林子恒 報道
超過80萬名捐血者的姓名、身份證號碼、性別和血型等資料被挂上有互聯網連接的服務器,管理血庫數據的衛生科學局說,目前只有一名網絡安全專家獲取該數據,他已承諾會把數據刪除。
衛生科學局局長莊美玲醫生就此網安漏洞向全體捐血者致歉,並呼籲捐血者不要因此對國家捐血計劃失去信任。
衛生科學局昨天說,當局是在本月13日接獲通知,其網絡服務商Secur Solutions Group(簡稱SSG)將一組血庫數據上載到了有互聯網連接的服務器,這組數據主要是80萬8201名捐血者在注冊捐血時的資料,包括姓名、身份證號碼、性別、捐血次數、最近三次捐血的日期。部分捐血者的血型、身高和體重資料也被挂上網。
一名網安專家發現了這個漏洞,並向個人資料保護委員會(PDPC)舉報。衛生科學局接獲通知後,立即同SSG合作,在約45分鍾內切斷數據庫的互聯網連接。當局已經就此網安疏漏向警方報案。
初步調查顯示,除了該網安專家以外,當局並沒有發現有其他人獲取上述資料,但當局還將進一步展開調查。
網安專家告訴當局,他不打算公開相關數據,衛生科學局正同他接洽,確認他將曾經讀取的數據刪除。
衛生科學局解釋,SSG負責開發和管理血庫的網絡注冊、預約和反饋系統。當局去年底接到用戶反饋說,網絡系統的部分資料需更新,因此指示SSG展開這項任務。
爲此,當局向SSG提供了捐血者的部分數據,以進行更新和測試。不料,SSG卻錯將此數據上載到有網絡連接的服務器,違反了它同衛生科學局的合同義務。
希望捐血者不要因此停止捐血
SSG發言人說,已同外部網絡安全專家和KPMG新加坡會計事務所合作,對其IT系統進行全面檢查。該公司也會配合衛生科學局和相關部門的調查。
衛生科學局強調,被挂上網的數據只是中央血庫系統的一小部分,它並不包括其他敏感的醫療信息或捐血者聯系資料。
當局表示,正探討對SSG采取法律行動,包括終止服務合同。
莊美玲就服務商的疏漏表示失望,並向捐血者致歉,強調當局將加大對服務商的檢查和監督力度,確保捐血者資料得到安全和妥善的處理。
本地去年共有7萬3000多名定期獻血者,僅占我國人口少過2%,莊美玲呼籲捐血者不要因此事故而停止捐血。
捐血者可以上衛生科學局網站,或撥打熱線62200183了解更多詳情。