SingHealth ir Singapūro viešosios sveikatos priežiūros sektoriaus IT agentūra IHIS gavo 250 000 ir 750 000 Singapūro dolerių. atitinkamai finansinės baudos už 2018 metų liepos mėnesį įvykdytą kibernetinio saugumo ataką, kurios metu buvo pažeisti šalies asmens duomenys apsaugos aktas. Baudos yra didžiausios iki šiol.
Singapūro sveikatos paslaugoms („SingHealth“) skirta 250 000 Singapūro dolerių bauda, o IT agentūra „Integrated Health Information Systems“ (IHIS) Singapūro viešajam sveikatos priežiūros sektoriui skirta 750 000 Singapūro dolerių bauda už tai, kad nesiėmė tinkamų saugumo priemonių asmens duomenims apsaugoti. Priežiūra prisidėjo prie 2018 m. liepos mėn. kibernetinio saugumo atakos, kurios metu buvo pažeista asmeninė informacija 1,5 mln. „SingHealth“ pacientų ir pažeidė savo duomenų apsaugos įsipareigojimus, nurodytus straipsnyje Singapūro Asmens duomenų apsaugos įstatymas.
SingHealth buvo laikomas atsakingas kaip savininkas pacientų duomenų bazė, kuri buvo infiltruota užpuolimo, dėl kurio įvyko
baisiausias asmens duomenų pažeidimas Singapūro istorijoje“, – sakė teisės aktus administruojanti Asmens duomenų apsaugos komisija (ADPK). pareiškime antradienis. Įvykio metu taip pat buvo pažeisti dar 160 000 pacientų ambulatoriniai medicininiai įrašai.Taip pat žr
Singapūras turi būti griežtesnis toms įmonėms, kurios saugumą traktuoja kaip pridėtinės vertės paslaugą
Skaitykite dabarPDPC teigė: „SingHealth darbuotojai, sprendžiantys saugumo incidentus, nebuvo susipažinę su reagavimo į incidentus procesu, pernelyg priklausomi nuo IHiS, ir nesuprato bei nesiėmė tolesnių veiksmų, kad suprastų IHIS pateiktos informacijos svarbą po to, kai ji buvo iškilo į paviršių.
„Net jei organizacijos paveda darbą pardavėjams, organizacijos, kaip duomenų valdytojai, galiausiai turi imtis atsakomybė už asmens duomenis, kuriuos surinko iš savo klientų“, – komisija sakė. "Šios finansinės baudos yra didžiausios iki šiol PDPC skirtos."
Ji teigė, kad atsižvelgta į tai, kad duomenų pažeidimas buvo didžiausias šalyje ir buvo susijęs su neskelbtinais ir konfidencialiais pacientų duomenimis. Ji taip pat pažymėjo, kad abi organizacijos ėmėsi neatidėliotinų taisomųjų veiksmų ir kad kibernetinė ataka buvo APT (pažangios nuolatinės grėsmės) grupės darbas, kuris naudojo „daug pažangių, pritaikytų ir slaptų“ įrankiai. Programišiai ataką įvykdė daugiau nei 10 mėnesių nuo 2017 m. rugpjūčio mėn.
Kibernetinės atakos duomenų bazėje buvo daugiau nei 5,01 mln. asmenų pacientų duomenys, 2018 m. liepos mėn. PDPC pranešime teigiama. „SingHealth“ grupę sudarė kelios valstybinės ligoninės ir sveikatos priežiūros įstaigos, įskaitant Singapūro bendrąją ligoninę serverių, į kuriuos buvo įsilaužta, vieta – Nacionalinis vėžio centras, Singapūro nacionalinis širdies centras ir Singapūro nacionalinė akis Centras.
Savo ataskaitoje komisija pažymėjo, kad SingHealth CISO (vyriausiasis informacijos saugumo pareigūnas) nepriėmė nepriklausomo sprendimo ir nesilaikė IT saugumo incidento. ataskaitų teikimo procesai, suabejoti, ar „SingHealth“ ėmėsi pagrįstų ir tinkamų priemonių, kad apsaugotų nuo neteisėtos prieigos prie jose esančių asmens duomenų. duomenų bazės.
„Dar svarbiau, kad tai rodo didesnę sisteminę problemą organizacijoje. Pirmiausia šalys turėtų sudaryti sutartį, kurioje būtų nustatyti duomenų tarpininko įsipareigojimai ir atsakomybė siekiant apsaugoti organizacijos asmens duomenis ir atitinkamus šalių vaidmenis, įsipareigojimus ir atsakomybę apsaugoti asmens duomenis“, – PDPC. sakė.
IHIS pirmadienį pasakė du darbuotojai buvo atleisti už aplaidumą ir įsakymų nevykdymą, o penki vyresnieji vadovai, įskaitant jos generalinį direktorių Bruce'as Liangas buvo nubaustas už „kolektyvinę vadovavimo atsakomybę“ už „SingHealth“ saugumą pažeidimas.
Agentūra teigė, kad sistemas administruojanti IT komanda būtų galėjusi sušvelninti kibernetinės atakos padarinius, jei būtų tinkamai laikęsi ir valdiusi serverius. Be to, reagavimo į saugumo incidentus vadovas nesuprato, kas yra „saugumo incidentas“, ir todėl nesukėlė pavojaus, nepaisant pakartotinių darbuotojų įspėjimų.
Komitetas, paskirtas peržiūrėti įvykius, vedančius prieš „SingHealth“ ataką, praėjusią savaitę paskelbė 16 sąrašą rekomendacijas, kurios turėtų būti priimtos užpildyti esamas spragas ir pagerinti asmens duomenų apsaugą. Atsakydamas Singapūro ryšių ir informacijos ministras S. Iswaranas sakė parlamente Antradienį vyriausybė „visiškai priims“ komiteto patarimus ir padarys viską, kad apsaugotų asmens duomenis ir savo sistemas.
Ministras taip pat atskleidė, kad vyriausybei pavyko nustatyti programišius, atsakingus už „SingHealth“ kibernetinę ataką. ir kad ji ėmėsi atitinkamų veiksmų, tačiau neatskleis šių nusikaltėlių tapatybės dėl „nacionalinio saugumo“. priežastys". Kito parlamento nario toliau tirtas įsilaužėlių tapatybė, Iswaranas pareiškė, kad „nesuinteresuotas viešai skelbti informaciją“.
Susijusi aprėptis
Darbuotojai atleisti, generalinis direktorius nubaustas už „SingHealth“ saugumo pažeidimą
Du darbuotojai buvo atleisti už aplaidumą, o penki vyresnieji vadovai, įskaitant generalinį direktorių, buvo nubausti už „kolektyvinė vadovavimo atsakomybė“ už rimčiausią Singapūro saugumo pažeidimą, dėl kurio buvo pažeisti 1,5 mln. „SingHealth“ pacientai.
„SingHealth“ pažeidimų apžvalgoje rekomenduojamos priemonės, kurios jau turėtų būti pagrindinės saugumo politikos nuostatos
Peržiūros komitetas taip pat mano, kad IT darbuotojams trūksta žinių apie kibernetinį saugumą ir išteklių „SingHealth“ tinklas netinkamai sukonfigūruotas su saugumo spragomis, kurios padėjo įsilaužėliams sėkmingai įsilaužti jos sistemos.
„SingHealth“ duomenų pažeidimas atskleidžia keletą „netinkamų“ saugumo priemonių
Tiriant 2018 m. liepos mėn. incidentą, nustatytas pavėluotas pavojaus kėlimas, silpnos administracinės priemonės slaptažodžius ir nepataisyta darbo vieta, kuri leido įsilaužėliams įsilaužti į sistemą jau praėjusių metų rugpjūčio mėn. metų.
Singapūras tyrinėja virtualias naršykles po „SingHealth“ duomenų pažeidimo
Sveikatos apsaugos ministerija bando naudoti karantinuotus serverius, siekdama „sumažinti potencialių atakos taškų“, – po praėjusį mėnesį įvykusio saugumo pažeidimo, kurio metu buvo pažeisti asmens duomenys 1,5 mln pacientai.
Singapūro bankams buvo liepta sugriežtinti duomenų tikrinimą po „SingHealth“ pažeidimo
Singapūro pinigų institucija nurodo finansų institucijoms sugriežtinti klientų patikrinimą procesai po „SingHealth“ saugumo pažeidimo, dėl kurio buvo pažeisti 1,5 mln. žmonių asmens duomenys.