07/09/2018
【黑客風波】愈智能化愈易受攻擊?新加坡150萬人醫療紀錄外泄
全球各大城市邁向智能化,已被視為不可逆轉的世界大勢。不過,當智慧城市內廣佈感測器,物聯網又將所有感測器及相關裝置連接起來,一旦電腦系統被黑客入侵,後果便不堪設想。這絕非危言聳聽,早前新加坡便遭受網絡攻擊,致使150萬名病患者的個人資料外泄,受影響人數超過新加坡人口四分之一!新加坡被選為全球最佳智慧城市後不久,便爆發了這宗網絡安全事故,難免令對智慧城市的資訊保安感到憂慮。
2018年7月4日,新加坡「整合保健資訊系統公司(Integrated Health Information Systems,IHiS)」發現,新加坡最大醫療公司「新加坡保健服務集團(SingHealth)」的數據庫中有異常活動,於是馬上重設數據庫與伺服器的密碼,同時繼續監察情況。及後IHiS聯同新加坡網絡安全局(Cyber Security Agency)進行調查,結果證實數據庫遭到黑客入侵。
新加坡最大的醫療服務公司SingHealth的數據庫早前遭遇網絡攻擊,被黑客竊取約150萬名國民的個人資料。
7月12日,新加坡保健服務集團向警方報案,警方隨即展開調查。初步調查發現,該集團一台前端工作站被植入惡意程式,黑客藉此取得進入數據庫的權限。黑客在2018年6月27日至7月4日期間,盜取了約150萬名病患者的個人資料,當中更包括新加坡總理李顯龍的資料!這些被盜資料包含病患者姓名、身份證號碼、地址、種族、以及出生日期。7月20日,新加坡保健集團推出一個可讓民眾查詢個人門診或配藥資料是否被盜的網站,但因太多民眾湧入瀏覽,令該網站一度癱瘓!
7月24日,新加坡政府宣布,公營醫療設施所有員工電腦均不再連接互聯網,以免病患者資料再有外泄之虞。此後,公營醫療人員若需要上網查找資料,只能使用自己的個人電腦或智能手機。儘管有人批評,以「智慧國家」自居的新加坡竟然用斷網方式來避免黑客入侵,是非常倒退的做法,但在網絡攻擊手法日新月異的今天,這亦不失為一個最穩陣的方案。
IBM 旗下的資訊保安研究團隊X-Force Red,檢測目前智慧城市常用的系統裝置,發現有17個安全漏洞,包括採用預設密碼、可繞過身份驗證機制等。在這些漏洞下,黑客可隨意竄改核電廠的輻射感測器數據,觸發錯誤的核警報;又或者干擾智慧交通系統或建築物警報系統,造成秩序混亂。由此可見,如智慧城市的網絡安全準備不足,可能會為社會帶來極大的恐慌或傷害。
IHiS公司發現SingHealth的數據庫內有異常活動,始揭發今次的黑客入侵事件。
資訊保安方案商趨勢科技早前就智慧城市網絡安全提出多點建議,包括僱用獨立機構進行網絡品質檢測與滲透測試、定期更新系統軟件、引入生物辨識的認證機制、涉及敏感資料的通訊管通一定有加密功能。同時,經由感測器或其他方式蒐集得來的市民資料,應進行去識別化與匿名處理,以保障市民私隱。此外,智慧城市在設計上應具備容錯系統,當某部分機件發生故障時,仍能維持正常運作;又要擁有後備能源裝置,以對應電力系統發生故障的情況;還要設有手動操作備用機制,以處理網絡斷線或黑客遠端操縱的危機。
事實上,城市愈智能化,愈容易受到黑客攻擊。因此,政府在規劃智慧城市建設時,除考慮智慧路燈或智慧交通等功能性的布局,也應一併考慮相關的網絡安全設計,及早防範黑客攻擊,以免會重蹈新加坡的覆轍。
【etnet 30周年】多重慶祝活動一浪接一浪,好禮連環賞! ► 即睇詳情