXSインターナショナル社は、サイバー攻撃によるデータ流出があったと発表しました。
同社は12月14日に「オフィスサーバーに影響を与えるセキュリティインシデント」を発見したとし、ロンドン証券取引所への報告書で明らかにしました。DXSは、NHSと協力して「直ちに」流出を封じ込め、事件の性質と範囲を調査するためにサイバーセキュリティ企業を雇ったということです。
報告書には、「会社のサービスへの影響は最小限であり、前線の臨床サービスは影響を受けず、運営を続けている」と記されています。
現時点では、流出の具体的な内容や患者の医療情報が盗まれたかどうかは不明です。
しかし、今週初め、ランサムウェアグループ「DevMan」がこの流出を主張しました。TechCrunchが確認したダークウェブ上の投稿では、ハッカーが12月14日に同社をリストし、300ギガバイトのデータを盗んだと述べています。
DXSはまた、英国のデータ保護当局である情報コミッショナーオフィス(ICO)を含む法執行機関と規制当局にサイバー攻撃について通知したとしています。
DXSの最高執行責任者であるスティーブン・バウアー氏は、一連の質問に答えず、TechCrunchに対して公的な報告書と同様の声明を送りました。
ICOの広報担当者であるラシャナ・スウェイダン・ヴィガースタッフ氏は、DXSから提供された情報を評価しているとし、いくつかの質問には答えませんでした。
NHSイングランドの広報担当者ケイティ・ボールドウィン氏は、患者サービスへの影響は確認されていないと述べました。
DXSのウェブサイトによると、同社は医師やプライマリケア医のコスト削減を支援するソフトウェアを提供しています。そのため、同社のソフトウェアは患者の記録やデータに触れることがあります。また、同社のソリューションは、NHSのヘルスアンドソーシャルケアネットワーク(HSCN)上でホスティングされている場合もあるとしています。一般的に、NHSは患者の医療データを中央集権的なシステムに保存していません。
DXSとICOからの回答を更新しました。