新保集团系统被发现存在可疑活动后,管理该系统的技术人员接获上级指示,对系统采取加固措施,包括限制管理员账号的权限,以及进行全面病毒扫描。尽管如此,其中一个验证用户真伪的“域控制器”(domain controller,即验证用户真伪的机制)仍在三天后被侦测出含有可疑文件。
新加坡保健服务集团网袭事件听证会昨天进入第二天,昨天最后一名供证人是负责为新保集团系统执行防护措施的公共综合保健信息系统公司(IHiS)经理陈志聪。
他透露,今年6月11日晚上约6时22分,一名用户的密码被更换,但这名用户之后告知他,自己并未在那个时间登入伺服器。
陈志聪坦言,他当时不认为这是一起安保事故,因此不太担心,只建议这名用户更换密码和检查登入记录。在6月12日至7月6日之间,他也未被告知有其他安保事故。
7月6日起,陈志聪所属团队却接连收到指示,须采取措施加强系统保安,尽管如此,他以为这只是例行公事。
团队采取的措施包括创建一组全新的管理员账号,并禁止旧账号访问伺服器,只是没有删除这些账号。陈志聪也针对他所管辖的域控制器进行病毒扫描,但未发现任何异常。
隔天,即7月7日,小组又接到上级指示,须终止所有管理员账号的访问权限。陈志聪在这之后还对系统下达多一道指令,这次是禁止所有管理员账号远程操控域控制器。
不过,他却在7月9日得知,其中一个域控制器经病毒软件扫描后,被检测出含有可疑文件夹。
陈志聪说:“我不知道文件为什么会在那里出现。它可能是某个管理员在安装驱动软件时添加的普通文件,也可能是管理员账户遭人盗用。”
陈志聪与一名同事因此针对受感染的域控制器再次进行病毒扫描,这次却发现可疑文件已被隔离和删除。
7月10日,IHiS展开内部调查,陈志聪当天负责检查特定账户的登入和使用记录,他也在隔天晚上10时为所有域控制器更换密码。
7月13下午1时,陈志聪的团队对系统下达指令,强制所有新保集团系统用户更换密码。