在调查委员会(COI)领导的听证会的第一天,调查结果显露出来,该调查委员会是一个调查2018年7月安全漏洞的团队,该安全漏洞侵害了150万名SingHealth病人的个人数据。该事件还影响了160,000名访问医疗保健提供者设施的患者的门诊医疗数据,其中包括四家公立医院,九家综合诊所和42家临床专科医院。
没有任何系统是绝对可靠的,网络安全漏洞是不可避免的,但新加坡需要做得更好,以降低风险并履行其保护公民数据的承诺。
总检察长Kwek Mean Luck在周五的开幕词中表示,对安全漏洞的初步反应是“零碎”和“不足”,以启动为期六天的公开听证会。
他表示可以采取更多措施防止安全事件升级,但他指出,这一漏洞也具有典型的高级持续性威胁(APT)攻击特征。它涉及使用高度复杂的工具,包括成功渗透SingHealth的防病毒和安全工具的定制恶意软件。
Kwek指出,调查结果是由新加坡网络安全局(CSA)进行的,调查结果显示攻击者使用公开的黑客工具来破坏终端用户工作站。他们之所以能够这样做是因为工作站运行的是一个版本的Microsoft Outlook,该版本没有使用补丁来更新以解决黑客工具的使用问题。
他说,这使得黑客最早在2017年8月进入SingHealth的网络,在最初的漏洞后分发恶意软件并感染其他工作站。
COI表示,此外,一个本地管理员帐户使用“P @ ssw0rd”作为密码,这可能很容易被破译。据当地广播公司亚洲新闻频道报道,发现攻击者使用一些管理员帐户远程登录新加坡综合医院托管的Citrix服务器。
事实上,攻击者多次尝试访问运行Allscript Healthcare Solutions的Sunrise Clinical Manager(SCM)的数据库,该数据库由当地医疗保健部门的IT机构综合健康信息系统(IHIS)管理。
这揭示了网络中的另一个不足之处,它允许黑客运行批量查询,因为系统缺乏可能已经识别出这种行为模式或未经授权使用的规则或控制。
调查结果进一步揭示了SCM软件中的编码漏洞,这可能是黑客最终能够从Healthcare-Cloud上托管的Citrix服务器中提取数据库凭据的原因。
包含电子病历的SCM软件和系统在新加坡综合医院的Citrix服务器上托管,然后在2017年7月迁移到医疗保健云,后者是公共医疗保健部门的私有云平台。
医院的Citrix服务器与云平台之间的网络连接保持打开状态,这可能使黑客利用SCM数据库中的漏洞并检索必要的凭据。
根据COI,2014年的一名前员工已向IHIS提醒有关编码漏洞的信息,但医疗IT运营商未采取任何措施来解决此问题。
Kwek还指出,IHIS工作人员已经意识到6月11日未经授权试图访问数据库。虽然他们试图通过更改密码和关闭服务器来解决这个问题,但他表示这些努力是零碎和不充分的。
此外,他说,7月4日,IHIS员工终止黑客访问患者记录,直到7月9日晚,他们才通知包括SingHealth CIO在内的高级管理团队。
听证会将继续与包括卫生部,SingHealth和IHIS在内的几位证人进行听证会。
预计COI将在年底前向新加坡通信和信息部长Iswaran提交报告和建议。