新保集團網襲●聽證會
在發生新加坡保健服務集團網絡襲擊事件之後,綜合保健信息系統公司內部已采取措施改進一些內部程序,例如安排職員每天調查所有嘗試登錄電腦系統和數據庫不果的行爲。
公開聽證會披露綜合保健信息系統公司職員在評估網絡安全事件、上報事件,以及對內部程序的理解有諸多不足之處。
盡管如此,在發生新加坡保健服務集團網絡襲擊事件之後,綜合保健信息系統公司(IHiS)內部已采取措施改進一些內部程序,例如,安排職員每天調查所有嘗試登錄電腦系統和數據庫不果的行爲。在這之前,負責的職員盡管每天會收到相關資料,但他們不是隨機抽樣查看,就是不定時查看資料。
昨天供證的三名IHiS職員是負責新保集團醫療集群信息安全的高級經理黃家和、負責基礎服務保安管理的助理處長韓漢光,以及醫療護理部門産品管理和供應副處長劉鴻興(Henry Arianto)。
前天,IHiS安保管理部高級經理陳俊傑在聽證會上說,一旦發現安保事故,他必須通知負責相關的集群信息安全官,由對方負責上報更高層。
昨天的聽證會則披露,這名信息安全官,即黃家和,盡管數度接到不同資料顯示可能有網絡襲擊事件的發生,但他解釋自己有一套既定的工作流程,也無法肯定確實已發生網襲事件,因此沒有上報事件。
屢次以“不太記得”交代事情始末
他提到,陳俊傑的下屬李儀仁曾提供資料,顯示有賬戶試圖搜尋10萬份病曆記錄,但他認爲那只是一次內部測試得出的結果,所以認定該賬戶沒有查找到任何敏感資料。
他也屢次以“不太記得”和“想不起”交代事情始末。例如,不記得是否讀過李儀仁發出電郵列出調查網安事故的行動計劃、不記得是否曾在6月13日被通知在那之前的連續兩天出現了可疑事件。陳俊傑給他看網安事故的一系列截圖時,他也坦言沒有詳細看截圖等。
委員會主席馬格納斯則問他作爲“一人單位”,他是否定期與其他負責網安事宜的同事開會,以及會以何種情況來形容自己:“親力親爲”“不幹涉”,或“照章辦事”等。
黃家和回應表示他沒有定期開會的做法。他稱自己有時會采取主動,有時須依賴相關問題的專家。他較早時提到,當陳俊傑和其團隊接獲任何疑似網安事故的資料時,他的職責是確定事件是否已被確認是安全事故;若未確認就提議如何跟進,但陳俊傑是相關問題的專家;若已確認,則與陳俊傑決定以哪個級別的事件上報。
黃家和原本說,他認爲網安事故須經查證後才可上報。他之後在答複獨立調查委員會委員李福燊時則確認,若尚未確定已有網襲事件發生就上報,但事後確認並非如此,他也無需“付出代價”。
負責制定所有醫療集群得遵從的應對網安事故標准作業程序的韓漢光則指出,上報網安事故的責任落在集群信息安全官身上。
他也說根據程序,就算沒有資料或數據被盜取,但只要有賬戶未經許可就嘗試登錄或查詢資料庫,就算是安全事故。但他同時強調,相關人員應自行判斷和分析,而不是舉凡有可疑事件就上報,因爲這是不專業的行爲。
劉鴻興被提問時同意種種迹象浮現後理應上報,但他沒這麽做是想收集更多證據進行確認。當被問及已居高職卻仍想進一步查核才上報,他答說是不想讓上級虛驚一場,爲上級添加工作,更何況他的下屬已告知他,相關安保團隊已接獲通知。