新加坡保健服务集团网络遭入侵的完整独立调查报告上周四(1月10日)出炉后,红蚂蚁隔天写过一篇评论,说明报告暴露了哪些管理漏洞,并在文中提到民众最希望看到一个赏罚分明不问层级的结果,而不是将前线几个职员“推出午门”就完事。
该报告显示,这个影响到多达150万名病人(包括李显龙总理在内)的个人资料被盗的新保集团网络袭击事件,其实是内部管理不到位所致。而且是那种完全可以避免和提早预防的人为过失,简直就是“敞开大门让黑客随意掠夺”。城门失火自然要付出代价,难免有人要“人头落地”。
果不其然,通讯及新闻部长易华仁与卫生部长颜金勇今天先后在国会发表了“赏罚分明”的两份部长声明。
易华仁在部长声明中指出,肇事的两家机构——新保集团(SingHealth)和综合保健信息系统公司(IHiS)都各自被罚最高款项,总罚金高达100万新元。
新保集团和IHiS是什么关系?外包关系。新保集团将网络安全工作外包给IHiS全权管理,IHiS是卫生部控股属下的机构,负责管理新加坡医疗领域的中央网络安全系统。
IHiS因为没有采取足够的安全措施来保障病人的个人资料被罚75万元。新保集团因负责处理安全事故的人员对事故应对程序不熟悉、过度依赖IHiS等,被罚25万元。这是新加坡个人资料保护委员会有史以来开出的最高罚金。
玩忽职守的三名IHiS职员不是被开除就是被降级。中层管理人员被调职罚钱,两家机构的总裁和高层也受到财务处分。
由上至下,由机构到个人,罚得彻底,杀一儆百。
卫生部长颜金勇在部长声明中指出,令他深感欣慰的是,在此事件中有三名来自IHiS资料管理团队、电脑支援团队和电脑安全管理团队的员工足智多谋,主动挺身而出寻找事件根源。IHiS给这三人都发了表扬书。颜金勇也在国会上向在场的议员一再保证,两家机构的其他员工今年的薪金和花红并不会因为这一小撮人的过失而受到影响。
管理漏洞自然要拿“管理层”开刀
颜金勇在部长声明中也透露,IHiS董事局昨天制定出一系列处分。IHiS昨天也发文告给各大媒体透露遭处分的职员的名字和职衔。
1)开除两名IHiS前线员工
任职于IHiS的Citrix小组组长兼系统管理组助理主任林润和,以及安全事故应对经理陈俊杰遭开除的原因:工作疏忽、不服从命令。
林润和虽具备技术实力,但是他管理伺服器(servers)的态度和方法却给整个系统带来多余且严重的风险。如果他在管理伺服器的过程中遵照必要步骤,有效管理,完全可以大大削弱黑客的攻击。可是他并没那么做。
陈俊杰则一而再再而三地误解“安全事故”的定义,也不清楚什么时候必须向上级汇报安全事故。即便他的下属屡次提醒他系统出现警报,他依旧处于被动事不关己,以致于错失了无数次阻止或削弱黑客入侵的机会。他俩的行为直接造成电脑安全状况出现严重漏洞,导致这起前所未有的事件发生。
2)中层管理人员被降职罚款
文告还指出,被降职的是集群信息安全官黄家和。调查显示,黄家和不理解何谓“安全事故”,也没有能力遵循IHiS的事故汇报机制,委员会考虑到他缺乏才能,不适合这个职位,因此将他调往别处。另外,那两名被开除的职员的上司(中层主管)也被罚予“中等数额”的罚金。
3)高层管理人员遭财务处分
颜金勇指出,IHiS高层对此事件必须负起集体责任,他们也很清楚这个道理。
颜金勇说:
“去年12月,IHiS的总裁给我写了封信,他在信中表达了对自己和同事无法阻止或更好地反击黑客的入侵感到失望。他也为事件的发生道歉,并表示他与高层管理人员不会推卸集体责任。总裁告诉我,他会全面接受董事局的处分。”
IHiS董事局最后决定对总裁连水木和四名IHiS高层给予财务处分,数额非常“可观”,远远高于中层主管的罚金。他们五人已经接受了处分。
至于新保集团,独立调查委员会并没有发现任何员工玩忽职守,但由于新保集团身为病人资料管理方,却没有尽到应尽的责任,因此新保集团的高层主管也受到财务处分。
虽然部长和文告均没有透露罚金的数额,但据《联合晚报》报道,人力资源专家分析,作为公司高层,总裁的罚金肯定不低,才能达到杀一儆百的作用,估计将等于几个月的薪金,约数十万元新元。
新保集团总裁黄瑞莲教授今天也发文告向病人道歉。
“我们真诚的对病人道歉,并接受个人资料保护委员会的决定。”
她强调,集团的首要任务是对病人负责,保护病人的私人资料也是集团的责任。集团目前正作出调整,增强网络安全架构和改善管理方面的漏洞。
新保集团董事会主席佘林发也说:“我们接受责任,并对此事件向我们的病人道歉。集团高级领导团队,包括集团总裁,已经自愿地接受罚款处分。”
卫生部将试行“虚拟浏览器”并控制上网员工人数
颜金勇在国会上也宣布,卫生部将试行“虚拟浏览器”(Virtual Browser)来减低黑客入侵的风险。
他在介绍“虚拟浏览器”时这样解释:
“如果我们将下载一个网页或一份文件想象成是接收一封信,那虚拟浏览器就是收信的净化室。当信件进入净化室时,信件内容将被‘拍照’后发到客户端,收信人在读取资料时只是在看照片,不是真的接触到那封信,因此那封信若携带恶意文档或隐藏信息,都会全部被留在净化室内。”
这样的做法虽然不能完全消除黑客入侵的风险,却能将入侵的界面减至最小范围。如此一来就不会影响服务效率和病人的看护流程。如果试行成功,卫生部将在本地几个保健集团全面使用虚拟浏览器。届时,那些工作流程无须上网的员工的电脑将被取消上网功能。那些具备上网功能的电脑也将实施权限制和双重密码登录程序,将入侵风险减至最低。
此外,颜金勇也放话说,在本地医疗领域的电脑系统入侵风险被减到最低、防范措施全部到位之前,卫生部将暂缓强制要求业者上载病人资料到全国电子健康记录(National Electronic Health Record,简称NEHR)的规定。
独立调查报告的最后一块拼图:黑客的身份
两份部长声明发表后,有很多议员纷纷举手要求部长澄清他们的疑问。包括政府国会卫生委员会主席谢世儒在内的几名议员都问出许多人很想知道的问题:黑客的身份究竟是谁?
从目前已公布的消息,我们知道黑客来自国外,属于高级长期威胁(APT)黑客团体,技术虽高超却没有厉害到无所不能。若不是新保集团和IHiS的管理漏洞导致网络失守,对方不会那么容易得逞。
颜金勇婉转地答复了在场议员,提醒大家永远都不能放松,应该将重点放在如何加强提升医疗领域的电脑系统的保安。黑客的技术越是先进,我国的防范措施就要越到位,才能“道高一尺魔高一丈”。
易华仁则答说:
“我们在查明黑客入侵后的第一时间(7月10日)就通知了网安局,7月20日就召开记者会通知国人,这么做是为了证明政府的做法是透明的,我们没有任何隐瞒,我们和所有新加坡人一样,想找出事情的根本并解决问题。紧接着我们就展开独立调查……我们后来也毫无保留地公开了委员会的调查结果和建议,唯一没有出现在报告当中的信息,是关乎国家安全和病人的个人隐私的。”
易华仁接着强调,新加坡政府在网袭事件发生后立即采取了全方位的对应措施,也对肇事机构和个人给予惩罚处分,并对电脑安全系统进行亡羊补牢。
“我们不应该将政府的对应缩小到一个特定的点:为何没有公开黑客的身份?我非常能理解议员们和他们各自选区的居民的好奇心。但我们必须在国家安全和公开信息之间作出取舍,哪个才是对我国最有利的做法?我说过了,我们知道黑客的身份也采取了必要的行动。”
听完了部长声明,红蚂蚁默默在心中祈祷:但愿“道高一尺魔高一丈”的是我们,而不是那些黑客。