半年前轟動海內外影響近150萬名病患的新加坡保健服務集團網絡遭攻擊事件,由退休法官馬格納斯牽頭的獨立調查委員會昨天剛發布400多頁的詳細調查報告書,總結出五大發現,以及提出16項建議。
這宗新加坡有史以來最大規模的網絡攻擊事件,不僅牽連廣泛,連李顯龍總理在內的多名政要的姓名、地址、身份證號碼等資料也被盜,其中近16萬人連門診配藥記錄都被“偷窺”,李顯龍總理的資料更是被特別針對以及反複查看。
.jpg)
事件發生之初,不僅紅螞蟻連續多篇貼文從各個角度探討,海內外輿論也大表不解,不解在于雖然新加坡過去一兩年已經讓很多人看破手腳,吳作棟時代就高喊的“智慧國”到今天還是很不夠智慧,必須重新喊叫一番,但是萬萬想不到一家國家級主要醫療機構的資料系統竟然如此不堪一擊,被小偷如入無人之境,長時間蹲守,大規模偷窺,而渾然不覺!
在這場一共傳召了37人供證、長達22天的聽證會中,委員會得出五大發現,重點是其中果然如外界所預料的,涉及人爲疏失的因素。
其中兩個發現都涉及前線網安人員警覺意識的失能;此外,新保集團本身網絡系統極其脆弱;而攻擊者極其高明,顯示有國家支持的水平,也擅長組織謀劃;最後,新加坡網安程度面對這些國際高端持續的網絡威脅時,終究難以抵擋。
根據所揭露的少許現象已經令人詫異萬分,例如一個電腦應急反應小組是去年3月才成立的,只有三個人,而三人裏面只有一個真正接受過事故反應的訓練。所以當這個人向上級報告說發現有人試圖搜索病曆資料時,負責保安應對的經理完全無法意識問題多嚴重,只是想著如果往上通報,只會讓自己成爲被追問最新情況的對象,換句話說——會給他自己惹來一身螞蟻!
這種安全意識的缺失竟然發生在負責掌控資訊科技的人員身上,而一些關鍵領域的中層管理人員竟然感覺不到危機,沒有在第一時間采取更進一步的行動。設想如果這些是鎮守國門前線的將士,還得了嗎?!
根據媒體報道,聽證會上被揭露的許多防禦系統細節和攻擊者身份、來源和操作方式等等,被列爲國家機密,不寫在報告書中。然而僅僅是能夠公開的部分,已經讓人清楚看見重大的部門對于網絡安全的漫不經心,其高管顯然對網絡時代還感覺有點陌生。
問題是,醫療機構是面對社會大衆的公共部門。今時今日,全國人民的資料都在每天與公共部門的交流中被收集、儲存。如果保管的程序缺乏最高等級的安全和隱私,由最強的隊伍看守,那來自世界各地數不清看不見的手,都可以輕易伸進伸出,隨便亂抓,那是多可怕的事,等于將全民扒光衣服赤裸站在全世界黑客的面前。
你大可以說類似事件沒有造成民衆實質的損失,但什麽才算損失?文明世界有“隱私”這回事你懂吧!隱私曝光于黑客眼底下,那是極其惡劣的潛在損失,而且是不知道何年何月會爆發的危害呀。
說嚴重點,這是政府和公共機構不可饒恕的罪責。官方如何確保這樣大規模的事不再發生,必須立下軍令狀。
通訊及新聞部長易華仁與衛生部長顔金勇下星期會在國會發表聲明,預料會揭露更多細節,除了指出政府會采取什麽措施,也要表明有沒有人員遭到懲處。
而民衆最希望國會議員追究的,是看到一個賞罰分明不問層級的結果,而不是把前線幾個職員“推出午門”就算交代了事的老套路,畢竟這幾乎是醜聞的國家級缺失,一定涉及決策失誤的吧,別欺負街坊市民不懂虛擬世界呀。