新加坡保健服務集團網絡遭入侵的完整獨立調查報告上周四(1月10日)出爐後,紅螞蟻隔天寫過一篇評論,說明報告暴露了哪些管理漏洞,並在文中提到民衆最希望看到一個賞罰分明不問層級的結果,而不是將前線幾個職員“推出午門”就完事。
.jpg)
該報告顯示,這個影響到多達150萬名病人(包括李顯龍總理在內)的個人資料被盜的新保集團網絡襲擊事件,其實是內部管理不到位所致。而且是那種完全可以避免和提早預防的人爲過失,簡直就是“敞開大門讓黑客隨意掠奪”。城門失火自然要付出代價,難免有人要“人頭落地”。
果不其然,通訊及新聞部長易華仁與衛生部長顔金勇今天先後在國會發表了“賞罰分明”的兩份部長聲明。
易華仁在部長聲明中指出,肇事的兩家機構——新保集團(SingHealth)和綜合保健信息系統公司(IHiS)都各自被罰最高款項,總罰金高達100萬新元。
新保集團和IHiS是什麽關系?外包關系。新保集團將網絡安全工作外包給IHiS全權管理,IHiS是衛生部控股屬下的機構,負責管理新加坡醫療領域的中央網絡安全系統。
IHiS因爲沒有采取足夠的安全措施來保障病人的個人資料被罰75萬元。新保集團因負責處理安全事故的人員對事故應對程序不熟悉、過度依賴IHiS等,被罰25萬元。這是新加坡個人資料保護委員會有史以來開出的最高罰金。
玩忽職守的三名IHiS職員不是被開除就是被降級。中層管理人員被調職罰錢,兩家機構的總裁和高層也受到財務處分。
由上至下,由機構到個人,罰得徹底,殺一儆百。
衛生部長顔金勇在部長聲明中指出,令他深感欣慰的是,在此事件中有三名來自IHiS資料管理團隊、電腦支援團隊和電腦安全管理團隊的員工足智多謀,主動挺身而出尋找事件根源。IHiS給這三人都發了表揚書。顔金勇也在國會上向在場的議員一再保證,兩家機構的其他員工今年的薪金和花紅並不會因爲這一小撮人的過失而受到影響。
管理漏洞自然要拿“管理層”開刀
顔金勇在部長聲明中也透露,IHiS董事局昨天制定出一系列處分。IHiS昨天也發文告給各大媒體透露遭處分的職員的名字和職銜。
1)開除兩名IHiS前線員工
任職于IHiS的Citrix小組組長兼系統管理組助理主任林潤和,以及安全事故應對經理陳俊傑遭開除的原因:工作疏忽、不服從命令。
林潤和雖具備技術實力,但是他管理伺服器(servers)的態度和方法卻給整個系統帶來多余且嚴重的風險。如果他在管理伺服器的過程中遵照必要步驟,有效管理,完全可以大大削弱黑客的攻擊。可是他並沒那麽做。
陳俊傑則一而再再而三地誤解“安全事故”的定義,也不清楚什麽時候必須向上級彙報安全事故。即便他的下屬屢次提醒他系統出現警報,他依舊處于被動事不關己,以致于錯失了無數次阻止或削弱黑客入侵的機會。他倆的行爲直接造成電腦安全狀況出現嚴重漏洞,導致這起前所未有的事件發生。
2)中層管理人員被降職罰款
文告還指出,被降職的是集群信息安全官黃家和。調查顯示,黃家和不理解何謂“安全事故”,也沒有能力遵循IHiS的事故彙報機制,委員會考慮到他缺乏才能,不適合這個職位,因此將他調往別處。另外,那兩名被開除的職員的上司(中層主管)也被罰予“中等數額”的罰金。
3)高層管理人員遭財務處分
顔金勇指出,IHiS高層對此事件必須負起集體責任,他們也很清楚這個道理。
顔金勇說:
“去年12月,IHiS的總裁給我寫了封信,他在信中表達了對自己和同事無法阻止或更好地反擊黑客的入侵感到失望。他也爲事件的發生道歉,並表示他與高層管理人員不會推卸集體責任。總裁告訴我,他會全面接受董事局的處分。”
IHiS董事局最後決定對總裁連水木和四名IHiS高層給予財務處分,數額非常“可觀”,遠遠高于中層主管的罰金。他們五人已經接受了處分。
至于新保集團,獨立調查委員會並沒有發現任何員工玩忽職守,但由于新保集團身爲病人資料管理方,卻沒有盡到應盡的責任,因此新保集團的高層主管也受到財務處分。
雖然部長和文告均沒有透露罰金的數額,但據《聯合晚報》報道,人力資源專家分析,作爲公司高層,總裁的罰金肯定不低,才能達到殺一儆百的作用,估計將等于幾個月的薪金,約數十萬元新元。
新保集團總裁黃瑞蓮教授今天也發文告向病人道歉。
“我們真誠的對病人道歉,並接受個人資料保護委員會的決定。”
她強調,集團的首要任務是對病人負責,保護病人的私人資料也是集團的責任。集團目前正作出調整,增強網絡安全架構和改善管理方面的漏洞。
新保集團董事會主席佘林發也說:“我們接受責任,並對此事件向我們的病人道歉。集團高級領導團隊,包括集團總裁,已經自願地接受罰款處分。”
衛生部將試行“虛擬浏覽器”並控制上網員工人數
顔金勇在國會上也宣布,衛生部將試行“虛擬浏覽器”(Virtual Browser)來減低黑客入侵的風險。
他在介紹“虛擬浏覽器”時這樣解釋:
“如果我們將下載一個網頁或一份文件想象成是接收一封信,那虛擬浏覽器就是收信的淨化室。當信件進入淨化室時,信件內容將被‘拍照’後發到客戶端,收信人在讀取資料時只是在看照片,不是真的接觸到那封信,因此那封信若攜帶惡意文檔或隱藏信息,都會全部被留在淨化室內。”
這樣的做法雖然不能完全消除黑客入侵的風險,卻能將入侵的界面減至最小範圍。如此一來就不會影響服務效率和病人的看護流程。如果試行成功,衛生部將在本地幾個保健集團全面使用虛擬浏覽器。屆時,那些工作流程無須上網的員工的電腦將被取消上網功能。那些具備上網功能的電腦也將實施權限制和雙重密碼登錄程序,將入侵風險減至最低。
此外,顔金勇也放話說,在本地醫療領域的電腦系統入侵風險被減到最低、防範措施全部到位之前,衛生部將暫緩強制要求業者上載病人資料到全國電子健康記錄(National Electronic Health Record,簡稱NEHR)的規定。
獨立調查報告的最後一塊拼圖:黑客的身份
兩份部長聲明發表後,有很多議員紛紛舉手要求部長澄清他們的疑問。包括政府國會衛生委員會主席謝世儒在內的幾名議員都問出許多人很想知道的問題:黑客的身份究竟是誰?
從目前已公布的消息,我們知道黑客來自國外,屬于高級長期威脅(APT)黑客團體,技術雖高超卻沒有厲害到無所不能。若不是新保集團和IHiS的管理漏洞導致網絡失守,對方不會那麽容易得逞。
顔金勇婉轉地答複了在場議員,提醒大家永遠都不能放松,應該將重點放在如何加強提升醫療領域的電腦系統的保安。黑客的技術越是先進,我國的防範措施就要越到位,才能“道高一尺魔高一丈”。
易華仁則答說:
“我們在查明黑客入侵後的第一時間(7月10日)就通知了網安局,7月20日就召開記者會通知國人,這麽做是爲了證明政府的做法是透明的,我們沒有任何隱瞞,我們和所有新加坡人一樣,想找出事情的根本並解決問題。緊接著我們就展開獨立調查……我們後來也毫無保留地公開了委員會的調查結果和建議,唯一沒有出現在報告當中的信息,是關乎國家安全和病人的個人隱私的。”
易華仁接著強調,新加坡政府在網襲事件發生後立即采取了全方位的對應措施,也對肇事機構和個人給予懲罰處分,並對電腦安全系統進行亡羊補牢。
“我們不應該將政府的對應縮小到一個特定的點:爲何沒有公開黑客的身份?我非常能理解議員們和他們各自選區的居民的好奇心。但我們必須在國家安全和公開信息之間作出取舍,哪個才是對我國最有利的做法?我說過了,我們知道黑客的身份也采取了必要的行動。”
聽完了部長聲明,紅螞蟻默默在心中祈禱:但願“道高一尺魔高一丈”的是我們,而不是那些黑客。