新加坡保健服務集團遭受網絡襲擊前,負責網絡安保管理的資深職員已知悉數起可疑活動,但在他看來都不足以“拉響警報”,因此沒有進一步上報有關情況。
綜合保健信息系統公司(IHiS)安保管理部高級經理陳俊傑昨天在新保集團網襲聽證會上指出,他的下屬今年1月曾發現醫院病曆室的一台電腦可能遭植入惡意軟件並展開調查。
惡意軟件後來已被隔離,他根據標准作業程序,認爲這是不須要上報的安保事故。
2008年加入公司的陳俊傑認爲,符合嚴重“一級事件”條件的安保事故,是那些成功侵入關鍵信息基礎設施的情況。
“我不將有關規定的定義理解爲,一級事件是可能導致敏感信息泄露或損害關鍵信息基礎設施系統的情況。”
聽證會昨天進入第三天,陳俊傑是唯一公開供證的證人。他的工作職責包括帶領相關同事應對涉及新保集團的網絡安保事故。一旦發現安保事故,他必須通知負責該系統的集群信息安全官(Cluster Information Security Officer),然後由對方負責上報更高層。
不過就上述電腦遭植入惡意軟件的事故,他沒有上報高層,因爲他認爲調查惡意軟件相當常見,而且往往出自于懷疑,還不能證實已經發生安保事故。
陳俊傑分別回答新保集團和IHiS的代表律師提問時補充,他的團隊管理約3萬個電腦和伺服器等終端設備,每天要處理四五十則涉及惡意軟件的警示。
在6月至7月間,即使可疑活動開始升級,如有人多次嘗試使用不同用戶與密碼組合登入數據庫,陳俊傑也沒有拉響警報。
在看了下屬的相關電郵報告,他也沒有意識到問題的嚴重性,或主動向下屬了解內容所傳達的信息。
發現可疑活動期間正好度假
另一方面,陳俊傑透露,新保集團系統今年6月最初被發現有可疑活動期間,他正好在日本度假。他直到6月18日回返新加坡,才看到同事們就可疑活動發出的電郵。
同樣地,因爲剛回到工作崗位,他要忙著處理放假期間積累的工作,無暇扮演好協調不同小組應對可疑安保事故的角色。
陳俊傑同時也是電腦緊急反應小組的成員。盡管小組沒有正式負責人,其他成員會直接向他彙報情況。
7月5日,他得知小組就可疑活動的調查還在進行中,當時還未發現任何疑點。
陳俊傑指出,小組面對的其中一個問題是,他們只有一台電腦可以進行數碼法證調查,而且是使用同事的個人電腦。