2018-07-21

新加坡150万病患数据被盗 总理李显龙开药记录遭泄露

编辑:吴盈秋
导 语

据新加坡《联合早报》20日报道,新加坡近来遭受历来最大规模的严重网络安全攻击。该国150万名病患的个人资料遭泄露,其中约16万人的门诊开药记录也被偷,还包括总理李显龙以及数名部长。

  浙江在线7月21日讯(浙江在线编辑 吴盈秋)据新加坡《联合早报》20日报道,新加坡近来遭受历来最大规模的严重网络安全攻击。该国150万名病患的个人资料遭泄露,其中约16万人的门诊开药记录也遭窃,包括总理李显龙以及数名部长在内。

  新加坡通讯及新闻部和卫生部20日联合召开记者会,介绍了该起网络攻击事故的详情。失窃的病患资料可追溯到2015年5月1日至今年7月4日这段期间,到新加坡保健服务集团旗下诊所问诊的病人。调查显示,黑客以恶意软件(malware)入侵新加坡保健服务集团(SingHealth)的系统后,从今年6月27日至7月4日盗取了150万名病患的个人资料,其中16万人的开药记录也被盗窃。失窃的个人资料包括姓名、身份证号码、地址,和出生日期等。受影响病人的资料与记录并没有被修改或删除。

新加坡总理李显龙发推文

  黑客还取得了李显龙和数名部长的个人资料和开药记录。调查显示,黑客的攻击行动经过蓄意和精密筹划,先从新保集团的电脑侵入,植入恶意软件后,有目标地攻击新保集团数据库中的具体个人资料,直接和不断地试图盗取和复制总理李显龙的个人医疗记录并成功得逞。

  李显龙在2015年2月被诊断患上前列腺癌,并接受手术切除前列腺。他在术后请了一个星期的病假修养,并于2015年3月正式重返工作岗位,出席国会辩论。

  被问及这次的攻击是否是海外黑客所为,是处于商业或是政治目的,如果是海外黑客我们正采取什么行动将他们绳之以法等,新加坡网络安全局局长许智贤以保安理由不愿透露太多,只表示“这不是业余黑客或犯罪团伙干的”。

  新加坡卫生部长颜金勇在当天下午的记者会上,对这起重大网安疏漏对国人造成的损失道歉,并表示深切的遗憾。

  报道称,新保集团(Singhealth)将通过手机短信和信件联络这150万名受影响的公众,他们的其他病历资料没有被盗取,其他公共医疗机构数据库也不受影响。  

  是什么让黑客盯上了医院

  《华盛顿邮报》分析卫生与公众服务部数据后发现,仅2015年3月,美医疗系统就遭遇了1100多次黑客攻击,逾1.2亿人利益受损。2016年6月,一名黑客从三家美国医疗机构窃取了数据库数据,并公然打广告兜售65万余名病人的医疗记录信息。

  为何黑客对医院青睐有加?专家认为,医院掌握的特有资源令不法分子垂涎三尺,而医院相对落后的信息安全系统又给了这些人可乘之机。

  按照《基督教科学箴言报》的说法,医疗系统在黑客眼中简直就是个大金库,内有个人姓名、住址、联系方式、社会保险号码、银行账号信息、索赔数据和临床资料等海量信息。这些信息不只能拿到黑市上卖个好价钱、供人盗用身份,还能让人非法获取处方药、甚至骗取保险。一旦有人因此被窃取身份,小到寻医问药、大到医疗保险、信用记录都可能受影响,风险着实不容忽视。

  美国知名网络安全研究机构波内蒙研究所数据显示,2014年医疗身份失窃影响了大约230万人的生活,比前一年上升21%,因此给受害者造成人均1.35万美元的损失。

  长期报道网络安全的记者贾伊库马尔·维贾扬认为,由于美国大力推进电子病历记录项目,眼下全国医疗系统的病历档案统统联网,这为黑客们向医院下手提供了便利。而医院和保险公司的信息安全技术更新换代比较慢,安全意识又普遍较弱——服务器管理不设权限,设备不更改初始密码或设置过于简单,无线网络密码几乎人人能猜到……这样的例子比比皆是,黑客们才得以频频得手、日渐猖狂。

timg (1).jpg

  还有更多安全隐患

  虽然迄今尚无报告显示黑客对医院的攻击造成病患伤亡,但不少业内人士呼吁,医院亟需加强数据安全工作,尤其在医疗设备上更要下功夫防范风险。

  约翰斯·霍普金斯大学计算机学教授、网络安全专家阿维·鲁宾说,早在上世纪90年代,他参观东海岸医院时就发现不少医院计算机实验室密码保护过于简单,安全程序被随意更改,软件控制的药物调剂机器人缺少必要的保护程序。

  “一旦(调剂药物的)软件出故障怎么办?要是有人攻击这个系统、导致药全都配错了怎么办?”鲁宾忧心忡忡地说。

  眼下,美国不少医疗设备生产商开始和监管者一起,加强安全措施,防范网络袭击——

  2013年,食品和药物管理局向医疗保健设备生产厂家发布网络安全备忘录,建议对方评估设备及相关网络安全;2014年,食品和药物管理局发布指导准则,要求医学设备上市前必须接受网络安全测试;2015年,食品和药物管理局联手国土安全部向医院发布警告,指出一种植入式药泵设计存在严重缺陷,能给黑客可乘之机;2016年1月,食品和药物管理局起草文件,要求设备生产商展开安全自检,同时允许第三方研究人员标注安全风险。

  医学设备技术安全顾问斯科特·埃芬斯认为,如何平衡医学创新和监管之间的关系至关重要,但这一切不应以人的生命为代价。

  埃芬斯说,虽然目前尚未发现有人蓄意针对医学设备发动网络攻击,但风险犹存。靠内部自省与外部监管不断完善是个漫长的过程,医院眼下至少还能做些补充防范措施,例如将安全风险最大的设备与外部网络断开,要求技术人员删除预设的安全凭证信息,加强无线网络安全,淘汰安全隐患较大的设备等。

  【延伸阅读】

  数据时代的隐私之战

  2017年,瑞典遭遇史上最大规模数据泄露事件。瑞典政府承认,在互联网工程服务外包中发生了大规模资料外泄。这些可能已遭泄露的信息包括瑞典全国的机动车驾驶人信息,桥梁、地铁、道路和港口等敏感信息,甚至还有瑞典警方和军方的车辆信息和防御计划等。

  黑客入侵也使用户信息出现泄露。美国《财富》网站报道,美国特朗普国际酒店管理公司于2017年7月表示,由于一家服务提供商的系统遭到黑客入侵,旗下14 处酒店的客户信用卡支付细节遭到外泄。

  另据英国的科技新闻网站The Register报道称,2017年7月,data.gov.uk网站使用者的姓名、邮箱和密码等信息被发现能在第三方网站上接入获取。2015年6月20日前注册这家网站的用户都受到了影响。

  印度出现了类似的情况,但规模更大,危害更严重。2017年7月初,有媒体报道印度电信运营商Jio超过1亿用户的信息遭到泄露,用户发现,在magicapk.com网站上输入一个Jio网络下的手机号码进行查询,会出现包括这个号码使用者的姓名、电子邮箱、号码激活日期和入网地点、个人身份证号码等多项个人信息。这被视为印度电信行业史上最大规模数据外泄事件。

  网络安全分析师斯里尼瓦斯·科达伊说,这些用户信息早在今年6月就出现在一个网络论坛上,在“暗网”(互联网上数量庞大的“隐身”网站)中,还出现了用户信息的截屏图片。Jio隶属印度信实工业公司,是印度移动通信市场上的后起之秀。信实董事长穆凯什·安巴尼被《福布斯》杂志评为印度最富有的人。

timg.jpg

  数据安全监管亟待完善

  数据泄露事件频发,暴露出互联网时代的治理漏洞,也暴露出互联网时代中数据隐私的保护与监管、保护与共享等诸多矛盾,对各国相关法律法规的制定和实施提出了更高要求。

  2015年12月,欧盟通过了《一般数据保护条例》,以欧盟法规的形式确定了对个人数据的保护原则和监管方式,避免个人数据陷入“裸奔”的尴尬。对于困扰欧盟与美国之间的信息自由流动问题,欧洲法院也做出了否决欧盟与美国《信息安全港》协议的裁决。

  “棱镜门”事件后,美国掀起了个人信息保护的高潮,除了《隐私保护法》,还陆续出台了《儿童在线隐私保护法》、《电子邮件隐私法案》、宽带用户隐私保护新规等法律法规。此外,美国还和欧盟联手打造《欧美隐私盾牌》协定,取代此前的《信息安全港》协议,以保护跨国个人数据安全。

  英国一些大机构今年以来遭到不同程度的黑客袭击。例如英国国民保健制度服务系统遭勒索软件病毒入侵后,多家医院电脑瘫痪,不得不停止接收患者,救护车等医疗服务也受到影响,这使得不少专家呼吁政府加强数据保护。

  英国本身也早就有数据保护法案。但多年前,英国曾有一个“时代”计划,并和美国国家安全局在嫌疑目标的确定、对民众通讯记录的获取等方面互通有无,如读取通话记录、电子邮件内容、社交网站的登录方式等信息。一些电信企业被迫选择将“部分或全部”通信服务转移到海外,企业及海外通信服务商不得不与英国当局私下达成协议,允许情报机构在“适当法律授权”下接触到英国境外的通信数据。

  随着数据隐私及安全问题越来越突出,英国政府宣布将修改相关法律条文,加强对个人数据隐私的保护。

  英国的情况多少反映出监管和隐私保护逐步从不和谐走向完善。事实上,这种情况在其他国家也存在。

  例如,为了防止有组织的恐怖主义行为,澳大利亚《强制保留通讯数据法案》于2015年3月生效。通过立法,澳大利亚政府要求其国内的通信运营商Telstra和Optus保存用户的通信数据,例如电话记录、IP地址、短信的详细信息、数据的地址等,保存期限是2年。

  对此,澳大利亚人各持己见。大部分人对此表示支持,同意用纳税人的钱来分摊网络公司储存数据需要的每年约为1.31亿澳元的高昂成本。也有公民自由倡导者认为,这反而可能泄露个人隐私。这部新数据法在争议中开始实施。

  在印度,2013年,其政府启动了覆盖面广阔的监控系统,这一系统允许政府窃听录音电话中的对话,阅读私人电子邮件和短信,监控脸谱和推特等社交网络平台上的发帖,并追踪个人在谷歌上的搜索目标和痕迹。安全部门不需要法院的监控命令,也无须告诉运营商,就可以获取通讯材料。直到目前,印度并没有正式的隐私法。

  德国拥有世界上最严格的隐私保护法。1977年,德国联邦政府出台了适用于整个德国的《联邦数据保护法》,约束范围包括电子通信、互联网等领域,防止因个人信息泄露导致的侵犯隐私行为。政府内部还设立了联邦数据保护与信息自由专员,来监督政府机构在保护个人数据方面的行为;德国各州也有数据保护专员,以类似的方式监督各州政府机构的行为。

  (综合新华社、环球网、经济参考报等)