新加坡保健服務集團被網襲造成近150萬國人資料被盜,風暴塵埃未定,人事和財務處罰即將在今天國會上發表的部長聲明中公布。網襲中的核心機構昨天率先作出內部處分,兩名經理級職員遭開除,一人降職。包括總裁在內的五名管理層須支付高額罰款,另外兩名中層主管也被罰以“中等”的數額。
綜合保健信息系統公司(Integrated Health Information Systems,簡稱IHiS)去年11月委任獨立人事委員會,評估應該對涉案職員采取什麽行動,建議獲IHiS董事會全盤接受。
IHiS在昨天發表的文告中說,委員會在建議采取什麽人事行動時,考慮了襲擊組織的行事手法和技術程度。“盡管如此,IHiS的一些職員其實可以緩和甚至避免這次襲擊,但卻沒有盡責。”
IHiS在只列出頭銜、不點名的情況下宣布三名職員受到處分。據記者了解,被開除的是Citrix小組組長、系統管理組助理主任林潤和,以及保安事故應對經理陳俊傑。文告說,兩人疏忽、不服從命令,造成保安狀況,導致這起前所未有的事故。
“雖然他們沒有意圖造成或促成這次的網襲,但是兩人都沒有履行托付給他們的責任,他們被開除。”
林潤和負責管理連接前端用戶電腦和後端病患數據庫的Citrix伺服器,在聽證會期間,伺服器的好些設置弱點引起關注。IHiS指出,林潤和“有足夠的技術專才,但是他對保安的態度和在伺服器的配設方面,給系統帶來了不必要和顯著的風險。他如果對伺服器做了恰當的規範和管理,是可以緩和網襲的影響。”
至于陳俊傑,文告說“他對于什麽才算是保安事故、什麽時候應該上報一直持有錯誤的理解。就連他下屬提醒之後,他還是很被動,結果錯過了可以減輕或避免網襲的種種機會。”
據之前的聽證會報道,去年7月6日,當陳俊傑終于察覺應該上報管理層時,他告訴同事:“我們一旦讓高層知道,就會‘沒日沒夜’了。IHiS的每個人都會爲這起案件不停工作。”
據了解,被降職的是集群信息安全官黃家和。委員會考慮到他缺乏才能,不適合這個職位,因此將他調往別處。IHiS解釋:“他誤解了什麽叫做保安事故,也沒有遵守IHiS的上報程序。”
文告也說,五名IHiS高層,包括總裁連水木在內,必須支付一筆“可觀罰金”來體現他們須負的集體責任。兩名被開除職員的中層主管則被罰“中等數額”。
IHiS以“公司規定”爲由,拒絕證實受到處分的職員身份,以及被罰的管理層是誰,及他們的罰金多少。文告也說,有幾名職員采取主動,足智多謀,其中三人還獲得表揚信。他們同樣沒有被點名。
IHiS主席黃貴華說:“這次的網襲提醒我們要對新的網襲更加保持警惕,病患的安危將繼續是我們的要務。IHiS將從中吸取教訓,並跟衛生部和醫療集群合作,推行必要措施,從中變得更堅強。”
信息安全專才協會主席黃開莊說,開除能力不足的人並不罕見,因爲員工的能力對于資訊科技的基礎設施和網絡安全來說至關重要。
“這件事告訴我們,人事部必須扮演重要角色,要爲機構招聘能幹和合適的專才。”