新保集團今年6月遭受我國曆來最大網襲,安保管理高級經理陳俊傑下屬雖通知他有可疑網襲活動,但他沒認真看待,因爲擔心被管理層加重工作量而拖延彙報。
調查我國醫療系統遭黑客侵襲的公開聽證會昨天(10月31日)爆出,信息系統公司職員在下屬確認黑客已成功侵入核心數據庫後,卻因擔心向上司彙報會導致工作量大增,結果拖延數日才通知他們。
根據調查員新掌握的電話通訊記錄,綜合保健信息系統公司(IHiS)高級經理陳俊傑今年7月6日曾發短信告訴同事:“只要我們一上報給管理層,就會沒日沒夜了……IHiS的所有人就必須馬不停蹄地處理這起事件。”
9月已在上一輪聽證會供證的陳俊傑昨天再次出庭時坦言,他當時只專注于要求下屬隔離黑客和限制破壞,並認爲沒必要禀告上司。
他說:“我當時心想,就算我彙報了,我能得到什麽?如果我彙報了,只會出現一大堆人追著我要更多信息。如果他們追討最新進展,我必須找出更多信息提供給他們。只要我彙報了遭遇襲擊的事件,時間就不等人了。”
隔天7月7日星期六,當同事要求周末開會商討對策時,陳俊傑以“壓力太大不想周末工作”爲由拒絕。黑客入侵的情報卡在陳俊傑這一層,直至下個工作日(9日)才通知上司。
IHiS代表律師要求陳俊傑澄清爲何壓力大時,陳俊傑突然哽咽落淚,指母親當時病倒緊急送院接受治療,情緒激動得無法繼續作答,拿出手帕擦淚。庭上沒透露陳母當時因何入院。
我國今年6月至7月間遭遇曆來最大規模的網絡襲擊,黑客潛入新加坡保健服務集團的數據庫,導致約150萬名病人的個人資料被盜,其中16萬人的門診配藥記錄被泄露,受害者包括李顯龍總理與數名部長。
聽證會調查顯示,IHiS職員早在6月就察覺系統異樣,但彙報情況後並未得到上級重視。黑客行爲在7月4日被終止,但IHiS高層直到五天後才得知情況,隨後通知新保集團、衛生部和網絡安全局。公衆則是在7月20日的政府記者會得知此事。
分工不明確、職員推托責任和判斷錯誤都是造成黑客得逞的主要因素。昨天的聽證會就聚焦各機構內部的應急措施與各級職員之間的彙報安排。
首席信息執行長:應改進彙報安排鼓勵職員勇于發言
新保集團首席信息執行長陳維柏供證時承認逐級彙報模式意味著,若其中一個環節出錯就會出現“瓶頸”,讓高層無法及時了解情況。他同意應該改進彙報安排,鼓勵職員勇于發言,讓他們有途徑跨級直接彙報情況。
針對陳俊傑認爲應完全掌握黑客身份等六方面信息才能彙報上級的說法,陳維柏表示不同意,信息不齊也應該彙報上級,讓更多人參與判斷形勢。
IHiS網絡安主管兼衛生部首席信息安全官蔡金川供證時則指出,系統出現異常狀況有時是基于系統故障和人爲失誤,而非黑客入侵行爲,若凡是都驚動高層反而可能造成“警覺疲勞”。
另外,政府通過網絡安全法後,儲存核心醫療記錄的關鍵信息基礎設施到底歸哪一方至今尚無定案。在此之前,各方“共識”是所有權歸新保集團,如今通過立法正式確立設施擁有者的法律責任,新保集團和IHiS等方面表示將在聽證會調查結果公布後再做定案。
IHiS總裁連水木今天會出席聽證會供證。