违规操作损失800万、入狱五年半:「郑大一附院」智慧医院系统瘫痪 2 个小时 —— 计算机信息犯罪比你想象中严重

在过去的几年中,新闻不断出现包括医疗信息,帐户凭证,公司电子邮件和内部敏感的企业数据被盗事件。有的来自外部网络攻击,有的来自数据泄露,发生的原因各不相同。

其中内部人员原因最令人防不胜防,其中包括今年上过热搜的微盟的业务系统数据库(包括主备)遭遇其公司运维人员的删除的“删库跑路事件”。

而如今随着各种智慧城市的打造,越来越多的数据库建设充斥在其中,数据库安全受到了极大的考验。无独有偶,郑大一附院的智慧医院就遭到了“内鬼”破坏事件 —— 夏某某任职北京中科某某科技有限公司,负责该公司为郑大一附院开发的“软件信息系统”的维护工作。

2017年10月31日20时许,夏某某参与并直接操作了郑大一附院“HIS数据库”的账号密码修改仪式,夏某某在未经授权或许可的情况下,私自记录了该账号密码。后夏某某在未经授权或许可的情况下,私自编写了“数据库性能观测程序”和锁表语句,并利用私自记录的账号密码将该程序私自连接郑大一附院“HIS数据库”,导致该锁表语句在“HIS数据库”运行。

2018年12月24日8时13分至9时47分期间,夏某某先后六次利用“数据库性能观测程序”连接“平台数据库”的“锁定平台挂号表”功能,将数据库执行锁表命令。该命令执行后锁定fin_opr_register表,使其不能进行其它活动,并导致“HIS数据库”锁定。造成郑大一附院郑东院区、惠济院区、医学院院区所有门诊、临床计算机业务受到恶意语句攻击,门急诊挂号、门急诊叫号、门急诊支付、门急诊药房、门急诊检查、门急诊检验等业务系统均无法正常操作,所有门诊相关业务停止服务,造成该医院三个院区门诊业务停滞近两个小时,造成大量患者积压在门诊无法就诊,严重影响医院的正常医疗工作。

案发后,夏某某对其工作数据日志、办公电脑进行了清理。

……

事件发生后,公安机关立案调查,经过层层排查,确定了作案嫌疑人对象。2019年5月22日,经民警电话通知后被告人夏某某到郑州市公安局郑东分局投案。

经郑大一附院出具证明:由于恶意锁表行为遭受损失等相关情况,包括:

从当日收入来测算。当日收入损失约为800万元。

郑东院区门诊楼有380台电脑无法进入医生工作站正常工作,72台自助挂号机和49台报到机无法正常工作;河医院区门诊楼有1027台电脑无法正常进入系统,86台自助挂号机和55台报到机无法工作;惠济院区门诊部有82台电脑无法正常进入系统,11台自助挂号机和4台报到机无法工作。

虽然“内鬼”最终被抓获,但是该院智慧医院项目造成巨大损失是无法挽回的,那么有没有办法可以在千里堤坝决堤前就时刻警戒,并且及时发出警报呢?

1

合众安全审计日志分析系统支持对云平台、数据、应用、网络、边界、终端等日志信息进行记录和安全审计,支持对用户操作行为进行安全审计,支持基线、特征、异常类型、威胁场景等分析,支持用户画像分析,发现异常/违规行为并进行告警。针对类似事件可以通过系统来记录用户的行为,例如对数据库对象的访问。通过分析日志信息,发现用户行为模式和引发安全事件的异常/违规操作。做到及时发现问题,分析日志信息,跟踪审计事件,分析原因。对症下药,才能防患未然。


Select Your Color

RTL/LTR Option