副總檢察長郭民力高級律師昨天總結陳詞,逐一說明各項建議時,特別點出其中五項應最先落實的建議,涉及機構組織的策略和運作兩大層面。郭民力說,這16項建議同樣適用于其他擁有龐大個人數據的公共部門,包括其余兩個醫療集群,即國立健保集團和新加坡國立大學醫學組織。
新加坡保健服務集團網襲事件聽證會總結,總檢察署共提出16項建議,重點包括建立機構組織的網絡安全文化、強化關鍵信息基礎設施系統的安檢和監控措施,以及提升應對網襲事故的能力。
負責調查這起我國曆來最大規模網襲的獨立調查委員會在撰寫最後報告時,會將這些建議考慮在內。
副總檢察長郭民力高級律師昨天(11月30日)總結陳詞,逐一說明各項建議時,特別點出其中五項應最先落實的建議,涉及機構組織的策略和運作兩大層面。
以策略的建議爲例,強調綜合保健信息系統公司(IHiS)和公共醫療機構須更加重視網絡安全,以及著手提高員工的網安意識。
IHiS數名職員供證時所突顯的其中一個問題,是密碼管理和事故通報等方面政策沒有很好地落實或遵循。
郭民力說,有關機構可通過改進員工培訓,以及定期對系統與網絡展開全面審查等方式,確保所有員工遵照政策執行職務,並掌握防止、偵測和應對網安事故的能力。
另外,聽證會揭露了IHiS的一些中層管理人員欠缺應對網安事故的能力。針對這點,IHiS已表示會通過培訓和演習向員工傳達及時通報事故的重要性。
新保集團網襲事件獨立調查委員會自今年8月底開始聽證,共37名證人向委員會主席與成員提供了一系列相關的證詞和專業意見,整個過程前後曆時21天。
昨天總結陳詞的包括新保集團、IHiS、衛生部控股和衛生部的代表律師。
郭民力說,各方已就一些建議達致共識,有關組織也准備好要落實或已實施相關建議。
此外,16項建議同樣適用于其他擁有龐大個人數據的公共部門,包括其余兩個醫療集群,即國立健保集團和新加坡國立大學醫學組織。
爲了監督建議的執行情況,總檢察署建議IHiS和公共醫療機構每六個月向醫療資訊科技指導委員會彙報進展,同時接受獨立審查。
衛生部控股同意這項建議,並進一步提議網絡安全理事會參與其中,而獨立審查可交由集團內部審計,或衛生部有意設立的首席信息官辦公室負責。
這個有待落實的首席信息官辦公室隸屬于衛生部,以協助提高相關人員應對網安事故的能力。
委員會最遲12月31日提呈報告
其他建議包括建立政府和私人領域的夥伴關系,促進集體安全。郭民力舉例,新加坡網絡安全局已同互聯網服務供應商合作,以對該領域的威脅進行偵測。
盡管證據顯示新保集團網絡系統確實存在監管疏漏,郭民力提醒,發動攻擊的是耐心執行計劃的高明黑客。
他說:“在這方面,我們從聽證會中吸取了寶貴的經驗教訓,尤其是專家證人和網安局分享網絡防禦專業知識。這些經驗教訓將協助我們加強抵禦日益複雜的網絡攻擊。”
獨立調查委員會主席馬格納斯在休庭前也強調,各組織如今須抱持已遭人攻破系統的態度,掌握可盡早偵測攻擊和減少損失的能力,而不只是“積極的防守”。
這名前首席地方法官補充,這些解決方案須與對的人和程序相輔相成。“人是潛在的薄弱環節,甚至是最弱的一環。”
新保集團今年6月遭受網襲,約150萬名病人的個人資料被盜,還有約16萬人的門診配藥記錄被泄露,當中包括總理李顯龍與數名部長的記錄。
獨立調查委員會最遲得于今年12月31日,向主管網絡安全事務的通訊及新聞部長易華仁,提呈調查結果和建議報告。