第31期
壹、新聞重點
新加坡《海峽時報》(The Straits Times)於2019年1月10日報導,新加坡保健服務集團(SingHealth)數據資料庫從2018年6月27日到7月4日遭網路駭客入侵,竊取約150萬名病患個資。這些資料包括患者姓名、身分證號碼、地址、出生年月日。16萬人的開藥紀錄也被竊取。新加坡政府獨立調查委員會發布調查報告指出,駭客攻擊有清楚目標,主要針對李顯龍個資與門診就醫紀錄。此次網路攻擊雖有跡可循,但因網路安管人員缺乏危機意識與本職學能不足,未能及時應對。該調查報告雖以國家機密為由,未公布諸如駭客身分、具體的駭客模式、公共醫療機構的網路安全架構及防禦系統等細節,但卻指出,這次網路駭客手法老練,展現背後有國家支持的進階持續性威脅集團(state-sponsored advanced persistent threat groups)之高超技術能量。[1]
貳、安全意涵
一、健康資料為網路駭客眼中之高價值目標
醫療照護資訊化之後,電子病歷成為網路駭客下手目標。不只前述新加坡案例,台北市衛生局資訊系統也在2018年發現遭網路駭客入侵。調查局於2019年1月2日表示,網路攻擊跳板來自上海,且駭客竊得298萬餘筆個資後,在國外網路社群論壇進行兜售。據調查局初步研判,此次攻擊與對岸網軍無關,並已透過美國聯邦調查局、國際司法組織等,共同追查犯嫌下落。[2]
醫療個資屬於高度機敏性隱私資料,原本即是個資法保護的優先目標,但網路駭客對於電子病歷的興趣,往往只著眼於姓名、身分證號碼、地址、出生年月日等基本個資。因此,在網路資料的地下交易中,常見駭客只兜售這些足以讓犯罪集團用以偽造信用資料、施行金融詐騙的資料,整批販售醫療診斷與病患檢驗資料紀錄並不常見。
二、中國駭客集團威脅醫療資訊安全
醫療診斷與病患檢驗資料若涉及國家政要健康狀況,通常屬於最高機密,就會成為各國情報組織之高價值情報目標。由於醫療資訊系統,尤其是健康醫護/保險集團或國家健保資料庫,往往是資訊安全嚴密保護的重點,需要進階持續性威脅集團(如附表)的長期潛伏攻堅,才足以攻破。各國若非有能力自組國家級網路駭客集團發動攻擊,就得要透過資料掮客,競相蒐購這些政要的機密診療情資。
根據火眼公司(FireEye)網頁公開分析資訊指出,可能從事竊取醫療資訊的網路駭客集團,首推來自中國的APT18。APT18原先專攻航太、國防、工程、運輸與電信設施,2014年遭發現入侵竊取美國生技產業與醫院醫療資訊系統,因此也很有可能涉及2018年新加坡保健服務集團遭駭事件。另一個有嫌疑的網路駭客集團,則是中國的APT1,即上海的解放軍61398部隊。APT1攻擊標的很多,其中包括健康照護資訊系統。[3] 在台北市衛生局資訊系統遭駭事件中,上海只是攻擊的中繼站,故調查局透露對岸網軍應未涉及,用意即在排除對於APT1之可能指涉。
參、趨勢研判
一、智慧健康照護資訊安全將面臨更大挑戰
隨著智慧健康照護與健康促進的發展,個人健康資料不再侷限於到醫院診所的醫療診斷病歷,而是擴展到即時隨處的行動健康資料與平台健康資訊。未來透過智慧城市物聯網的佈建,個人行動智慧健康照護裝置將源源不斷產出具高度機敏性健康隱私資料。這不僅對於健康照護產業而言,是形成高價值商業情報的大數據,對於國安單位而言,也是監視掌握重要情資對象之動態與身心狀態的重要情報來源。是故,行動智慧健康照護未來勢必成為網路駭客的重要目標,這也將對健康資料的資訊安全保護,形成更大的挑戰。
二、中國網路駭客集團將持續利用資料掮客與地下交易掩護竊取情資目的
網路資料掮客與地下資料交易市場不僅提供了網路駭客集團惡意行動之金錢誘因,其實國家級網路駭客集團未嘗不是以地下經濟名義,來掩飾國安單位在背後支持的秘密。前述新加坡與台北市的醫療資訊資料,均因涉及元首政要的醫療資訊,屬於高情報價值的攻擊標的。因此,日後若是中國的APT18、甚或APT1網路駭客集團被發現涉案,應不至令人意外。由此亦可預見,中國網路駭客集團將持續透過掮客或地下交易市場販售醫療個資,作為其積極入侵竊取政要之健康個資與行為動態之掩護。
附表、進階持續性威脅集團
集團代號
|
追溯嫌疑歸責
|
威脅目標(產業)
|
常用攻擊手法
|
APT 1
|
中國上海
61398部隊
|
含健康照護與公部門在內
之各式產業
|
釣魚郵件安置後門
|
APT 3
|
中國
|
科技、工程、電信、航太、國防、運輸
|
利用瀏覽器漏洞施行零日攻擊或網路信箱帳號安置後門
|
APT 5
|
未公開,包含數個次集團
|
區域電信業者、全球電信業亞洲區員工、科技公司、高科技製造業、軍事應用科技(衛星科技)
|
鍵盤側錄
|
APT 10
|
中國
|
工程建設、航太、電信
及美、日、歐洲國家政府
|
以傳統釣魚郵件竊取軍事情報或營業秘密
|
APT 12
|
中國解放軍
|
媒體、政府部門、軍工產業
|
釣魚郵件散布漏洞
|
APT 16
|
中國
|
台灣與日本之政府、高科技、媒體、金融
|
釣魚郵件之含毒附件
|
APT 17
|
中國
|
美國政府、資訊業、國際律師事務所
|
對特定機構網路鏈結
|
APT 18
|
中國
|
科技、工程、電信、教育、生技、航太、國防、運輸
|
零日攻擊手法轉移
攻擊目標
|
APT 19
|
中國
|
法律及投資部門
|
以釣魚郵件繞道攻擊微軟
|
APT 28
|
俄羅斯
|
喬治亞、東歐、北約國家與軍隊及歐洲安全組織
|
植入後門,將竊取資料加密傳至控制方
|
APT 29
|
俄羅斯
|
西歐政府與外交政策團體
|
在社群媒體與雲端安置後門竊取資料
|
APT 30
|
中國
|
東協國家
|
入侵驅動程式與隔絕網絡以竊取資料
|
APT 32
|
越南
|
投資越南的外商公司
|
釣魚郵件之含毒附件
|
APT 33
|
伊朗
|
源自美國、沙烏地阿拉伯與南韓的各式產業與組織
|
釣魚郵件
|
APT 34
|
伊朗
|
中東地區國家政府與各式產業
|
運用微軟Office漏洞長期監聽
|
APT 37
|
北韓
|
南韓的化學、電子、航太、汽車、健康照護
|
客製化惡意軟體以從事入侵與監聽
|
APT 38
|
北韓
|
全球金融組織
|
客製化惡意軟體經後門、隧道等方式擷取金融資料
|
資料來源:曾怡碩整理自火眼公司網頁https://www.fireeye.com/current-threats/apt-groups.html。
[1]Irene Tham, “Probe report on SingHealth data breach points to basic failings,” The Straits Times, January 10, 2019, https://www.straitstimes.com/singapore/probe-report-on-singhealth-data-breach-points-to-basic-failings
[2]蕭博文,〈北市衛生局遭駭 調查局:攻擊疑來自中國〉,《中央社》,2019年1月2日,https://www.cna.com.tw/news/firstnews/201901020198.aspx。
[3]參閱FireEye專門分析介紹 Advanced Persistent Threat Groups的網頁: https://www.fireeye.com/current-threats/apt-groups.html。