衛生科學局前天透露,超過80萬名捐血者的個人資料被挂上有互聯網連接的服務器長達九周。這是我國不到一年內發生的第三起網絡安全疏漏事件。網安專家指出,三起事件都涉及醫療領域,說明這個行業極需改善網絡安全程序和系統,尤其是加強對大型個人數據庫的保護力度。
我國的醫療衛生領域接連出現網絡安全疏漏,受訪網安專家說,這個行業龐大而多元,增加了數據保護工作的挑戰性。專家表示,政府要痛定思痛,全面加強對醫療行業的嚴格監管,檢討各機構的數據管理程序,以及向全體職員灌輸網絡安全意識和文化。
衛生科學局前天透露,超過80萬名捐血者的姓名、身份證號碼、性別和血型等資料被挂上有互聯網連接的服務器長達九個星期,一名外國網安專家上周發現了這個漏洞,並成功讀取相關數據。他過後向個人資料保護委員會(Personal Data Protection Commission,簡稱PDPC)舉報,並承諾會將數據刪除。
這是我國不到一年內披露的第三起網絡安全疏漏事件。新保集團去年6月遭網襲,約150萬名病人的個人資料被盜,是我國曆來最大規模的網襲事件;今年1月,衛生部則披露,有1萬6600名愛之病帶原者和有關聯者的個人資料外泄,並且還是官員涉嫌惡意泄漏資料。
網絡安全意識聯盟成員林福存接受《聯合早報》訪問時說,幾起網安疏漏事件的性質都不一樣,是“不幸的巧合”——新保集團網襲是一起惡意網絡襲擊和資料盜竊,愛之病資料外泄是有人濫用職權,而血庫數據事件則是保安疏漏,未必是襲擊。
不過他指出,三起事件都涉及醫療領域,說明這個行業極需改善網絡安全程序和系統,尤其是加強對大型個人數據庫的保護力度。
建議各部門機構全面檢討
林福存警告,公衆的身份證號碼、出生日期等個人資料可能被不法之徒用來冒充他人身份,進行不法勾當。
他說,政府目前已要求把重要數據同互聯網隔離開來,許多機構也都安裝了雙層防火牆,但這顯然還不夠。“醫療行業龐大而多元,要保護這麽大的IT基礎設施、服務和數據,是極具挑戰性的。再說,對醫療行業的監管或許也沒有像金融服務行業那麽嚴格。”
他提議,先對所有部門和機構進行一輪全面檢討,以查明須改善的地方。
“政府可以考慮使用國際通用的網絡安全管理標准ISO-27001,或美國政府頒布的《健康保險隱私及責任法案》標准。”
醫療人員網安意識或不足
英國倫敦智庫“戰略網絡空間與國際研究中心”亞太區執行副總裁張潤才則直言,去年的新保集團網襲事件理應給所有政府部門敲響警鍾,提醒它們要加強網絡安全設置,並對現有網安系統進行一輪檢查。怎料,網安疏漏卻還是接二連三地發生,這或顯示我國醫療衛生領域人員的網安意識嚴重不足,網絡安全和資料保護根本不是這些機構的核心理念。
他警告,新加坡的智慧國願景和安全網絡環境的形象,可能因這幾起網安疏漏而遭受沉重打擊。
“希望政府能領導調查和做出回應,不只是要修複系統性疏失問題,也重建公衆和跨國企業對我國的信心。”
涉網安疏漏事件網絡服務商 也標得另兩政府部門合約
涉及衛生科學局網安疏漏事件的網絡服務商Secur Solutions Group(簡稱SSG),也分別在2015年和去年成功標得內政部和人力部的合約。
根據政府數據網站data.gov.sg資料,SSG于1997年成立,公司在2015年標得內政部的駕照生産合約,合同價值近500萬元;公司也剛在去年3月標得人力部的合同,爲該部門設計、測試和管理個人化就業准證系統,合同價值486萬元。
SSG爲衛生科學局開發和管理血庫的網絡注冊、預約和反饋系統,合同價值則是14萬2775元。SSG就是在爲這個網絡系統進行更新和測試時,錯將捐血者數據上載到有網絡連接的服務器,被一名“白帽黑客”成功讀取。
戰略網絡空間與國際研究中心亞太區執行副總裁張潤才說,越來越多政府部門把IT工作外包給專業服務商,他提醒政府機構在頒布合同前謹慎評估服務商的業績記錄和經驗。
美國Gartner咨詢公司首席分析師德什潘德(Sid Deshpande)也說,各機構要確保獲選的服務商有絕對的能力去處理和保護好政府數據。
網絡安全意識聯盟成員林福存則表示,政府把部分IT工作外包給專業公司,是合理的做法,但他建議,工作外包出去後,相關部門還要對服務商及其負責的網絡系統進行定期檢查,確保系統的安全。
專家:若發現有疏失
服務商應被列入黑名單
張潤才說,如果服務商被發現有疏失,政府應該發出強烈信號,把公司及其董事列入黑名單,以此警示其他服務商不要對網絡安全掉以輕心。