Het grootste datalek in de geschiedenis van Singapore waarbij de gevoelige gegevens van 1,5 miljoen patiënten werden gestolen was mogelijk door een reeks beveiligingsmissers op allerlei niveaus, zo blijkt uit een rapport dat een onderzoekscommissie vandaag heeft gepubliceerd (pdf).
Het rapport, dat voor it-professionals zeker de moeite waard is om te lezen, laat zien hoe de aanvallers binnenkwamen, zich door de verschillende systemen konden bewegen en uiteindelijk toegang kregen tot een database met allerlei gevoelige informatie, waaronder diagnoses, uitslagen, gezondheidsproblemen, medische waarschuwingen, allergieën, klinische informatie, medicatie en persoonsgegevens. Volgens de onderzoekscommissie hadden de aanvallers het specifiek voorzien op de persoonlijke en medische data, waaronder het medicijngebruik, van de Singaporese premier.
De database werd beheerd door SingHealth, de grootste zorgaanbieder in Singapore en onderdeel van het ministerie van Volksgezondheid. De aanvallers kregen rond 23 augustus 2017 voor het eerst toegang tot een SingHealth-computer, waarschijnlijk door een phishingmail. Er is bewijs dat de aanvallers phishingmails verstuurden waardoor er malware op een werkstation kon worden geïnstalleerd. De computer die als eerste werd geïnfecteerd werd echter in oktober 2017 door SingHealth uitgefaseerd en kon niet meer worden onderzocht.
Op een ander werkstation dat een dag later besmet raakte werden verschillende sporen aangetroffen, waaronder een publiek beschikbare hackingtool en een remote access trojan (RAT). Volgens de onderzoekscommissie konden de aanvallers op 1 december 2017 een hackingtool op het werkstation installeren via een beveiligingslek in Outlook, waarvoor Microsoft een beveiligingsupdate beschikbaar had gemaakt. Deze update was echter niet geïnstalleerd. De onderzoekscommissie ontdekte dat op het moment van de initiële infectie de meeste versies van Microsoft Office bij SingHealth niet up-to-date waren en kwetsbaarheden bevatten.
Naast de technische aspecten van de aanval, waarbij het 454 pagina's tellende rapport ingaat hoe de aanvallers de inloggegevens van beheerders wisten te verkrijgen en zich door verschillende systemen konden bewegen, is er ook aandacht voor de rol van het it-personeel. Het personeel beschikte volgens de onderzoekscommissie over onvoldoende bewustzijn, training en middelen om de eigen bevindingen op waarde te schatten en op de aanval te reageren.
Verschillende beheerders zagen namelijk wel verdachte activiteit op de Citrix-servers die SingHealth gebruikte, maar konden de beveiligingsgevolgen niet inschatten. De beheerders besloten hun bevindingen ook niet te escaleren. Daarnaast ontbrak er een framework voor het melden van incidenten. Ook het hogere management kon de gevolgen van de aanval niet goed inschatten. Zo hadden de Security Incident Response Manager (SIRM) en Cluster Information Security Officer (CISO) van SingHealth een verkeerd begrip van wat een beveiligingsincident was.
De SIRM besloot zijn incidentmelding uit te stellen omdat dit extra druk op hem en zijn team zou plaatsen als het management achter de situatie zou komen. Ook werd er besloten om het incident niet te escaleren omdat men bang was voor een vals alarm. Verder bleek de CISO de impact van de aan hem gepresenteerde informatie niet te begrijpen en besloot hij ook geen stappen te nemen om dit wel te doen.
De database-applicatie die SingHealth gebruikte bleek een kwetsbaarheid te bevatten waardoor de aanvallers de inloggegevens van de database wisten te bemachtigen. De organisatie was echter niet onbekend met kwetsbaarheden in het eigen netwerk. Tijdens een penetratietest in begin 2017 waren namelijk al verschillende kwetsbaarheden in het netwerk gevonden die mogelijk ook door de aanvallers zijn gebruikt. Het gaat onder andere om zwakke beheerderswachtwoorden en netwerkscheiding van gevoelige systemen. Een deel van deze kwetsbaarheden was op het moment van de aanval nog niet verholpen.
Volgens de onderzoekscommissie hadden de misconfiguraties en kwetsbaarheden voor de aanval verholpen kunnen worden, wat het een stuk lastiger voor de aanvallers zou hebben gemaakt. Verder bleek dat het it-personeel signalen van de aanval niet herkende. De onderzoekscommissie doet dan ook verschillende aanbevelingen in het rapport, waaronder het trainen van het personeel en het verbeteren van de "cyberhygiëne" onder personeel.
Deze posting is gelocked. Reageren is niet meer mogelijk.