SingHealth违规审查建议应该已经是基本安全政策的补救措施

根据为审查SingHealth事件导致的事件而成立的委员会，去年7月新加坡最严重的网络安全漏洞导致了糟糕的系统管理和缺乏信息技术人员的高潮。

它还建议医疗保健提供者应采取的几个步骤来填补空白

然而，其中一些建议的补救措施已经应该是基本服务提供商的标准安全实践，包括维护“增强的安全结构”，提高员工对网络攻击的检测和响应的意识，以及执行网络安全系统检查的必要性。

今天发表的454页报告概述了委员会根据调查结果，证人和新加坡网络安全局(CSA)的证词，公开提交的意见以及副检察长和包括部门在内的主要组织提供的反馈而提出的16项建议。 Health，SingHealth和负责当地医疗保健行业综合健康信息系统(IHIS)的IT机构。

审查委员会是在卫生部于2018年7月透露个人数据后不久成立的，该数据显示，有150万名SingHealth病人受到了损害，其中包括该国总理李显龙的个人数据。已经访问和复制了这些患者的非医疗个人详细信息，例如姓名和出生日期，并且约160,000名患者的门诊医疗数据也受到了损害。

该委员会在有关37名证人的22天听证会中表示，该报告指出，网络攻击持续了近一年。该报告将其描述为“前所未有的规模和复杂程度”，该报告显示，该攻击是在2017年8月23日至去年7月20日期间进行的，在此期间，SingHealth的患者数据库被非法访问。

委员会在其调查结果中发现，IHIS工作人员缺乏足够的网络安全意识，培训和资源来了解攻击的影响并有效应对。虽然其IT管理员能够识别登录数据库的可疑尝试，但相同的工作人员未能将这些调查结果与高级网络攻击的策略和程序相关联。

此外，没有关于事件报告的框架，委员会指出，并补充说IHIS员工不熟悉IT安全策略，并且不知道需要将问题上报给CSA。

该报告还指出了SingHealth网络中的漏洞，弱点和错误配置，以及运行Allscript Healthcare Solutions的Sunrise Clinical Manager(SCM)的数据库。它说，这些因素使攻击者能够成功破坏系统并泄露数据。

特别是，攻击者利用位于公立综合医院的Citrix服务器与SCM数据库之间的网络连接中的重大漏洞来对数据库进行查询。维护这种连接以支持管理工具和自定义应用程序的使用，委员会认为这是不必要的。

此外，Citrix服务器的安全性很低，可防止未经授权的访问，并且无需管理员访问即可进行双因素身份验证。SCM应用程序中的编码漏洞也可能被利用来获取访问数据库的凭据。

补救措施规定了基本的安全流程和最佳实践

在其关于未来需要做什么的建议中，委员会详细说明了拥有关键信息基础设施(CII)的任何组织的教科书。

最重要的是，委员会指出，IHIS和所有公共卫生机构必须采用“增强的安全结构和准备”，包括“纵深防御”方法以及解决现有差距的政策和做法。“网络安全必须被视为一个风险管理问题，而不仅仅是一个技术问题，”它说。

“应在适当的管理层面审议决策，以平衡安全性，运营要求和成本之间的权衡。”

该委员会还指出，应审查整个“网络堆栈”，以确保其足以抵御和应对高级威胁。应通过将IT堆栈的层映射到现有安全技术来识别差距，并且必须使用端点和网络取证功能插入响应策略中的漏洞。

此外，还必须改进员工的网络安全意识，以便他们能够帮助预防，检测和响应安全事件。

还应该进行常规安全检查，特别是在涉及CII系统的情况下，这些检查应包括定期漏洞评估，安全审查和供应商产品认证，以及定期渗透测试和威胁搜寻。此外，必须改进事件响应流程，以便更有效地响应网络攻击，例如建立应在任何事件响应期间使用的预定义通信模式。

此外，该委员会表示，特权管理员帐户必须受到更严格的控制和更大的监控。这些应包括在执行管理任务时维护管理帐户的清单以及使用双因素身份验证。还应为域和本地帐户实施和实施密码策略。

它补充说，必须认真对待IT安全风险评估和审计流程并定期进行，并应建立加强的保障措施，以保护电子病历。

该委员会表示：“虽然有些措施似乎不言自明，但网络攻击显示IHIS在攻击时没有有效实施这些措施。对于IHiS，SingHealth和其他负责个人数据大型数据库的组织，获得基本要求在构建网络安全能力和应对真实，现有和不断变化的网络安全威胁的能力方面，权利是必不可少的关键步骤。“

它指出，其建议的实施需要高级管理层“有效和敏捷的领导”，并对组织文化，思维方式和结构进行必要的调整。“这些要求同样适用于所有负责个人数据大型数据库的组织。我们必须认识到，网络安全威胁将继续存在，而且复杂性，强度和规模将会增加。这些组织必须共同保护新加坡的网络空间。，并且必须坚决执行这些建议。“

互联网在提高人们社会活动质量的同时可能对部分互联网使用者造成伤害。我们要正确认识网络的两面性，用其所长、避其所短，发挥网络对生活的积极促进作用。把网络作为生活的补充就可以享受网络的诸多益处，以上这篇文章希望可以给大家带来有用的信息。