• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:501

SingHealth是新加坡最大的醫療集團，擁有2家三級醫院、5家國家級專科醫院和8家綜合診所，根據新加坡衛生部（MOH）發布的一份諮詢報告，駭客還提供個人資訊，竊取了大約16萬名患者的「門診配藥」資訊，其中包括新加坡總理李顯龍和少數部長。

新加坡衛生部(MOH)表示「2018年7月4日，IHiS的資訊庫管理員在SingHealth的一個IT資訊庫中檢測到異常活動。他們立即採取行動」，被盜資訊包括患者的姓名，地址，性別，種族，出生日期和國家註冊身份證（NRIC）號碼，並特別針對總理的「門診配藥」個人資訊進行蒐集。

到目前為止，沒有證據表明這次襲擊主謀是誰，但衛生部表示網路攻擊「這不是任意駭客或犯罪集團的工作」媒體也猜測駭客可能是由國家級的駭客行為。

新加坡網路安全局（CSA）和綜合健康資訊系統（IHiS）的調查也證實，「這是一次蓄意、具有針對性，且精心策劃的網路攻擊」，新加坡政府向其公民保證，沒有醫療記錄被篡改或刪除，並且沒有診斷、檢測結果或醫生的記錄在攻擊事件中被盜，在接下來的五天內，醫療機構將聯繫所有受影響的患者。

而於今年5月1日正式成立的名為智慧國家及數位政府工作團隊(Smart Nation and Digital Government Group, SNDGG) 因此次事件，新加坡政府為了讓SNDGG全盤審查政府系統的網路安全措施，並在必要時實施任何額外的保護措施，將「暫停」推出新的資訊通信技術系統。新加坡政府表示，目前為暫停性評估，並強調Smart Nation專案仍將逐步實施，沒有具體的專案存在實質性的停止風險。

由於醫療保健行業是國家關鍵基礎設施的一部分，除水、電和運輸外，它已成為一個對駭客具有強烈吸引力的目標。

SingCERT因應此事件，提出建議的安全措施，並強烈建議公司企業審查其系統並對可疑活動保持警惕。

以下是公司企業可採取的直接措施：

1.查看網域管理員帳戶

網域管理員可以完全控制網域。應查看並嚴格管理網域管理員帳戶，並禁用在不再使用之非活動帳戶。

2.禁用標準工作站的PowerShell

攻擊者可利用PowerShell執行惡意命令和腳本。如果標準用戶工作站不需要，請考慮禁用PowerShell。

3.監控未授權的遠程存取或資料庫存取

請留意可疑的SQL查詢，特別是那些返回與資料庫大小相關的大量資訊的查詢。遠程存取應具有強大的登錄密碼，並且僅限於授權用戶。

4.加強對長期運行或退役終端的控制

監控長時間運行的端點是否存在感染跡象。退役端點應在不再使用時離線，因為攻擊者可能利用這些可能已過時的軟體和病毒定義的端點。

5.採用強大的端點保護

考慮為標準用戶提供企業範圍的應用程式白名單。白名單將標準用戶限制為已批准的應用程式列表，同時阻止所有其他應用程式運行，包括防病毒軟體可能沒有定義的惡意軟體。

6.使系統保持最新狀態

應用軟體更新和安全修補程序，以便修復可能被攻擊者或惡意軟體利用的已知漏洞。

SingCERT提到，網路攻擊仍然是一種普遍的威脅。企業需要提高警惕，以應對不斷變化的網路威脅，並採取預防措施來保護其公司的資料。作為商業推動者，網路安全不應該是事後的想法。透過採用六個“要點”來加強您組織的網路防禦：

1.瞭解您的資產

識別並瞭解您的組織的網路元件, 以防止和發現未經授權的訪問這些資產。

2.只允許授權軟體運作

實現與防病毒集成的應用程式控制, 以便只允許授權的軟體運作。

3.及時修補和更新

及時修補和更新您的作業系統、韌體和應用程式, 以減少系統已知的漏洞, 從而將網路攻擊降至最低。

4.給出正確的管理「通行證」

限制管理員許可權, 以免給攻擊者特權來破壞系統。

5.及時檢測違規情況

透過使用啟用的審核跟蹤/安全性記錄檔記錄設置連續監視，儘快檢測違規情況。

6.存取控制

透過實施多因素身份驗證, 確保僅授權存取。

參考連結：

https://thehackernews.com/2018/07/singapore-healthcare-breach.html
https://www.straitstimes.com/singapore/personal-info-of-15m-singhealth-patients-including-pm-lee-stolen-in-singapores-most
https://www.bleepingcomputer.com/news/security/hackers-stole-a-third-of-singapores-healthcare-data-including-prime-ministers/
https://www.reuters.com/article/us-singapore-cyberattack/cyberattack-on-singapore-health-database-steals-details-of-1-5-million-including-pm-idUSKBN1KA14J?feedType=RSS&feedName=technologyNews
https://www.securityweek.com/singapore-health-database-hit-major-cyberattack
https://www.tripwire.com/state-of-security/security-data-protection/data-of-1-5-million-people-breached-in-singapores-worst-digital-attack/
https://www.facebook.com/125845680811480/posts/1957979740931389/
https://www.mci.gov.sg/pressroom/news-and-stories/pressroom/2018/7/minister-in-charge-of-cybersecurity-convenes-committee-of-inquiry
https://www.csa.gov.sg/singcert/news/advisories-alerts/measures-for-protecting-customers-personal-dat