تسريب بيانات ربع سكان سنغافورة ورئيس وزرائها
تعرضت قاعدة البيانات الصحية التابعة للحكومة السنغافورية لهجوم
إلكتروني كبير يوم الجمعة الماضي تسبب في اختراق بيانات 1.5 مليون مواطن من
بينهم رئيس الوزراء لي هسين لونج Lee Hsien Loong، وقد أثر هذا الاختراق
على البيانات الشخصية والطبية لأكثر من ربع سكان سنغافورة.
وقال مسؤولو الحكومة السنغافورية: “أكدت التحقيقات التي أجرتها وكالة الأمن الإلكتروني في سنغافورة CSA، ونظام المعلومات الصحية المتكامل IHiS أن هذا الهجوم الإلكتروني كان متعمدًا ومستهدفًا وجيد التخطيط وليس عمل قراصنة أو عصابات إجرامية عادية، ويعتبر أخطر انتهاك للبيانات الشخصية شهدته البلاد حيث أنه استهدف شبكة المستشفيات والعيادات الخارجية في البلاد”.
ووفقا لبيان وزارة الصحة في سنغافورة تسبب هذا الاختراق في الحصول على البيانات الشخصية غير الطبية للمواطنين والتي تتضمن الأسماء، وأرقام هوية المرضى NRIC، والعناوين، والجنس وتاريخ الميلاد للذين زاروا المستشفيات والعيادات الخارجية التخصصية على مدى ثلاث سنوات الماضية وخاصة في الفترة ما بين مايو 2015 ويوليو 2018، كما تم التلاعب بسجلات الوصفات الطبية لـ 160 ألف مواطن بما في ذلك رئيس الوزراء.
واستهدف المهاجمون على وجه التحديد وبشكل متكرر البيانات الشخصية لرئيس الوزراء لي هسين، بغرض الحصول على معلومات عن حالته الصحية ونوع الدواء الذي يتناوله.
وأكدت وزارة الصحة أنه لم يتم التلاعب بالسجلات ولا تعديلها ولا حذفها، كما لم يتم اختراق أي سجلات أخرى للمرضى مثل التشخيص ونتائج التحاليل وملاحظات الأطباء، وحتى الآن لم يتم رصد أي عمليات اختراق مماثلة لأنظمة تكنولوجيا معلومات أخرى للرعاية الصحية الحكومية.
ونفذت وكالة الأمن الإلكتروني في سنغافورة CSA بالتعاون مع ونظام المعلومات الصحية المتكامل IHiS تدابير إضافية لزيادة أمن أنظمة تكنولوجيا المعلومات في وزارة الصحة، والتي تشمل فرض فصل تصفح الإنترنت مؤقتًا، ووضع عناصر تحكم إضافية على محطات العمل والخوادم، وإعادة تعيين حسابات المستخدمين والأنظمة، وتثبيت عناصر تحكم إضافية في مراقبة النظام. ويجري اتخاذ تدابير مماثلة لأنظمة تكنولوجيا المعلومات في جميع أنحاء قطاع الرعاية الصحية العامة ضد هذا التهديد.
وقالت السلطات السنغافورية إن الأنظمة قيد التطوير ستلتزم بأعلى معايير حماية البيانات والأمن الإلكتروني، وسوف تستخدم السمات الحيوية البيومترية – مثل بصمات الأصابع وتقنيات التعرف على الوجه التي عادة ما تكون صعبة في التزوير- لتنظيم الوصول إلى البيانات.
ومثلها مثل الدول الأخرى قالت سنغافورة إنها تواجه تهديدًا متناميًا من المتسللين والجرائم الإلكترونية. ففي تقرير صدر الشهر الماضي استنادًا إلى بيانات عام 2017، قالت وكالة الأمن الإلكتروني في سنغافورة: “إن المدينة واجهت أكثر من 2000 حالة تشويش لمواقع الويب، و23 ألف محاولة لتصيد البيانات الشخصية الحساسة، وعلامات على أن آلاف أجهزة الكمبيوتر قد تعرضت للتهديد في العام الماضي فقط.
وقال خبراء الأمن الإلكتروني: “إن سرقة البيانات الشخصية الحساسة مثل سجلات الأدوية هي علامة تحذير للمدن في جميع أنحاء العالم التي تسعى إلى رقمنة الخدمات الحكومية وبناء قواعد بيانات مركزية للمعلومات الحساسة، حيث سعى رؤساء البلديات والزعماء الوطنيين من نيويورك إلى لندن وبرشلونة لتحسين الخدمات الحكومية من خلال تنظيم استخدام البيانات الضخمة Big Data”.
وقال جيف ليمينج شريك في شركة Pragma Pte للأمن الإلكتروني: “إن مزايا مركزية البيانات في مكان واحد هو أنه سيكون من الأسهل حمايتها، ولكن الجانب السلبي هو إذا تعرضت للهجوم سيتم الوصول إلى كل البيانات”.
وتعتبر سنغافورة هي من بين الدول الرائدة في مجال مركزية البيانات، حيث تجمع الدولة كل البيانات في برنامج وطني مركزي متصل ببيانات المواطنين من خلال ما يطلق عليه الهوية الرقمية الوطنية، وهي خدمة قيد التطوير تسمح للمواطنين باستخدام طريقة واحدة لتسجيل الدخول للوصول إلى مجموعة من الخدمات الحكومية ابتدءًا من القروض السكنية إلى المنح للمواليد الجدد.
ويتيح البرنامج الذي يتم إطلاقه على مراحل للمواطنين إمكانية توفير مجموعة من المعلومات الشخصية لقاعدة بيانات رقمية تقوم تلقائياً بتعبئة نقاط البيانات ذات الصلة لخدمات حكومية أخرى عبر الإنترنت عند تسجيل دخول المستخدم.
وقالت السلطات أنها تعمل على تعزيز الوعي وتحسين معايير الأمن الإلكتروني في الوكالات الحكومية. حيث حدد قانون صدر في شهر فبراير الماضي قائمة بأنظمة الكمبيوتر في سنغافورة التي تشارك بشكل مباشر في توفير الخدمات الأساسية والمشغلين المطلوبين للالتزام بقواعد الممارسة المحدثة ومراجعات الحسابات وتقييمات المخاطر.
الجدير بالذكر أن هذه ليست المرة الأولى التي يتم فيها استهداف السجلات الصحية والمستشفيات: ففي عام 2015 أعلنت شركة أنثيم Anthem للتأمين الصحي أنه تم الاستيلاء على المعلومات الشخصية لما يقرب من 80 مليون شخص وكانت تعتبر أكبر عملية اختراق للبيانات تطال قطاع التأمين الصحي في الولايات المتحدة هذا العام.
وقال مسؤولو الحكومة السنغافورية: “أكدت التحقيقات التي أجرتها وكالة الأمن الإلكتروني في سنغافورة CSA، ونظام المعلومات الصحية المتكامل IHiS أن هذا الهجوم الإلكتروني كان متعمدًا ومستهدفًا وجيد التخطيط وليس عمل قراصنة أو عصابات إجرامية عادية، ويعتبر أخطر انتهاك للبيانات الشخصية شهدته البلاد حيث أنه استهدف شبكة المستشفيات والعيادات الخارجية في البلاد”.
ووفقا لبيان وزارة الصحة في سنغافورة تسبب هذا الاختراق في الحصول على البيانات الشخصية غير الطبية للمواطنين والتي تتضمن الأسماء، وأرقام هوية المرضى NRIC، والعناوين، والجنس وتاريخ الميلاد للذين زاروا المستشفيات والعيادات الخارجية التخصصية على مدى ثلاث سنوات الماضية وخاصة في الفترة ما بين مايو 2015 ويوليو 2018، كما تم التلاعب بسجلات الوصفات الطبية لـ 160 ألف مواطن بما في ذلك رئيس الوزراء.
واستهدف المهاجمون على وجه التحديد وبشكل متكرر البيانات الشخصية لرئيس الوزراء لي هسين، بغرض الحصول على معلومات عن حالته الصحية ونوع الدواء الذي يتناوله.
وأكدت وزارة الصحة أنه لم يتم التلاعب بالسجلات ولا تعديلها ولا حذفها، كما لم يتم اختراق أي سجلات أخرى للمرضى مثل التشخيص ونتائج التحاليل وملاحظات الأطباء، وحتى الآن لم يتم رصد أي عمليات اختراق مماثلة لأنظمة تكنولوجيا معلومات أخرى للرعاية الصحية الحكومية.
ونفذت وكالة الأمن الإلكتروني في سنغافورة CSA بالتعاون مع ونظام المعلومات الصحية المتكامل IHiS تدابير إضافية لزيادة أمن أنظمة تكنولوجيا المعلومات في وزارة الصحة، والتي تشمل فرض فصل تصفح الإنترنت مؤقتًا، ووضع عناصر تحكم إضافية على محطات العمل والخوادم، وإعادة تعيين حسابات المستخدمين والأنظمة، وتثبيت عناصر تحكم إضافية في مراقبة النظام. ويجري اتخاذ تدابير مماثلة لأنظمة تكنولوجيا المعلومات في جميع أنحاء قطاع الرعاية الصحية العامة ضد هذا التهديد.
وقالت السلطات السنغافورية إن الأنظمة قيد التطوير ستلتزم بأعلى معايير حماية البيانات والأمن الإلكتروني، وسوف تستخدم السمات الحيوية البيومترية – مثل بصمات الأصابع وتقنيات التعرف على الوجه التي عادة ما تكون صعبة في التزوير- لتنظيم الوصول إلى البيانات.
ومثلها مثل الدول الأخرى قالت سنغافورة إنها تواجه تهديدًا متناميًا من المتسللين والجرائم الإلكترونية. ففي تقرير صدر الشهر الماضي استنادًا إلى بيانات عام 2017، قالت وكالة الأمن الإلكتروني في سنغافورة: “إن المدينة واجهت أكثر من 2000 حالة تشويش لمواقع الويب، و23 ألف محاولة لتصيد البيانات الشخصية الحساسة، وعلامات على أن آلاف أجهزة الكمبيوتر قد تعرضت للتهديد في العام الماضي فقط.
وقال خبراء الأمن الإلكتروني: “إن سرقة البيانات الشخصية الحساسة مثل سجلات الأدوية هي علامة تحذير للمدن في جميع أنحاء العالم التي تسعى إلى رقمنة الخدمات الحكومية وبناء قواعد بيانات مركزية للمعلومات الحساسة، حيث سعى رؤساء البلديات والزعماء الوطنيين من نيويورك إلى لندن وبرشلونة لتحسين الخدمات الحكومية من خلال تنظيم استخدام البيانات الضخمة Big Data”.
وقال جيف ليمينج شريك في شركة Pragma Pte للأمن الإلكتروني: “إن مزايا مركزية البيانات في مكان واحد هو أنه سيكون من الأسهل حمايتها، ولكن الجانب السلبي هو إذا تعرضت للهجوم سيتم الوصول إلى كل البيانات”.
وتعتبر سنغافورة هي من بين الدول الرائدة في مجال مركزية البيانات، حيث تجمع الدولة كل البيانات في برنامج وطني مركزي متصل ببيانات المواطنين من خلال ما يطلق عليه الهوية الرقمية الوطنية، وهي خدمة قيد التطوير تسمح للمواطنين باستخدام طريقة واحدة لتسجيل الدخول للوصول إلى مجموعة من الخدمات الحكومية ابتدءًا من القروض السكنية إلى المنح للمواليد الجدد.
ويتيح البرنامج الذي يتم إطلاقه على مراحل للمواطنين إمكانية توفير مجموعة من المعلومات الشخصية لقاعدة بيانات رقمية تقوم تلقائياً بتعبئة نقاط البيانات ذات الصلة لخدمات حكومية أخرى عبر الإنترنت عند تسجيل دخول المستخدم.
وقالت السلطات أنها تعمل على تعزيز الوعي وتحسين معايير الأمن الإلكتروني في الوكالات الحكومية. حيث حدد قانون صدر في شهر فبراير الماضي قائمة بأنظمة الكمبيوتر في سنغافورة التي تشارك بشكل مباشر في توفير الخدمات الأساسية والمشغلين المطلوبين للالتزام بقواعد الممارسة المحدثة ومراجعات الحسابات وتقييمات المخاطر.
الجدير بالذكر أن هذه ليست المرة الأولى التي يتم فيها استهداف السجلات الصحية والمستشفيات: ففي عام 2015 أعلنت شركة أنثيم Anthem للتأمين الصحي أنه تم الاستيلاء على المعلومات الشخصية لما يقرب من 80 مليون شخص وكانت تعتبر أكبر عملية اختراق للبيانات تطال قطاع التأمين الصحي في الولايات المتحدة هذا العام.
أضف تعليق