Sự cố dịch vụ trực tuyến tại các cơ sở y tế công cộng đã được tiết lộ là do cuộc tấn công DDoS.
Một cuộc tấn công tắt dịch vụ (DDoS) đã được xác định là nguyên nhân gây ra sự cố mất dịch vụ trực tuyến ảnh hưởng tới một số cơ sở y tế công cộng tại Singapore.
Các cuộc tấn công vẫn tiếp diễn, theo thông tin từ cơ quan công nghệ y tế quốc gia Synapxe, chịu trách nhiệm cho các hoạt động công nghệ thông tin hỗ trợ mạng lưới y tế công cộng của đất nước này. Mạng lưới này bao gồm 46 cơ sở y tế công cộng như bệnh viện và phòng khám đa khoa, và 1.400 đối tác cộng đồng bao gồm nhà chăm sóc người già và bác sĩ đa khoa.
Kết nối Internet đã bị gián đoạn vào ngày 1 tháng 11 khi những kẻ tấn công tràn đầy các máy chủ bị ảnh hưởng bằng yêu cầu, ngăn chặn người dùng hợp pháp truy cập vào các trang web của một số bệnh viện. Những cơ sở bị ảnh hưởng bao gồm Bệnh viện Tan Tock Seng, Bệnh viện Gene- ẩn Singapore và Bệnh viện Đại học Quốc gia, và ba nhóm chăm sóc y tế công cộng địa phương khác, bao gồm SingHealth (Dịch vụ Y tế Singapore) và Tập đoàn Chăm sóc Y tế Quốc gia.
Kết nối trực tuyến bị gián đoạn hơn 7 giờ. Trong thời gian này, các dịch vụ yêu cầu kết nối trực tuyến bị không thể truy cập, bao gồm email và các công cụ năng suất của nhân viên. Hầu hết các dịch vụ bị ảnh hưởng đã được khôi phục vào lúc 17h15 ngày 1 tháng 11.
Synapxe cho biết không có chứng cứ cho thấy dữ liệu y tế công cộng và các mạng nội bộ đã bị tấn công. Công ty cũng cho biết các hệ thống cốt lõi hỗ trợ các dịch vụ lâm sàng và hoạt động tại các cơ sở y tế vẫn hoạt động bình thường, bao gồm truy cập vào hồ sơ bệnh nhân và mạng nội bộ.
Cuộc tấn công DDoS, tuy nhiên, đã “overwhelm” tường lửa sau những khối chặn này, làm cho tường lửa lọc ra lưu lượng và làm cho các dịch vụ phụ thuộc vào kết nối trực tuyến không thể truy cập được.
Synapxe nói rằng họ đã làm việc với các nhà cung cấp dịch vụ để triển khai các biện pháp để chặn lưu lượng bất thường, để yêu cầu hợp lệ có thể tiếp tục và dịch vụ bị ảnh hưởng được khôi phục dần.
Các cuộc tấn công DDoS “đang tiếp tục”, theo Synapxe, và điều này có thể dẫn đến các gián đoạn trực tuyến thỉnh thoảng khác.
Công ty đang tiếp tục điều tra sự cố này cùng với CSA, cơ quan quản lý an ninh mạng của Singapore.
“Cuộc sự cố này là một lời nhắc cho thấy cuộc tấn công DDoS đang gia tăng, với các phương pháp tấn công thay đổi”, Synapxe cho biết. “Cuộc tấn công DDoS không thể ngăn chặn và các phòng thủ chống lại cuộc tấn công DDoS sẽ phải không ngừng tiến hóa để đáp ứng với sự phát triển”.
Ngành y tế công cộng sẽ tận dụng cơ hội này để xem xét các biện pháp phòng vệ chống lại cuộc tấn công DDoS và học từ sự cố này để tăng cường thêm an ninh mạng.
Singapore đã trải qua sự vi phạm dữ liệu nghiêm trọng vào năm 2018, đã ảnh hưởng tới dữ liệu cá nhân của 1,5 triệu bệnh nhân y tế, bao gồm Thủ tướng Lee Hsien Loong. Các người dùng bị ảnh hưởng là bệnh nhân của SingHealth, nhóm các cơ sở y tế lớn nhất của đất nước.
SingHealth đã bị phạt 250.000 SGD cho sự vi phạm này, trong khi Synapxe (khi đó gọi là Hệ thống Thông tin Y tế Tích hợp) đã bị phạt 750.000 SGD vì không thực hiện các biện pháp bảo mật đủ để bảo vệ dữ liệu cá nhân.
Trong những năm gần đây, Singapore đã tăng cường nỗ lực để nâng cao khả năng chống lại nguy cơ mạng lưới thông tin quan trọng của họ, với sự tập trung vào an ninh công nghệ vận hành (OT).
Tháng trước, CSA đã tiến thêm bước để mở rộng cuộc tấn công quốc gia.
A distributed denial-of-service (DDoS) attack has been identified as the cause of an online service outage that affected several public healthcare institutions in Singapore.
And the attacks are continuing, according to national healthtech agency Synapxe, which is responsible for the IT operations that support the country’s public healthcare network. This network encompasses 46 public healthcare institutions, such as hospitals and polyclinics, and 1,400 community partners that include nursing homes and general practitioners.
Also: The best VPN services (and how to choose the right one for you)
Internet connectivity was disrupted on November 1 when attackers flooded the affected servers with requests, preventing legitimate users from accessing the websites of several hospitals. Affected institutions included Tan Tock Seng Hospital, Singapore General Hospital, and National University Hospital, and three local public healthcare clusters, including SingHealth (Singapore Health Services) and National Healthcare Group.
Online connectivity was down for just over seven hours. During this time, services that needed connectivity were inaccessible, including email and staff productivity tools. Most affected services were restored by 5.15pm on November 1.
Synapxe said there was no evidence to suggest public healthcare data and internal networks had been compromised. It added that mission-critical systems supporting clinical services and operations at the healthcare institutions remained up, including access to patient records and internal networks.
Also: The best VPN services for iPhone and iPad (yes, you need to use one)
The healthtech operator said it had detected an abnormal surge in network traffic on the morning of November 1, which circumvented tools it had in place to block errant activities.
The agency said its networks are protected with “a layered defence” that is architected to detect and respond to online threats, including DDoS attacks.
“Our systems are also designed with redundancies for resilience and these include system backups. To minimize the risks of being overwhelmed by higher-than-usual internet traffic, Synapxe subscribes to services that block abnormal surges in internet traffic before they enter our public healthcare network,” it said. “Once the traffic is cleared by the blocking service, firewalls (also) are in place to allow only legitimate traffic into the network.”
The DDoS attack, though, had “overwhelmed” the firewall behind these blocks, which triggered the firewall to filter out the traffic and rendered services that depended on online connectivity inaccessible.
Synapxe said it worked with its service providers to roll out measures to block the abnormal traffic, so legitimate requests could come through and affected services were restored progressively.
Also: Cybersecurity 101: Everything on how to protect your privacy and stay safe online
The DDoS attacks are “continuing”, it said, adding that this might mean further occasional disruptions to internet services.
Its investigations into the incident are ongoing and are being carried out alongside Singapore’s cybersecurity regulator, Cyber Security Agency (CSA).
“The incident is a stark reminder that DDoS attacks are on the rise, with changing attack methods,” Synapxe said. “DDoS attacks cannot be prevented and the defences against DDoS attacks will have to constantly evolve to keep up with advancements.
“The public healthcare sector will take this opportunity to review our defences against DDoS attacks and learn from the episode to further strengthen our cybersecurity,” it added.
Singapore saw one of its most serious data breaches in 2018, which compromised personal data of 1.5 million healthcare patients, including Prime Minister Lee Hsien Loong. Affected users were patients of SingHealth, the country’s largest cluster of healthcare institutions.
Also: The best VPNs for streaming your favorite shows and sports
SingHealth was fined SG$250,000 over the incident, while Synapxe (then called Integrated Health Information Systems) was slapped with a SG$750,000 fine for failing to take adequate security measures to safeguard personal data.
Singapore in recent years has intensified efforts to boost the cyber resilience of its critical information infrastructures, with a focus on operational technology (OT) security. The country tweaked its cybersecurity strategy to emphasize OT, providing guidelines on the skillsets and technical competencies that OT organizations need.
Last month, CSA took further steps to expand a national security labeling initiative by including medical devices, releasing a sandbox with which manufacturers can test their products. The government agency said 15%, or more than 16,000, of medical devices in local public healthcare institutions have internet connectivity and medical devices increasingly are connected to hospitals and home networks. This can drive up cybersecurity risks, where security gaps in software used for clinical diagnostics, for instance, can be exploited to generate wrong diagnoses, CSA said.
It added that unsecured medical devices can also be targeted in DoS attacks, thereby, preventing patients from receiving treatment. CSA hopes the expansion of the security labeling scheme to include medical devices will motivate manufacturers to embed security into their product design, and that healthcare operators can make more informed decisions on the use of such devices. The scheme encompasses four ratings, with each level reflecting additional tests on which the product was evaluated.
