新保集團系統被發現存在可疑活動後,管理該系統的技術人員接獲上級指示,對系統采取加固措施,包括限制管理員賬號的權限,以及進行全面病毒掃描。盡管如此,其中一個驗證用戶真僞的“域控制器”(domain controller,即驗證用戶真僞的機制)仍在三天後被偵測出含有可疑文件。
新加坡保健服務集團網襲事件聽證會昨天進入第二天,昨天最後一名供證人是負責爲新保集團系統執行防護措施的公共綜合保健信息系統公司(IHiS)經理陳志聰。
他透露,今年6月11日晚上約6時22分,一名用戶的密碼被更換,但這名用戶之後告知他,自己並未在那個時間登入伺服器。
陳志聰坦言,他當時不認爲這是一起安保事故,因此不太擔心,只建議這名用戶更換密碼和檢查登入記錄。在6月12日至7月6日之間,他也未被告知有其他安保事故。
7月6日起,陳志聰所屬團隊卻接連收到指示,須采取措施加強系統保安,盡管如此,他以爲這只是例行公事。
團隊采取的措施包括創建一組全新的管理員賬號,並禁止舊賬號訪問伺服器,只是沒有刪除這些賬號。陳志聰也針對他所管轄的域控制器進行病毒掃描,但未發現任何異常。
隔天,即7月7日,小組又接到上級指示,須終止所有管理員賬號的訪問權限。陳志聰在這之後還對系統下達多一道指令,這次是禁止所有管理員賬號遠程操控域控制器。
不過,他卻在7月9日得知,其中一個域控制器經病毒軟件掃描後,被檢測出含有可疑文件夾。
陳志聰說:“我不知道文件爲什麽會在那裏出現。它可能是某個管理員在安裝驅動軟件時添加的普通文件,也可能是管理員賬戶遭人盜用。”
陳志聰與一名同事因此針對受感染的域控制器再次進行病毒掃描,這次卻發現可疑文件已被隔離和刪除。
7月10日,IHiS展開內部調查,陳志聰當天負責檢查特定賬戶的登入和使用記錄,他也在隔天晚上10時爲所有域控制器更換密碼。
7月13下午1時,陳志聰的團隊對系統下達指令,強制所有新保集團系統用戶更換密碼。