新加坡SingHealth遭駭案,兩名員工因怠忽職守而被革職
去年7月新加坡醫療保健集團SingHealth發生的資料外洩事件嗎?該集團因遭到駭客入侵,有150萬名病人的個資遭竊,包含新加坡總理李顯龍的個資。專門開發與管理新加坡公共醫療IT系統並替SingHealth提供服務的Integrated Health Information Systems(IHiS)於本周祭出懲處,開除了兩名怠忽職守的員工,也針對包括執行長Bruce Liang在內的5名高級主管祭出罰款。
新加坡的個人資料保護委員會(Personal Data Protection Commission,PDPC)是在周二(1/15)基於該國的《個人資料保護去》對IHiS及SingHealth分別開罰75萬元坡幣(約1,730萬元新台幣)及25萬元坡幣(約577萬元新台幣)。
PDPC表示,IHiS的過失在於未能採取適當的方法來保護個人資料,而SingHealth雖然把資料交給IHiS保管,但SingHealth過於依賴IHiS,也不熟悉意外回應程序,且是資料最終的負責人,理當受罰。而這也是PDPC有史以來祭出的最重處罰。
該事件為新加坡史上最嚴重的資料外洩事件,遭竊的資料包括病人的姓名、身分證號碼、地址、性別、種族與出生日期,還有16萬人的開藥紀錄。
而IHiS則是在周一(1/14)開除了兩名員工,一為基礎設施系統團隊的負責人,根據IHiS的說明,雖然他具備必要的技術能力,但他對安全的態度及為伺服器所作的設定替該系統帶來了不必要的重大風險。另一位則是IHiS的網路安全負責人,IHiS認為他誤解了安全意外的定義,也不知何時應回報安全意外,在其它員工的多次警告下才採取行動,錯失了避免網路攻擊的最佳時機。
而包括執行長在內的5位IHiS中、高階主管也都被罰款,IHiS認為,這是他們必須承擔的集體領導責任。
星國史上最大網路攻擊,懷疑是政府駭客發動的APT攻擊
七月新加坡遭遇該國史上最大網路攻擊,致使總理李顯龍等150萬名用戶個資及處方資訊外洩,而該國周一公佈調查報告,表示此次為APT攻擊,並且可能是和政府有關聯的駭客所為。
周一新加坡通訊部長S. Iswaran在國會上報告七月發生的網路攻擊案的調查報告。他指出,這場攻擊為一個進階持續性滲透攻擊(Advanced Persistent Threat, APT),一般是與國家有關的高明、精心策畫的網路攻擊,旨在竊取資訊或破壞基礎設施的運作。駭客組織經由持續性滲透,繞過安全防護,鎖定新加坡國家醫療資訊系統SingHealth,最後非法存取並竊取資料。
星國網路安全署調查發現,駭客具備APT組織的行為特徵,包括使用高明、進階的工具,像是可躲避SingHealth防毒及其他安全偵測的特製惡意程式,而且駭客進駐政府網路後即潛伏在系統中,伺機暗中竊密。新加坡政府認為這次駭客攻擊符合特定某些已知APT組織的特徵,但基於國家安全理由不公佈任何相關細節。
這項攻擊發生於7月4日,星國國家資訊系統管理員發現SingHealth資料庫有不正常的網路活動後並採取封鎖。此次攻擊導致6月27到7月4日SingHealth用戶資訊被複製到海外伺服器,而外洩的個資包括150萬名病患姓名、個資、身份證字號、地址及生日等個資,以及16萬名門診病患處方資料,而總理李顯龍的個資更是多次遭到鎖定。
不過星國政府強調,民眾的電話、密碼、信用卡號碼等、或是醫療診斷、檢測和醫囑等資料並未外洩。
這是近年來最新一起大規模國家資料外洩事件。2015年美國人事管理局爆出遭網路攻擊,先後導致400萬筆公務員及2,100 萬筆的民眾個人資料遭竊的重大的資料外洩。
新加坡大砸40億元推動國家級網路安全戰略
為了確保國家安全,網路安全已經是不可忽略的關鍵領域,新加坡總理李顯龍為了表達對於網路安全的重視,日前也以國家最高領導人之姿,親自出席為期一周的網路安全周活動致詞,並正式對外公布「新加坡國家網路安全戰略」完整內容。
李顯龍在致詞中指出,新加坡本身也是經常遭到駭客鎖定攻擊的國家,最常遭到的網路攻擊包括網路釣魚以及DDoS攻擊,甚至有一些網站也常遭到駭客網頁置換(Deface)。
為了因應越來越複雜的網路安全事件,李顯龍指出,該國不僅從去年起就成立新加坡國家網路安全局(CSA),作為統籌國家整體的網路安全政策方針和因應措施,也預計到明年中,完成所有公務機關公務系統與電子郵件實體隔離的任務。
網路安全就是國家安全,李顯龍表示,政府將投資1.9億新加坡幣(約新臺幣40億元)作為推動並強化整個國家網路安全戰略,包括產業發展和資安人才培育等面向,他也向一般企業喊話:「網路安全不只是國家的事情,也是企業必須面對的問題。」他認為,因為企業也是被駭客鎖定攻擊的對象,所以企業本身也應該要投資在網路安全領域,「投資資安就是一種保護自己的投資。」他說。
網路安全就是國家安全議題,成立國家網路安全局因應
李顯龍說:「新加坡不僅要成為一個智慧國家(Smart Nation),也必須成為一個安全的國家。」他認為,一個國家若是要彰顯發展資訊通訊科技(ICT)和數位科技的潛力,前提就是取決於人民是否信任網際網路和網路,落實網路安全就是讓人民信任的關鍵,而網路安全問題就是國家安全層面的重要議題。
新加坡是一個高度資訊化和數位化的國家,面對日益複雜的網路威脅與攻擊,李顯龍認為,現在的政府已經無法忽略網路安全的問題,唯有落實網路系統和網路防禦,才能確保國家的網路安全性。
新加坡便在去年成立新加坡網路安全局(CSA),並且和其他50個資訊安全相關單位進行協商討論,制訂新加坡國家級網路安全戰略(Singapore’s Cybersecurity Strategy),並確認網路安全政策的4個面向,包括:建置彈性關鍵資訊基礎設施、創造安全網路空間、發展網路安全生態體系,以及強化網路安全相關的國際合作關係。
戰略1:建置彈性關鍵資訊基礎設施
李顯龍認為,網路安全首要目的是:強化提供基本服務的重關鍵資訊基礎設施(CII)。新加坡政府將來會實施「關鍵資訊基礎設施保護計畫(CII Protection Programme)」,建構一套健全的和有系統性的網路風險管理流程,以及在各級重要資訊基礎建設組織裡面透過教育和處理資訊安全問題,建立具有網路風險意識的文化。並且,他表示,政府也會增加採用以資訊安全為主要設計的實踐方式,致力於解決上游以及供應鏈上的網路安全議題。
政府同時要強化國家網路在各種情境的資安意識,定期在各個單位實施網路安全資安演練,並且建立更多的國家級網路事件應變小組(NCIRT)和加強重要部門的災難復原計畫(DRP)和業務持續計畫(BCP),未來一旦面對網路威脅或攻擊時,都有回復營運的能力。
除此之外,將來會推出新的網路安全法,要求重要資訊基礎建設的擁有者和營運商都要承擔提供安全網路環境的責任。李顯龍表示,新加坡網路安全局(CSA)能透過此法案共享網路安全的資訊,同時賦予權力與受到影響的當事者密切合作,及時解決網路安全的意外事件。政府也會將撥出8%的政府通訊技術預算來用於網路安全的防護,提高政府部門的網路安全意識,並且加強對網路事件做管理。
戰略2:創造安全網路空間
新加坡為了應變網路犯罪的威脅,將執行最近啟動的「國家網路犯罪行動計畫」,新加坡政府會與全球機構、其他國家政府、產業合作對象和網路服務提供商共同合作,增進快速辨別和減少惡意流量影響網路設施的能力。同時,相關網路安全社群和商業協會彼此可以互相發揮其作用,促進成員了解網路安全議題和提供有效率的解決方法。
舉例而言,新加坡政府的公務系統有一套登入系統(SingPass),為了確保登入系統的身分安全,也積極推動雙因素認證作為認證機制。
戰略3:發展具有活力網路安全生態系統
新加坡希望能成為全球上網路安全產業最尖端的國家,並且提供國內網路安全產業的經濟機會。他指出,政府開始會與產業界和高等學習機構(IHLs)合作增加網路安全的人力,並且鼓勵現存的網路安全專業人員加深他們解決網路安全問題的技能,並且研發針對產業界的網路安全研究,讓學術界和產業界之間關係更密集。
例如,新加坡政府也會推出更多的獎學金,鼓勵資安相關研究,另外,也會提供更好的工作機會,吸引優秀資安人才到新加坡工作。
戰略4:強化網路安全相關的國際合作關係
新加坡會將積極配合國際社會,特別是東南亞國協(ASEAN,簡稱東協)來解決網路安全與網路犯罪的問題。並且,透過與其他國家的國際共識、協議和合作讓新加坡成為在網路上更安全的國家。
因此,新加坡實踐網路安全戰略的首要行動,為了防止政府資料在傳送或分享過程中洩密,2017年5月新加坡公務員電腦不再提供上網的服務。屆時,十幾萬臺公務機構電腦都會受到影響,公務員僅能透過私人手機和平板電腦上網,需要上網的公務員會有專門配發的網路終端。
