郭永強教授說,一方面得考慮到公衆會希望盡早得知消息,但同時也得考慮過早公布會否影響當局仍在進行的法證調查。另一考量是得確保網襲影響已完全受控制,否則對外公布只會導致集團無法很好地向公衆交代事情始末,無法讓公衆安心。
葉偉強 報道
爲了不影響調查工作、得先確定已成功防止網絡襲擊者可再發動襲擊,加上得收集更多資料,新加坡保健服務集團和相關政府單位因此在得知網襲事件的10天之後才對外公布遭網襲的消息。
新保集團副總裁(組織轉型與信息學)郭永強教授昨天在新保集團網襲聽證會供證時說,他與集團總裁黃瑞蓮教授于今年7月10日下午3時57分通過電郵得知,綜合保健信息系統公司(IHiS)于4日偵查到有人未經授權,登錄集團的臨床信息管理系統資料庫。IHiS當時已在調查起因,並確認是否有資料外泄。
黃瑞蓮相隔一個多小時、在5時22分回複電郵說事態嚴重,按程序應上報給衛生部,而新保集團當晚9時許向衛生部報告。
郭永強表示,最初幾天因信息不全,各方都同意應在掌握明確信息後才對外公布。他舉例,10日當天被通知可能有多達62萬多份資料外泄,但無法確認是62萬多份病曆記錄,或62萬多人的記錄,因爲一名病患可能有超過一份病曆記錄;當時也尚未確定資料是否已被下載到其他地方等。
郭永強12日和13日與衛生部官員開會,到了14日與衛生部和通訊及新聞部官員開會時,因三大考量決定稍遲對外公布。
他說,一方面得考慮到公衆會希望盡早得知消息,但同時也得考慮過早公布會否影響當局仍在進行的法證調查,包括得確定發動網襲者是否仍潛伏在新保集團系統網絡裏等。
事實證明,當局到了19日仍發現網絡內存有襲擊者的迹象,而爲了徹底切斷黑客埋置在系統內的入侵路徑,新保集團20日淩晨實施網絡隔離,之後就沒有發現黑客的活動。
也是新加坡中央醫院總裁的郭永強說,另一考量是得確保網襲影響已完全受控制,否則對外公布只會導致集團無法很好地向公衆交代事情始末,無法讓公衆安心。當局也須收集更多資料才能爭取到公衆的信心,否則只會導致公衆更擔心。
郭永強說:“我們之後選定在20日對外公布,以確保有足夠時間防止網襲者再發動攻擊。”
盡管如此,新保集團早在一周之前,于13日就開始策劃如何發布消息,包括通知病患。這些溝通管道包括發送短信、發信件、開放熱線、設專屬電郵,以及讓公衆通過手機應用和網站自行查核是否受影響。
集團除了確保病患得到個人化的通知,也密切觀察和應對隨之出現的假短信等。
單在7月20日至25日間,集團發出超過200萬則短信給受影響病患和8萬6700封信件給沒有提供手機號碼的病患,並接到1萬3400通熱線電話和3000多封電郵詢問。
黃瑞蓮昨天供證時則數度對新保集團同人表示感激。她說,集團短短時間內動員千余名醫生、護士和綜合醫療保健人員等,很多員工都在日常工作外,額外承擔職責,協助集團完成當時與受影響病患溝通的計劃。
她說:“我也想借此機會重申,新保集團非常認真看待病患資料的安全。這起事件令我們思考要如何更好地保障病患資料。我們致力于和衛生部及IHiS合作進行改善,確保所有資料都受保障,也能很好地處理網安風險。”
本周五至下周四繼續進行的聽證會將邀國內外的網絡安全專家供證,包括新加坡網絡安全局局長許智賢。
新保全面加強員工網安意識刊第6頁