我國血庫數據網安疏漏有新發展,存有捐血者數據的服務器還曾經被其他人入侵,不是原先以爲的只有一名網安專家獲取數據。捐血者資料可能外泄,警方已介入調查。
衛生科學局是在本月15日透露,超過80萬名捐血者的注冊資料被受委的網絡服務商Secur Solutions Group(簡稱SSG)挂上有互聯網連接的服務器。 該局是在接獲一名美國網安專家的舉報後,才切斷數據庫的互聯網連接。 衛生科學局表示,網安專家承諾會把數據刪除。
原先的調查初步顯示,只有這名網安專家登入服務器。但SSG昨天(30日)發文告指出,過後的取證分析顯示,從去年10月22日至本月13日期間,服務器被其他幾個可疑的互聯網協議(簡稱IP)登入。因此,SSG無法排除捐血者資料外泄的可能性。
SSG是在去年10月左右將捐血者的注冊資料上載到服務器,這些資料包括姓名、身份證號碼、性別、捐血次數、最近三次捐血的日期。部分捐血者的血型、身高和體重資料也被挂上網。衛生科學局曾于今年1月4日在SSG要求下提供額外數據,但這些數據沒有上載到服務器。
SSG向受影響的捐血者致歉,並強調數據庫資料不包括敏感的醫療信息或聯絡資料。它將繼續調查這起事件,並配合警方和衛生科學局的調查。
衛生科學局昨天發文告說,已獲知事件的最新進展,重申該局的中央血庫系統沒有連接到SSG的服務器,數據獲得安全保管。
該局嚴正看待這起事件,SSG已違反合約要求。由于警方還在調查,該局將在調查完成後決定對SSG采取的行動。
當局未透露IP地址源自何處 目前也不清楚確切受影響人數
衛生科學局和SSG雙方的文告均未透露被發現的IP地址源自本地或海外,目前也不清楚確切受影響的人數。由于事件在調查階段,衛生科學局受詢時未透露其他詳情。
根據SSG的文告,SSG事後聘用KPMG新加坡會計事務所的網絡安全專家,展開取證分析並對其科技系統做全面檢查。他們發現同一個服務器前年也曾遭網絡襲擊,但與這起事件無關聯,也沒有證據顯示衛生科學局的數據外泄。
過去一年,我國接二連三發生網絡安全疏漏事件。新保集團去年6月遭網襲,導致約150萬名病人的個人資料被盜,是我國曆來最大規模的網襲事件。今年1月,衛生部披露,有1萬6600名愛之病帶原者和有關聯者的個人資料外泄。
英國倫敦智庫戰略網絡空間與國際研究中心亞太區執行副總裁張潤才受訪時指出,穩固的網安系統與意識須打從一開始就建立好,不是等到事情發生了才爲“建好的屋子裝門”。
“政府機構應發出強烈的信號,不僅是將有疏失的服務商列入黑名單,暫停與它們的項目,也應讓它們爲疏失負責,並公開後續的行動與處罰。不過,政府機構也有責任去檢討它的程序,是否有妥善管理好服務商。監管網安的程序需要檢討並加強,這可由網絡安全局領導。”
定期捐血者許偉仁(39歲)認爲,捐血者從新聞報道才獲知資料可能外泄,會想知道自己是否受影響。有關當局應及時通知他們事件的發展。盡管網安程序有改進的必要,但這不影響他捐血的習慣。“捐血救人和網安疏失是兩回事,我們不能因爲他人的疏失就停止捐血助人的行動。”