陳可揚 蘇文琪 報道
綜合保健信息系統公司未展開詳細調查,就斷言前職員發現的軟件漏洞無關緊要。
第六天的新保集團網襲事件聽證會揭露,綜合保健信息系統公司(IHiS)五名現任和前任職員,從未直接向前職員趙海男了解漏洞的具體細節。
前總裁鍾玉璇指出,公司技術人員認爲趙海男所指的漏洞,其實只是內部常用的指令腳本,能讓管理員得以繞過一般安全機制,直接登入系統。
她強調,這項功能是必要的,當發現系統遭侵入時,管理員才能直接登入系統掌控情況。
鍾玉璇也說,公司當時剛改進系統架構,以爲不論趙海男找出什麽漏洞已無關緊要。另外,她稱當時已要求Allscripts亞太區董事經理錢伯斯跟進有關發現,不過她無法提出佐證。
高級首席分析員盧耀德則以爲所謂的漏洞,是程序員普遍知道的做法,並不涉及安全問題。他見過內部培訓員示範這個技巧,並相信只有IHiS內部人員能使用。
IHiS代表律師惹耶勒南分別提問鍾玉璇和盧耀德,醫學院學生、護士和藥劑師等用戶能否通過上述漏洞登入數據庫,兩人都答不太可能。
鍾玉璇補充,任何人必須擁有管理員的用戶名和密碼才能這麽做,因爲公司非常注重這方面的安保措施。
趙海男遭革職前也曾向直屬上司陳微提起系統設計存在安全問題。身爲助理主任的後者當時指示前者聯系Allscripts,先弄清楚漏洞是不是軟件設計的一部分。不過,她後來忙于其他公事,一直沒能向對方了解情況,Allscripts也沒聯系她跟進情況。