2018年SingHealth數據泄露事件

2018年SingHealth數據泄露事件是發生在新加坡的,由身份不明的攻擊者造成的數據泄露事件。2018年6月27日至7月4日期間,約有150萬份新加坡保健服務集團英語SingHealth的患者個人資料、16萬名患者的門診配藥記錄遭到泄露。 攻擊者訪問並複製了自2015年5月1日起至2018年7月4日所有前往專科、綜合醫療機構就診的患者個人信息,其中包括姓名、 新加坡國民身份證號、家庭住址、出生日期、種族和性別。 患者的診斷信息、檢查結果和醫囑等信息沒有遭到泄露。 [1] 亞洲新聞頻道報道稱,攻擊者的目標是李顯龍總理的信息。[2]

2018年SingHealth數據泄露事件
日期2018.06.27 - 2018.07.04
持續時間8 天
地點新加坡
類型高級長期威脅
起因員工安全意識淡薄,缺陷修復緩慢
參與者身份不明

發現

編輯

2018年7月4日,新加坡公共衛生服務的信息技術提供商——綜合衛生信息系統(IHIS)的數據庫管理員在SingHealth某一個IT數據庫發現了異常活動,管理員隨即針對可能的入侵活動採取預防措施,加強了對網絡流量的監控,4日後仍不斷有更多異常操作被發現,但並沒有導致數據泄露[3]

管理員認定數據庫遭到攻擊,通知了IHIS並於7月10日通知新加坡網絡安全局進行法律取證調查。安全局調查發現罪犯通過攻陷一台前端工作站來獲取整個網絡系統的訪問權限和數據庫登錄信息,犯罪過程中還掩蓋了其數字腳印[3]

7月20日,新加坡通訊及新聞部新加坡衛生部發布聲明,向公眾公開此次攻擊的信息。[2][4]攻擊被發現到公開信息的十天中,新加坡有關部門對IT系統進行了全面加固、對攻擊進行了初步調查、統計遭受影響的患者名單並為信息公開做了一些準備[5]。聲明後,個人數據遭竊的患者陸續收到通知短信[3]

調查

編輯

在議會發言時,新加坡通信和信息部長易華仁稱此次泄露的攻擊者與某些地區有複雜的關係,這種關係幫助他們編寫了能夠繞過SingHealth防病毒安全套件的極具針對性的惡意程序。出於國家安全的考慮,會上伊斯瓦蘭沒有指明他所說的地區。[6]

2018年7月24日,新加坡政府組建調查委員會調查襲擊的原因,並研究預防此類網絡襲擊的措施。 委員會由前地區首席法官理查德·馬格納斯(Richard Magnus)擔任主席, Quann World首席執行官李福新(Lee Fook Sun)、Sheares Healthcare Management集團首席運營官T.K. Udairam新加坡全國職工總會英語National Trades Union Congress助理秘書長詹惠鳳(Cham Hui Fong)組成。[7] 委員會呼籲總檢察長辦公室提供證據,總檢察長辦公室任命網絡安全局在刑事調查部的支持下開展調查工作。

8月28日,委員會舉行了閉門和公開聽證會,9月21日至10月5日舉行了另一部分聽證會[8][9][10][11]。此外,個人數據保護委員會針對可能違反《個人數據保護法》的情況進行了一些調查,確定了這方面後續應當採取的行動。[12]

調查委員會聽證會

編輯

事後召開的一系列聽證會於2018年11月14日結束,最後陳述於2018年11月30日舉行。[13] 2018年12月31日,委員會向易華仁提交調查報告。

2019年1月10日,委員會公開發布調查報告。[14]

公開發布版本的調查報告

編輯

2019年1月10日,調查委員會發布了SingHealth事件的調查報告。報告指出SingHealth的員工沒有受到充分的網絡安全培訓,因此無法阻止攻擊。關鍵員工在網絡攻擊發起時由於畏懼沒有立即採取阻止襲擊的行動。更糟糕的是,攻擊者的技術高明,而系統漏洞沒有儘快修復。因此,攻擊者很容易闖入。該報告指出,如果工作人員接受了充分的培訓,並迅速修復漏洞,這次攻擊本可以避免。報告還認為此次襲擊來自於某個高級持續威脅組織。[15]

在同一份報告中,調查委員會提出了促進網絡安全的16項建議,分為優先建議和附加建議。[16]它們是:

  • 優先:
    • iHiS和公共衛生機構應加強其安全設施建設;
    • 審查線上服務安全程序來對防禦和應對網絡攻擊的能力進行評估;
    • 提高員工防範網絡攻擊的意識;
    • 特別是針對關鍵信息基礎設施(CII)系統,開展更高強度的安全檢查;
    • 對擁有特權的管理員帳戶進行更嚴格的控制與監控;
    • 改進事件響應過程;
    • 打造行業與政府的合作夥伴關係,實現更安全的政府網絡服務;
  • 附加:
    • 必須認真對待及定期進行資訊科技安保風險評估及審核;
    • 必須加強對電子醫療記錄保密性的保障措施;
    • 提高域安全性;
    • 採用更健壯的補丁管理流程;
    • 實施以網絡安全為重點的軟件升級政策;
    • 使用Internet訪問策略控制外部網絡暴露;
    • 明確網絡安全事件應對指導方針
    • 提高計算機安全事件響應人員的能力
    • 考慮對該網絡進行入侵後的獨立取證審查

2019年1月15日,易華仁在國會宣布政府將接受委員會的調查報告,並完全採納報告中提出的建議。此次事件還加速了針對提高關鍵信息基礎設施安全性的網絡安全法的通過。[17] 新加坡衛生部部長顏金勇在國會同時宣布將作出增強IHiS管理運作能力的改革。亞洲新聞網報道稱,衛生部將設置向衛生部常任秘書長報告的首席信息安全官(MOH CISO),而IHiS也將僱傭一名專職網絡安全治理的主管,從集群的層面對IHiS的安全做出調整,「二者將分別進行他們的工作,這將有助於提升IT系統的管理運作能力。」此外,衛生部將為公共衛生系統設置加強的「三道防線」系統,並在國立大學衛生系統中試點部署「虛擬瀏覽器」。網絡攻擊事件後,針對公衛員工的互聯網隔離措施將會繼續實施,而此前的強制向國家電子醫療檔案(NEHR)上傳所有患者數據的政策將繼續暫緩執行。[18][19]

善後

編輯

在遭受網絡攻擊後,工作人員切斷了所有可訪問醫療保健網絡的公共醫療保健IT終端的互聯網鏈接,並設置了額外的系統監控和控制措施。[20]

攻擊導致新加坡「智慧國度」計劃暫停了兩周。在此期間,有關機構對公共部門的網絡安全政策進行了審查。審查報告敦促公共部門使用新安全措施、隔離互聯網接入或使用更安全的網關控制互聯網流量。[21]

此次襲擊也引起了一些醫療從業者對新加坡政府集中電子化管理患者數據的擔憂,不過衛生部暫停執行NEHR強制上傳政策,並於2018年8月6日宣布,由網安機構和普華永道組成的一個獨立審查團體將在重啟NEHR前對其進行審查。[22]

事件發生後,IHiS也針對數據泄露問題增強了公衛系統的安全防護。IHiS要求在24小時內報告可疑IT事件,並在各大醫院採取包括為所有管理員提供雙因素認證、部署主動式威脅搜查和情報收集策略、只允許安裝了最新安全更新的計算機鏈接醫療網絡以及新的數據庫活動監控等更強的安全措施。為了在醫療保健系統的某些部分持久化使用網絡分離方案(ISS),IHiS已經進行了一些研究,並部署了虛擬瀏覽器試點。[23]

2019年1月14日,綜合衛生信息系統以事件處理不當和對網絡攻擊理解的理由解僱了兩名員工,另有一名員工遭到降級。兩名中層領導、包括CEO Bruce Liang在內的五名高層管理者受到經濟處罰。此外,儘管並非他們的分內之事,三位員工積極參與處理此次事件,也因此得到IHiS的表彰。事後,IHiS迅速制定了18項加強網絡安全的措施。[24]

15日,個人數據保護委員會(Personal Data Protection Commission)以《2012年個人數據保護法英語Personal Data Protection Act 2012 (Singapore)》充分保護個人數據的指控對IHiSSingHealth分別處以75萬新元和25萬新元的罰款,原因是他們沒有按照該法充分保護個人數據,這是新加坡針對數據泄露開出的最大罰單。[25]

參考文獻

編輯
  1. ^ Tham, Irene. Personal info of 1.5m SingHealth patients, including PM Lee, stolen in Singapore's worst cyber attack. The Straits Times. 2018-07-20 [2018-10-02]. (原始內容存檔於2018-08-22). 
  2. ^ 2.0 2.1 Kwang, Kevin. Singapore health system hit by 'most serious breach of personal data' in cyberattack; PM Lee's data targeted. Channel NewsAsia. 2018-07-20 [2020-08-28]. (原始內容存檔於2018-07-26).  引用錯誤:帶有name屬性「:0」的<ref>標籤用不同內容定義了多次
  3. ^ 3.0 3.1 3.2 Hackers stole data of PM Lee and 1.5 million patients in 'major cyberattack' on SingHealth. TODAYonline. 2018-07-20 [2018-10-02]. (原始內容存檔於2018-07-21). 
  4. ^ Tham, Irene. Personal info of 1.5m SingHealth patients, including PM Lee, stolen in Singapore's worst cyber attack. The Straits Times. 2018-07-20 [2019-09-03]. (原始內容存檔於2018-08-22). 
  5. ^ Baharudin, Hariz. Ministers' answers. The Straits Times. 2018-08-07 [2018-08-16]. (原始內容存檔於2018-08-17). 
  6. ^ Singapore Minister: Major Cyberattack May Be State-Linked. Associated Press. 2018-08-06 [2018-08-16]. (原始內容存檔於2018-08-17). 
  7. ^ Tham, Irene. 4-member Committee of Inquiry convened to investigate SingHealth cyber attack. The Straits Times. 2018-07-24 [2020-01-20]. (原始內容存檔於2020-10-02). 
  8. ^ Baharudin, Hariz. COI hearings on SingHealth cyber attack from Aug 28. The Straits Times. 2018-08-08 [2018-08-16]. (原始內容存檔於2018-08-17). 
  9. ^ Tham, Irene. Hearings on SingHealth cyber breach from Sept 21. The Straits Times. 2018-09-12 [2020-01-22]. (原始內容存檔於2020-10-02). 
  10. ^ Wong, Pei Ting. SingHealth cyber attack hearings resume Sept 21; inquiry committee seeks recommendations from the public. Today. 2018-09-11 [2020-01-22]. (原始內容存檔於2020-11-09). 
  11. ^ Schedule of Public Hearing Convened by COI into the Cyber Attack on SingHealth. Ministry of Communications and Information. 2018-09-20 [2020-01-22]. (原始內容存檔於2020-10-02). 
  12. ^ Tham, Irene. Singapore's privacy watchdog to investigate SingHealth data breach. The Straits Times. 2018-07-24 [2020-01-20]. (原始內容存檔於2020-11-09). 
  13. ^ Conclusion of Scheduled Hearings for COI into SingHealth Cyber Attack. MCI. 2018-11-14 [2020-02-17]. (原始內容存檔於2020-10-02). 
  14. ^ Tham, Irene. Top-secret report on SingHealth attack submitted to Minister-in-charge of Cyber Security. The Straits Times. 2018-12-31 [2020-02-17]. (原始內容存檔於2020-10-02). 
  15. ^ Tham, Irene; Baharudin, Hariz. COI on SingHealth cyber attack: 5 key findings. The Straits Times. 2019-01-10 [2019-09-03]. (原始內容存檔於2020-10-02). 
  16. ^ Baharudin, Hariz. COI on SingHealth cyber attack: 16 recommendations. The Straits Times. 2019-01-10 [2019-09-03]. (原始內容存檔於2020-10-02). 
  17. ^ SingHealth cyberattack: Govt to fully adopt COI recommendations, S Iswaran says. Channel NewsAsia. 2019-01-15 [2019-09-03]. (原始內容存檔於2020-10-02). 
  18. ^ Abu Baker, Jalelah. SingHealth cyberattack: IHiS, public healthcare system to see enhanced governance, changes to organisational structure. Channel NewsAsia. 2019-01-15 [2019-09-03]. (原始內容存檔於2020-10-02). 
  19. ^ Wong, Pei Ting. Doctors raise concerns again over national e-records system after data breach at SingHealth. TODAYonline. 2018-07-23 [2018-08-16]. (原始內容存檔於2018-08-17). 
  20. ^ SingHealth cyberattack: Internet surfing delinked at all public healthcare clusters. Channel NewsAsia. [2018-08-16]. (原始內容存檔於2018-08-17). 
  21. ^ Tham, Irene. SingHealth cyber attack: Pause on Smart Nation projects lifted; 11 critical sectors told to review untrusted external connections. The Straits Times. 2018-08-03 [2018-08-16]. (原始內容存檔於2018-08-17). 
  22. ^ Choo, Cynthia. National e-records system to undergo ‘rigorous’ security review before proceeding with mandatory contribution. Today. 2018-08-06 [2019-09-03]. (原始內容存檔於2020-11-11). 
  23. ^ Tham, Irene. New measures to strengthen public healthcare systems following SingHealth data breach. The Straits Times. 2018-11-01 [2020-02-17]. (原始內容存檔於2020-10-02). 
  24. ^ Mohan, Matthew; Sim, Fann. SingHealth cyberattack: IHiS sacks 2 employees, imposes financial penalty on CEO. Channel NewsAsia. 2019-01-14 [2019-09-03]. (原始內容存檔於2020-11-07). 
  25. ^ Mohan, Matthew. PDPC fines IHiS, SingHealth combined S$1 million for data breach following cyberattack. Channel NewsAsia. 2019-01-15 [2019-09-03]. (原始內容存檔於2020-11-11).