新保集團網襲事故●聽證會
蘇文琪 報道
綜合保健信息系統公司(IHiS)職員今年6月11日發現有賬戶遭多次盜用以試圖登入新保數據庫後,嘗試通過更改密碼等措施來防止進一步的襲擊行爲。總檢察署副總檢察長郭民力高級律師認爲,正因IHiS職員“沒有完全掌握”問題的性質,最終導致新保集團的數據被盜。
綜合保健信息系統公司的職員在應對網絡襲擊的警覺和行動上,被批評是“零散和不足的”。
總檢察署副總檢察長郭民力高級律師昨天在獨立調查委員會就新保集團被網襲舉行的公開聽證會上直言,綜合保健信息系統公司(IHiS)的職員在Sunrise Clinical Manager(簡稱SCM)系統已發生多起網絡安全事故時,未能及時察覺問題的嚴重性,最終導致新加坡保健服務集團的數據被盜。
IHiS職員在今年6月11日發現有賬戶遭多次盜用以試圖登入新保數據庫,于是嘗試通過更改密碼和關閉伺服器等措施來防止進一步的襲擊行爲。
郭民力說:“雖然他們主動采取這些措施,整體應對策略卻是零散和不足的,而且他們沒有上報高層這些事故。”
網襲事故屬“一級事件”
網安局一個月後才接獲通報
他認爲,正因IHiS職員“沒有完全掌握”問題的性質,就未能根據新加坡網絡安全局的全國網絡事故應對框架(National Cyber Incident Response Framework,簡稱NCIRF),及時通報當局這起事件。
由于有關臨床信息管理系統屬于關鍵信息基礎設施,涉及系統的網絡安全事故其實算作嚴重的“一級事件”,有關部門負責人應在得知事件的兩個小時內向網安局做口頭報告。然而,網安局直到7月10日才知道這起事件,IHiS高層則是在前一天晚上接獲通知的。
IHiS助理主任:
沒想過會演變成泄露數據
IHiS基礎設施服務部系統管理組助理主任林潤和昨天是首名出場供證的職員代表。
談及有關框架,他坦言在7月4日之前,自己並不清楚網安事故可以分等級和要遵循通報時限,他和組員也沒有接受相關培訓或得到任何說明。有關職員是在7月4日發現有人擅自對數據庫進行查詢。
擔任獨立調查委員會主席的前首席地方法官馬格納斯,及兩名委員新科電子前總裁李福燊和樟宜綜合醫院前總裁尤戴岚,都向林潤和發問,系統在幾次出現狀況後,有些看似還相當嚴重,爲何沒想過要通知公司高層。
林潤和說,在6月13日至26日接近兩周的時間裏,團隊沒有發現任何可疑情況。另外,他認爲有問題賬戶的權限少,是無法登入系統的。“我從來沒想過事情會演變到泄露數據的地步。”
他也幾次強調,在發現網安事故後,按照公司的規定是要通知安保管理部門。他的團隊也是在該部門建議下,陸續更改有問題賬戶和管理員賬戶的密碼。
爲了避免有人再濫用有關賬戶,林潤和也曾刪除賬戶,然而黑客仍能反複使用該賬戶持續嘗試登入系統。
第二名供證人、數據庫執行員陳信玲是在6月11日發現有人多次企圖登入數據庫但不成功後,立即電郵通知有關部門的同事,包括林潤和在內。
在管理數據庫方面擁有20多年經驗的她可說是首名發現可疑情況的人,她之後查閱系統日志,發現這些企圖登入行爲早在5月就開始出現。
然而,陳信玲以爲有關部門已經知道情況,應該會展開調查和采取相應的行動,就無需通知自己的直屬上司。
她說,當林潤和在6月13日回複電郵時,使用了“惡意登入”的字眼,就認爲公司可能正在處理網安事故,可她還是沒有通知安保部門或上司。
陳信玲後來在7月4日協助同事中斷黑客查詢數據庫的動作,當天下午她終于通知上司。
她補充,自己當時沒有將6月的可疑登入活動和7月的查詢動作聯想在一起。“如果我將它們聯想在一起,我會立即明白IHiS正在處理一起嚴重的安全事件。”