在新保集團網襲聽證會供證上,衛生部控股董事經理吳弈源表示,安排暫停電腦服務以進行系統維護的空間非常有限,更不可能把系統提升到零風險狀態,所以應評估並決定多少風險仍屬可以接受的範圍。
公共醫療機構的電腦系統必須全天候正常運作,才能確保服務不受幹擾,但這也限制了系統維護工作。
衛生部屬下經營本地公共醫療機構的衛生部控股(MOH Holdings)董事經理吳弈源昨天在網襲聽證會供證時說,把系統提升到攻不可破的零風險狀態並不可能,所以比較實際的做法是退而求其次,評估風險並決定多少風險仍屬可以接受的範圍。
他說:“公共醫療機構的電腦系統必須每天24小時、一周七天有效運作,安排暫停服務以進行系統維護的空間非常有限。集團內部審計提出了應該改進的方方面面,但落實糾正措施的速度不一定如他們所願。”
他舉例說,工作人員即使爲一個系統安裝補丁軟件,其他層級的應用或硬件也會受到影響。
吳弈源指出,現有措施可以應對約99.6%的風險,但若要進一步降低風險,必須投入的資源將“不成比率地提高”,系統所有者必須在現實運作環境中受限的情況下,評估另外0.3%至0.4%的“殘留風險”是否值得消耗大量人手與資源去補洞。
即使是在新加坡保健集團(SingHealth)今年中遭遇我國曆來最嚴重的網絡襲擊後,吳弈源認爲,這種容忍小部分殘留風險的做法依然適用。
他說,一次過爲旗下6萬1000多個器材全都安裝補丁軟件並不實際,因此只能優先從風險最高的方面著手,然後逐漸更新其他系統。
黑客在今年6月至7月期間發動襲擊,潛入新保集團數據庫盜取約150萬名病人個人資料,其中16萬人門診配藥記錄也外泄,受害者包括李顯龍總理與數名部長。政府至今沒有公開黑客身份,不過將襲擊定性爲“高端持續網絡威脅”顯示這是有組織的攻擊,一般由國家官方發起。
同一批人制定與推行網安衛生部設機制確保問責
衛生部與統一管理公共醫療機構信息系統的公司之間,是否有足夠的監管與問責機制也是昨天聽證會的焦點之一。
綜合保健信息系統公司(IHiS)負責推行政府制定的網絡安全措施,但多名衛生部官員身兼多職,一方面是衛生部的政策制定者,另一方面也在IHiS推行措施。例如,IHiS總裁連水木同時也是衛生部首席信息官,IHiS網絡安全主管也是衛生部信息安全主要負責人。
對此,吳弈源認爲,雖然制定與推行網絡安全措施的是同一批人,有構成利益沖突的風險,但衛生部已設立一套機制確保問責。
“衛生部針對網絡安全問題作出重大決定後,會設下期限要求並不斷跟進進展。”
吳弈源也說,衛生部首席信息官必須向衛生部常任秘書和網絡安全理事會主席彙報工作進展,形成對IHiS工作的“雙重監督”。
聽證會下周一將傳召新保集團代表供證,其中包括集團總裁黃瑞蓮教授。