負責新保集團的IHiS職員過去三年參與網襲演習,而演習顯示職員能專業應付並已做好准備,表現也逐年進步,但仍然沒辦法阻止四個月後發生的新保集團網襲事件。
昨天的第三名證人IHiS網絡安全主管蔡金川說,IHiS的一些職員在2016年至今年參與三次演習,測試他們面對網襲時的應對能力,並從中找出能改進的地方。
也是衛生部首席信息安全官的蔡金川透露,第二年的演習可看出參與者有顯著進步,變得更專業也已做好准備,第三年也維持同樣的專業水平。
然而,調查委員會委員、樟宜綜合醫院前總裁尤戴岚指出,高級經理陳俊傑也出席這項演習,但他仍抱有“只有確定是網襲才須上報”的錯誤印象。
對此蔡金川答複,演習是在課室場景裏練習如何應付網襲,因此參與者會把演習中發的假設性場景視爲確定的網襲活動,在課室外觀念或許就不同了。他表示,明年第一季將舉行的下一場演習會加強這方面訓練。
此外,IHiS自2016年就有打算使用虛擬浏覽器避免電腦被網絡惡意軟件感染,同時爲工作上無須上網的用戶實施網絡隔離措施。多次討論會議後,IHiS原本打算在2019年實施,不料新保集團卻在今年7月遭網襲。
盡管蔡金川提出各種系統和網絡等防範措施,但身爲獨立調查委員會主席的前首席地方法官馬格納斯指出,網絡安全是科學也是一門藝術。他解釋,聽證會的證詞主要關注在各種平台、工具、網絡等科學方面的課題,但人們面對網襲的行爲和反應也至關重要。他因此希望蔡金川能探討如何把“藝術”部分也考慮在安保措施內。
他進一步解釋,“藝術”指的不只是內部職員的直覺和對情形的認知,它也指從襲擊者的角度思考他會如何采取行動,以預先策劃下一步。