對2018年7月事件的調(diào)查顯示，提醒警報遲到，使用弱管理密碼，以及一個未修補的工作站，使黑客最早在去年8月違反了該系統(tǒng)。對新加坡最嚴(yán)重的網(wǎng)絡(luò)安全漏洞的調(diào)查發(fā)現(xiàn)了一些不良安全措施，包括使用弱管理密碼和未修補的工作站。

在調(diào)查委員會(COI)領(lǐng)導(dǎo)的聽證會的第一天，調(diào)查結(jié)果顯露出來，該調(diào)查委員會是一個調(diào)查2018年7月安全漏洞的團隊，該安全漏洞侵害了150萬名SingHealth病人的個人數(shù)據(jù)。該事件還影響了160,000名訪問醫(yī)療保健提供者設(shè)施的患者的門診醫(yī)療數(shù)據(jù)，其中包括四家公立醫(yī)院，九家綜合診所和42家臨床專科醫(yī)院。

沒有任何系統(tǒng)是絕對可靠的，網(wǎng)絡(luò)安全漏洞是不可避免的，但新加坡需要做得更好，以降低風(fēng)險并履行其保護公民數(shù)據(jù)的承諾。

總檢察長Kwek Mean Luck在周五的開幕詞中表示，對安全漏洞的初步反應(yīng)是“零碎”和“不足”，以啟動為期六天的公開聽證會。

他表示可以采取更多措施防止安全事件升級，但他指出，這一漏洞也具有典型的高級持續(xù)性威脅(APT)攻擊特征。它涉及使用高度復(fù)雜的工具，包括成功滲透SingHealth的防病毒和安全工具的定制惡意軟件。

Kwek指出，調(diào)查結(jié)果是由新加坡網(wǎng)絡(luò)安全局(CSA)進行的，調(diào)查結(jié)果顯示攻擊者使用公開的黑客工具來破壞終端用戶工作站。他們之所以能夠這樣做是因為工作站運行的是一個版本的Microsoft Outlook，該版本沒有使用補丁來更新以解決黑客工具的使用問題。

他說，這使得黑客最早在2017年8月進入SingHealth的網(wǎng)絡(luò)，在最初的漏洞后分發(fā)惡意軟件并感染其他工作站。

COI表示，此外，一個本地管理員帳戶使用“P @ ssw0rd”作為密碼，這可能很容易被破譯。據(jù)當(dāng)?shù)貜V播公司亞洲新聞頻道報道，發(fā)現(xiàn)攻擊者使用一些管理員帳戶遠程登錄新加坡綜合醫(yī)院托管的Citrix服務(wù)器。

事實上，攻擊者多次嘗試訪問運行Allscript Healthcare Solutions的Sunrise Clinical Manager(SCM)的數(shù)據(jù)庫，該數(shù)據(jù)庫由當(dāng)?shù)蒯t(yī)療保健部門的IT機構(gòu)綜合健康信息系統(tǒng)(IHIS)管理。

這揭示了網(wǎng)絡(luò)中的另一個不足之處，它允許黑客運行批量查詢，因為系統(tǒng)缺乏可能已經(jīng)識別出這種行為模式或未經(jīng)授權(quán)使用的規(guī)則或控制。

調(diào)查結(jié)果進一步揭示了SCM軟件中的編碼漏洞，這可能是黑客最終能夠從Healthcare-Cloud上托管的Citrix服務(wù)器中提取數(shù)據(jù)庫憑據(jù)的原因。

包含電子病歷的SCM軟件和系統(tǒng)在新加坡綜合醫(yī)院的Citrix服務(wù)器上托管，然后在2017年7月遷移到醫(yī)療保健云，后者是公共醫(yī)療保健部門的私有云平臺。

醫(yī)院的Citrix服務(wù)器與云平臺之間的網(wǎng)絡(luò)連接保持打開狀態(tài)，這可能使黑客利用SCM數(shù)據(jù)庫中的漏洞并檢索必要的憑據(jù)。

根據(jù)COI，2014年的一名前員工已向IHIS提醒有關(guān)編碼漏洞的信息，但醫(yī)療IT運營商未采取任何措施來解決此問題。

Kwek還指出，IHIS工作人員已經(jīng)意識到6月11日未經(jīng)授權(quán)試圖訪問數(shù)據(jù)庫。雖然他們試圖通過更改密碼和關(guān)閉服務(wù)器來解決這個問題，但他表示這些努力是零碎和不充分的。

此外，他說，7月4日，IHIS員工終止黑客訪問患者記錄，直到7月9日晚，他們才通知包括SingHealth CIO在內(nèi)的高級管理團隊。

聽證會將繼續(xù)與包括衛(wèi)生部，SingHealth和IHIS在內(nèi)的幾位證人進行聽證會。

預(yù)計COI將在年底前向新加坡通信和信息部長Iswaran提交報告和建議。