Singapur sufre una brecha de seguridad que afecta a 1,5 millones de pacientes
Singapur sufre la violación de datos "más grave", que afecta a 1,5 millones de pacientes de atención médica, incluido el Primer Ministro
Singapur ha sufrido la violación de datos "más grave", comprometiendo datos personales de 1,5 millones de pacientes de atención médica, incluido el de su primer ministro, Lee Hsien Loong.
Los usuarios afectados son pacientes de SingHealth, que es el grupo de instituciones de atención médica más grande del país, que comprende 42 especialidades clínicas, cuatro hospitales públicos, cinco centros especializados, nueve policlínicos, así como tres hospitales comunitarios.
Se han accedido y copiado detalles personales no médicos de 1.5 millones de pacientes que visitaron las clínicas especializadas y policlínicas de SingHealth entre el 1 de mayo de 2015 y el 4 de julio de 2018. Los datos robados incluyen el nombre de los pacientes, el número de identificación nacional, la dirección, el género, la raza y la fecha de nacimiento.
Además, los datos médicos ambulatorios de unos 160,000 pacientes se vieron comprometidos, sin embargo, los registros no fueron modificados o eliminados, dijeron el Ministerio de Salud y el Ministerio de Comunicaciones e Información (MCI), en una declaración conjunta a última hora del viernes.
"No se violaron otros registros de pacientes, como el diagnóstico, los resultados de las pruebas o las notas de los médicos y no hemos encontrado evidencia de una infracción similar en los otros sistemas de TI de salud pública", dijeron.
La primera señal de actividades inusuales fue detectada el 4 de julio del 2018 por Integrated Health Information Systems (IHiS), que es la agencia de tecnología del sector público de la salud y responsable de administrar los sistemas de TI de las instituciones de salud pública locales.
Actuación casi inmediata
La agencia "actuó de inmediato" para detener las actividades ilegales e implementó "precauciones adicionales de seguridad cibernética", mientras realizaba más investigaciones sobre el incidente. Seis días después, el 10 de julio, IHiS informó al Ministerio de Salud y la agencia de ciberseguridad de Singapur (CSA) después de confirmar que había sufrido un ataque cibernético.
Sin embargo, aunque el ataque fue detectado el 4 de julio, más tarde se estableció que los datos "fueron exfiltrados" desde el 27 de junio. El 12 de julio se presentó un informe policial y las investigaciones estaban en curso.
En la declaración, CSA e IHiS describieron el ataque como "deliberado, específico y bien planificado".
"No fue obra de hackers casuales ni de bandas criminales. Los atacantes atacaron específicamente y en repetidas ocasiones los datos personales del primer ministro Lee Hsien Loong y la información sobre sus medicamentos dispensados para pacientes ambulatorios", dijeron.
No se comprometieron más datos tras el descubrimiento del 4 de julio y IHiS implementó medidas adicionales para reforzar la seguridad de los sistemas de TI de SingHealth, que incluyen la separación temporal de las estaciones de trabajo, restablecer las cuentas de usuario y sistemas e instalar controles adicionales de supervisión del sistema.
CSA dijo que los piratas informáticos habían obtenido el control mediante la violación de una estación de trabajo frontend, desde la cual pudieron obtener credenciales de cuentas privilegiadas para obtener acceso a la base de datos de SingHealth.
Lee hace un post en Facebook para los atacantes
Al comentar sobre el ataque a sus datos personales, Lee dijo en una publicación en Facebook: "No sé qué esperaban encontrar los atacantes. Quizás estaban buscando algún oscuro secreto de estado, o al menos algo para avergonzarme. Si es así , se habrían desilusionado. Mi información sobre los medicamentos no es algo de lo que normalmente les hablaría a la gente, pero no hay nada alarmante en ello ".
El primer ministro agregó que los sistemas del gobierno eran objetivos constantes y, si bien el objetivo era prevenir cada ataque, también había una necesidad de tapar inmediatamente el agujero cuando se descubría una brecha y mejorar los sistemas.
Señaló que se había establecido una Comisión de Investigación para evaluar más a fondo el incidente y recomendar medidas para gestionar mejor y proteger los sistemas de TI de SingHealth y de otros sistemas del sector público contra ataques similares de ciberseguridad en el futuro.
El Grupo de Nación Inteligente y Gobierno Digital de Singapur también realizó un análisis de todos los sistemas gubernamentales y no encontró evidencia de compromiso. Además, la introducción de nuevos sistemas de TIC se había detenido mientras se revisaban las medidas de ciberseguridad de los sistemas gubernamentales.
Los datos robados pueden terminar vendidos, usados
Mientras tanto, los proveedores de ciberseguridad han advertido que los datos comprometidos pueden encontrarse de camino en la Dark Web.
Paul Ducklin, tecnólogo senior de Sophos, dijo: "Los datos robados en esta violación son la mina de oro de un ladrón de identidades. Es un recordatorio sorprendente para todos los singapurenses que no existe tal cosa como 'los cibercriminales nunca se preocuparán por mi pequeño yo' ... Cualquier persona afectada en este incumplimiento no tiene más remedio que asumir que su información personal terminará en venta en el ciberespacio clandestino, lista para el abuso activo por ciberdelincuentes ".
Leonard Kleinman, asesor principal de seguridad cibernética de Asia-Pacífico de RSA, dijo: "Los datos médicos contienen una gran cantidad de información, desde datos de identificación personal hasta detalles financieros, que pueden utilizarse para crear un compuesto altamente solicitado de un individuo. contienen cualquier cantidad y nivel de información, las instituciones de salud se encuentran entre las industrias más buscadas por delincuentes que pueden estar motivados por una multitud de razones posibles.
"En la Dark Web, esos datos pueden alcanzar un alto precio", dijo Kleinman, agregando que cada entrada podría venderse entre 50 dólares y 100 dólares más que los datos de tarjetas de crédito robadas. Citando datos del Ponemon Institute, señaló que un registro de atención médica perdido o robado podría alcanzar los 408 dólares.
Dijo que podría tomar meses después de un ataque antes de que el primer conjunto de datos comprometidos se abriera paso en el mercado negro para ser vendido y luego utilizado.
Según Olli Jarva, consultor de Synopsys para la integridad del software, el sector de la salud es especialmente desafiante desde el punto de vista de la seguridad porque es un entorno altamente heterogéneo.
"Mientras que las organizaciones sanitarias pueden estandarizar ordenadores portátiles y servidores de TI, los proveedores también pueden administrar múltiples dispositivos conectados a la red. Estos pueden incluir bombas de infusión de medicamentos, dispositivos de imágenes como MRI y escáneres CT, y software de tratamiento como los que se usan para administrar marcapasos implantables.", Explicó Jarva.
"Con un entorno extremadamente heterogéneo, los sistemas en diferentes partes de una organización sanitaria pueden no funcionar bien entre sí. Al igual que cualquier organización grande, una organización sanitaria puede tener múltiples unidades comerciales u operaciones, y cada unidad puede adquirir soluciones de software que mejor se adapten a sus necesidades. necesidades, pero puede no tener una eficacia uniforme de ciberseguridad ".
Y aunque un malware podría haber sido utilizado en ese ataque inicial en la estación de trabajo, se necesitaría algo más que tener las herramientas correctas de detección de malware para resolver el problema, dijo Francis Prince Thangasamy, vicepresidente de servicios de TI y alojamiento administrado de CenturyLink en Asia-Pacífico.
Con las amenazas evolucionando tan rápido hoy, sería difícil para una organización mantenerse al día. Y como la industria del cuidado de la salud también sufrió una transformación digital, "el límite entre las redes" también se volvería "más poroso". Esto dificultaría rastrear el movimiento de datos privados de pacientes, dijo Thangasamy. "La introducción de dispositivos de IoT como teléfonos inteligentes, tabletas y equipos para el cuidado de la salud aumenta aún más la superficie de ataque. Solo un enfoque holístico que incluye la transformación de personas, procesos y tecnología puede mejorar las posturas de seguridad".
El gobierno de Singapur no puede resolver el problema por si mismo
Al revisar su postura de seguridad luego de la violación, Thangasamy instó al gobierno de Singapur a reconocer que no puede resolver los problemas por sí mismo. Con las amenazas cada vez más complejas y los principales hotspots de tráfico malicioso en Asia-Pacífico, incluyendo China, Corea del Sur y Vietnam, dijo que el gobierno debería asociarse con "el ecosistema más amplio de tecnología y ciberseguridad".
Lee dijo: "No podemos volver a los registros en papel y los archivos. Tenemos que avanzar para construir una nación segura e inteligente".
Los pacientes afectados serán notificados por SingHealth y todos los pacientes pueden verificar si sus datos han sido incluidos en su sitio web.