衛生部長顏金勇今天在國會就新保集團網絡襲擊事件發表部長聲明時,這次襲擊是由老練又富有資源的攻擊者所發動的。
進一步分享了襲擊事件的細節,他也表示針對新保集團網絡襲擊事件,多名議員在國會辯論上,向衛生部長提問。對此,顏金勇部長在部長聲明中表示,他也再次為事件致歉。
部長說,這起事件的攻擊者,不是一般黑客或犯罪集團的所為,而是精密又富有資源的攻擊者的所為。他說:「攻擊者是通過一個前端的工作站,初始攻擊,侵入SingHealth的系統,接著通過先進和複雜的工具,繞過多層安全屏障,然後獲得滲入資料庫的憑據。」
從偵測到公布 發現襲擊過程
顏金勇說,在7月4日,當局探測到不尋常活動後採取的行動。部長表示,綜合保健信息系統IHiS的管理人員,從新保集團的其中一個資訊科技系統探測到不尋常活動後,立即採取行動阻斷相關活動。
同時,IHiS對不尋常活動展開調查,以分辨活動是否為惡意行為。顏金勇表示,調查的過程十分耗時,因為我們的醫院系統,每天需要處理數百萬個數據查詢。而攻擊者在工作時也十分小心地移除過痕跡,使得調查更加困難。
事發隔日(7月10日)IHiS證實了這是一次網絡攻擊,並告知新保集團,衛生部和網絡安全局。此後,同時進行了幾個任務。 衛生部、IHiS、新保集團、通訊及新聞部和網絡安全局組成的跨機構團隊緊密合作,以遏制網絡攻擊,並採取措施防止進一步的攻擊。
顏金勇說:「我們實施了額外的控制和監控措施,例如限制用戶訪問,阻止更多連接,重置安全令牌,強制要求用戶更改密碼,以及加強對公共醫療保健行業IT系統的監控。 與此同時,IHiS的一個獨立團隊也協助新保集團,就受影響程度的進行評估。」
部長也表示系統中的資料庫未被篡改。他說:「新保集團IT系統中的所有記錄保持不變並且沒被篡改。IHiS工作人員梳理了詳細的系統訪問記錄,以確認資料庫未被篡改。」
再次出現惡意活動
而儘管當局已作出了額外的網絡安全措施,但初次攻擊後,當局再次監測到了新一輪的惡意活動。他說:「我們在網絡上檢測到了進一步的惡意活動,但沒有更多患者的數據被進一步侵入或複製。」
部長說:「我們決定於7月19日對SingHealth進行網際網路瀏覽分離,以儘量減少進一步入侵和滲透的風險。 7月20日,我們評估了情況已經穩定後,儘管調查仍在進行中,我們告知公眾這起網絡攻擊。」
以病患利益為主 三大應對措施
針對當局對這次襲擊採取的措施,顏金勇部長列出三大點,表示當局採用了多層的網絡安全措施,並將病患的安危列為最優先考量。
他說,首先採取了預防措施,我國網絡系統涵蓋防禦非法訪問的設計,例如,網際網路針對網絡威脅的對外和對內部,未經授權的訪問的領域,都有多層安全保護。當局會定期進行漏洞掃描和測試,並執行獨立的IT安全審計。這次受影響的系統,最後一次審計,是在2017年下半年完成的。
顏金勇部長說,第二方面是檢測措施。政府有專門的監控工具和服務,來檢測入侵活動。「我們的系統也是專為提供內部和外部,全天候監控詳細及全面活動記錄所設計的。」
第三個措施是回應。他說,衛生部已經制定了操作和技術程序和措施,以便在發現侵入活動後,遏制影響並中和威脅。 如果系統被入侵,衛生部還會通知網絡安全局,並與其合作,以控制和調查入侵事件。衛生部也將定期進行演習,以確保工作人員熟悉程序。
多個政府部門於7月20日召開聯合記者會公布,新保集團的資訊科技系統遭黑客攻擊,150萬名病患的個人資料,以及16萬名病患的門診配藥資料被獲取。這些病人都在2015年5月到今年7月4日之間,到新保集團專科門診和綜合診療所看診。
- CH8/MC
