2018年SingHealth数据泄露事件是发生在新加坡的,由身份不明的攻击者造成的数据泄露事件。2018年6月27日至7月4日期间,约有150万份新加坡保健服务集团(英语:SingHealth)的患者个人资料、16万名患者的门诊配药记录遭到泄露。 攻击者访问并复制了自2015年5月1日起至2018年7月4日所有前往专科、综合医疗机构就诊的患者个人信息,其中包括姓名、 新加坡国民身份证号、家庭住址、出生日期、种族和性别。 患者的诊断信息、检查结果和医嘱等信息没有遭到泄露。 亚洲新闻频道报道称,攻击者的目标是李显龙总理的信息。
2018年7月4日,新加坡公共卫生服务的信息技术提供商——综合卫生信息系统(IHIS)的数据库管理员在SingHealth某一个IT数据库发现了异常活动,管理员随即针对可能的入侵活动采取预防措施,加强了对网络流量的监控。4日后仍不断有更多异常操作被发现,但并没有导致数据泄露。
管理员认定数据库遭到攻击,通知了IHIS并于7月10日通知新加坡网络安全局进行法律取证调查。安全局调查发现罪犯通过攻陷一台前端工作站来获取整个网络系统的访问权限和数据库登录信息,犯罪过程中还掩盖了其数字脚印。
7月20日,新加坡通讯及新闻部与新加坡卫生部发布声明,向公众公开此次攻击的信息。攻击被发现到公开信息的十天中,新加坡有关部门对IT系统进行了全面加固、对攻击进行了初步调查、统计遭受影响的患者名单并为信息公开做了一些准备。声明后,个人数据遭窃的患者陆续收到通知短信。
在议会发言时,新加坡通信和信息部长易华仁(英语:S. Iswaran)称此次泄露的攻击者与某些地区有复杂的关系,这种关系帮助他们编写了能够绕过SingHealth防病毒安全套件的极具针对性的恶意程序。出于国家安全的考虑,会上伊斯瓦兰没有指明他所说的地区。
2018年7月24日,新加坡政府组建调查委员会调查袭击的原因,并研究预防此类网络袭击的措施。 委员会由前地区首席法官理查德·马格纳斯(Richard Magnus)担任主席, Quann World首席执行官李福新(Lee Fook Sun)、Sheares Healthcare Management集团首席运营官T.K. Udairam和新加坡全国职工总会(英语:National Trades Union Congress)助理秘书长詹惠凤(Cham Hui Fong)组成。 委员会呼吁总检察长办公室提供证据,总检察长办公室任命网络安全局在刑事调查部的支持下开展调查工作。
8月28日,委员会举行了闭门和公开听证会,9月21日至10月5日举行了另一部分听证会。此外,个人数据保护委员会针对可能违反《个人数据保护法》的情况进行了一些调查,确定了这方面后续应当采取的行动。
事后召开的一系列听证会于2018年11月14日结束,最后陈述于2018年11月30日举行。 2018年12月31日,委员会向易华仁提交调查报告。
2019年1月10日,委员会公开发布调查报告。
2019年1月10日,调查委员会发布了SingHealth事件的调查报告。报告指出SingHealth的员工没有受到充分的网络安全培训,因此无法阻止攻击。关键员工在网络攻击发起时由于畏惧没有立即采取阻止袭击的行动。更糟糕的是,攻击者的技术高明,而系统漏洞没有尽快修复。因此,攻击者很容易闯入。该报告指出,如果工作人员接受了充分的培训,并迅速修复漏洞,这次攻击本可以避免。报告还认为此次袭击来自于某个高级持续威胁组织。
在同一份报告中,调查委员会提出了促进网络安全的16项建议,分为优先建议和附加建议。它们是:
2019年1月15日,易华仁在国会宣布政府将接受委员会的调查报告,并完全采纳报告中提出的建议。此次事件还加速了针对提高关键信息基础设施安全性的网络安全法的通过。 新加坡卫生部部长颜金勇在国会同时宣布将作出增强IHiS管理运作能力的改革。亚洲新闻网报道称,卫生部将设置向卫生部常任秘书长报告的首席信息安全官(MOH CISO),而IHiS也将雇佣一名专职网络安全治理的主管,从集群的层面对IHiS的安全做出调整,“二者将分别进行他们的工作,这将有助于提升IT系统的管理运作能力。”此外,卫生部将为公共卫生系统设置加强的“三道防线”系统,并在国立大学卫生系统中试点部署“虚拟浏览器”。网络攻击事件后,针对公卫员工的互联网隔离措施将会继续实施,而此前的强制向国家电子医疗档案(NEHR)上传所有患者数据的政策将继续暂缓执行。
在遭受网络攻击后,工作人员切断了所有可访问医疗保健网络的公共医疗保健IT终端的互联网链接,并设置了额外的系统监控和控制措施。
攻击导致新加坡“智慧国度”计划暂停了两周。在此期间,有关机构对公共部门的网络安全政策进行了审查。审查报告敦促公共部门使用新安全措施、隔离互联网接入或使用更安全的网关控制互联网流量。
此次袭击也引起了一些医疗从业者对新加坡政府集中电子化管理患者数据的担忧,不过卫生部暂停执行NEHR强制上传政策,并于2018年8月6日宣布,由网安机构和普华永道组成的一个独立审查团体将在重启NEHR前对其进行审查。
事件发生后,IHiS也针对数据泄露问题增强了公卫系统的安全防护。IHiS要求在24小时内报告可疑IT事件,并在各大医院采取包括为所有管理员提供双因素认证、部署主动式威胁搜查和情报收集策略、只允许安装了最新安全更新的计算机链接医疗网络以及新的数据库活动监控等更强的安全措施。为了在医疗保健系统的某些部分持久化使用网络分离方案(ISS),IHiS已经进行了一些研究,并部署了虚拟浏览器试点。
2019年1月14日,综合卫生信息系统以事件处理不当和对网络攻击理解的理由解雇了两名员工,另有一名员工遭到降级。两名中层领导、包括CEO Bruce Liang在内的五名高层管理者受到经济处罚。此外,尽管并非他们的分内之事,三位员工积极参与处理此次事件,也因此得到IHiS的表彰。事后,IHiS迅速制定了18项加强网络安全的措施。
15日,个人数据保护委员会(Personal Data Protection Commission)以《2012年个人数据保护法(英语:Personal Data Protection Act 2012 (Singapore))》充分保护个人数据的指控对IHiS和SingHealth分别处以75万新元和25万新元的罚款,原因是他们没有按照该法充分保护个人数据,这是新加坡针对数据泄露开出的最大罚单。
