陳可揚 蘇文琪 報道
[email protected]@sph.com.sg
認爲泄露軟件漏洞的前職員才是最大安全隱患,時任綜合保健信息系統公司(IHiS)總裁的鍾玉璇接獲通知八小時內將該職員開除,但IHiS卻一直沒有弄清楚漏洞是什麽,也未曾補救。
副總檢察長郭民力高級律師在新保集團網襲聽證會開場陳詞中曾指出,IHiS前職員趙海男早在2014年已發現軟件漏洞,該漏洞極有可能是黑客成功入侵新保集團數據庫的原因之一。
趙海男前天閉門供證,內容不對外公開;昨天公開供證的五人都是IHiS職員,分別是首席信息官辦公室副處長柯昌基、處長馮麗珠、助理主任陳微、高級首席分析師盧耀德以及前總裁鍾玉璇。
把軟件漏洞告知供應商競爭對手
根據供證內容,鍾玉璇2014年9月18日上午11時19分接獲臨床信息管理系統供應商Allscripts亞太區董事經理大衛·錢伯斯(David Chambers)的電郵,指趙海男向競爭對手Epic通報說軟件存在漏洞。
趙海男對Epic說,這個漏洞“允許用戶輕易取得整個數據庫的管理員權限”,“有可能導致嚴重的醫療數據泄漏事故,甚至威脅國家安全”,如果對方有意利用這個漏洞來取得更大的市場占有率,可以與他聯系。
鍾玉璇將此電郵轉發給柯昌基,要求他確認發電郵者身份。柯昌基和趙海男對質時,對方承認電郵是他發的。
IHiS高層後來決定立即停止趙海男系統使用權限,要求他當天就離開IHiS,而且報警。
鍾玉璇透露,她認爲趙海男所作所爲主要是紀律問題,發現軟件漏洞之後應該向上級報告,而不是秘密通知軟件供應商的競爭對手謀求私利。
她說:“趙海男這麽做讓IHiS以及整個醫療集群非常危險,對我而言他才是最大的安全隱患。”
鍾玉璇在同日晚上7時17分回複錢伯斯,說已經開除趙海男,而對方發現的軟件漏洞其實是內部常用的指令腳本。
據《聯合早報》探知,鍾玉璇的猜測是錯誤的,昨天供證的另外四人也說,他們不知道趙海男所發現的漏洞是什麽。
柯昌基供證時說,他只按鍾玉璇的指示確認電郵地址是不是趙海男的私人電郵,並沒有進一步去了解這個漏洞是什麽,也沒有采取行動。
代表IHiS的菲立·惹耶勒南(Philip Jeyaretnam)高級律師向柯昌基和馮麗珠提問時,透露趙海男在閉門聽證會上表示對IHiS和Allscripts的不滿,惹耶勒南認爲趙海男不太可能告訴IHiS這個漏洞是什麽。
柯昌基對軟件漏洞不聞不問的態度引起了調查委員會成員的連番盤問,四名成員多次詢問柯昌基是否關注電郵中描述的軟件漏洞,但柯昌基堅持說他只按上級指示采取行動,因此只負責調查電郵是否由趙海男發出。
新保集團公開聽證會下周二繼續進行。
相關新聞刊第13頁