新保集團昨天發聲明再度致歉。集團董事會主席佘林發透露,包括集團總裁黃瑞蓮教授的數名高層自願接受繳付罰金的處分。IHiS也發聲明,決心要改善整個組織,並與其他醫療護理人員一同提升網絡防衛能力,保障病人的福利。
因內部疏失導致約150萬名病人的個人資料被盜,新加坡保健服務集團和綜合保健信息系統公司被個人資料保護委員會重罰,須在30天內繳付共100萬元罰款。
新保集團總裁黃瑞蓮教授等集團高層則自願接受繳付罰金的內部處分。
個人資料保護委員會昨早(1月15日)宣布,負責公共醫療機構資訊通信系統的綜合保健信息系統公司(簡稱IHiS)因沒有采取足夠的安全措施保障個人資料,被罰75萬元。這是委員會成立以來開出的最高罰金。之前,卡拉OK連鎖店K Box因在2014年泄露31萬7000名會員個人資料而被罰5萬元。
另外,新保集團作爲病人資料庫系統的擁有者,負責處理安全事故的職員卻對事故應對程序不熟悉、過度依賴IHiS,以及不了解又沒進一步去了解IHiS在網絡襲擊發生後提供的信息的重要性,被罰25萬元。
新保集團去年6月遭網襲,約150萬名病人的個人資料被盜,包括李顯龍總理和數名部長在內約16萬人的門診配藥記錄也泄露。
委員會開出至今最高罰金
新保集團陳情時說,它已制定安全措施,足以監管IHiS,但無法控制人爲疏失。對此委員會強調,即使把一些工作外包給供應商,掌握這些數據的一方,最終仍須爲所收集的客戶個人資料負責。
委員會向IHiS和新保集團開出至今最高罰金,是考慮到資料的敏感和機密性質。委員會總監陳傑豪指出,雖然遭盜的是近150萬病人資料,但遭入侵的數據庫有超過501萬病人的資料,IHiS和新保集團的數據安全缺失更顯嚴重。
不過,委員會在制定罰金時也考慮到這兩個機構在調查過程中給予配合,並立即采取糾正措施。
委員會也意識到IHiS和新保集團遭遇技巧熟練、操作複雜的網襲者。這個“高端持續網絡威脅”網襲組織使用數個先進、特制且鬼祟的手段,展開10余月的襲擊。
新保集團昨天發聲明再度致歉。集團董事會主席佘林發透露,包括集團總裁黃瑞蓮教授的數名高層自願接受繳付罰金的處分。
黃瑞蓮除了致歉並接受委員會的裁決,也再次強調集團已采取措施加強網絡安全監管框架,並改善對關鍵系統的管理監督等。
IHiS也發聲明列舉它加速落實的一系列網安措施。聲明引述IHiS總裁連水木的話說,IHiS決心要改善整個組織,並與其他醫療護理人員一同提升網絡防衛能力,保障病人的福利。
對于新保集團高層自願被罰,亞鷹人力資源公司總裁葉慧蓮認爲這個做法值得贊揚,因爲這顯示高層擔起責任,也有助避免內部再發生類似事件。她也認爲,與其高層引咎辭職,這可能是折中的解決方案。
主管網絡安全事務的通訊及新聞部長易華仁和衛生部長顔金勇昨天也在國會發表部長聲明,列舉對政府系統和公共醫療機構系統采取的改善措施。
易華仁強調,這不是我國首次也絕不會是最後一次被針對性攻擊,而網絡安全沒有一個永久或絕對的解決方案,智慧國計劃也不能因這類事件而脫軌。
顔金勇在答複議員提問時則指出,無論制定什麽系統都有遇襲的風險。“最大的風險是誤以爲有了某些系統和措施後就很安全。我們須謹記‘道高一尺,魔高一丈’,必須時刻保持警惕,並不斷提升自己。”
國會已休會。