新保集团网袭事故●听证会
苏文琪 报道
suwenqi@sph.com.sg
综合保健信息系统公司(IHiS)职员今年6月11日发现有账户遭多次盗用以试图登入新保数据库后,尝试通过更改密码等措施来防止进一步的袭击行为。总检察署副总检察长郭民力高级律师认为,正因IHiS职员“没有完全掌握”问题的性质,最终导致新保集团的数据被盗。
综合保健信息系统公司的职员在应对网络袭击的警觉和行动上,被批评是“零散和不足的”。
总检察署副总检察长郭民力高级律师昨天在独立调查委员会就新保集团被网袭举行的公开听证会上直言,综合保健信息系统公司(IHiS)的职员在Sunrise Clinical Manager(简称SCM)系统已发生多起网络安全事故时,未能及时察觉问题的严重性,最终导致新加坡保健服务集团的数据被盗。
IHiS职员在今年6月11日发现有账户遭多次盗用以试图登入新保数据库,于是尝试通过更改密码和关闭伺服器等措施来防止进一步的袭击行为。
郭民力说:“虽然他们主动采取这些措施,整体应对策略却是零散和不足的,而且他们没有上报高层这些事故。”
网袭事故属“一级事件”
网安局一个月后才接获通报
他认为,正因IHiS职员“没有完全掌握”问题的性质,就未能根据新加坡网络安全局的全国网络事故应对框架(National Cyber Incident Response Framework,简称NCIRF),及时通报当局这起事件。
由于有关临床信息管理系统属于关键信息基础设施,涉及系统的网络安全事故其实算作严重的“一级事件”,有关部门负责人应在得知事件的两个小时内向网安局做口头报告。然而,网安局直到7月10日才知道这起事件,IHiS高层则是在前一天晚上接获通知的。
IHiS助理主任:
没想过会演变成泄露数据
IHiS基础设施服务部系统管理组助理主任林润和昨天是首名出场供证的职员代表。
谈及有关框架,他坦言在7月4日之前,自己并不清楚网安事故可以分等级和要遵循通报时限,他和组员也没有接受相关培训或得到任何说明。有关职员是在7月4日发现有人擅自对数据库进行查询。
担任独立调查委员会主席的前首席地方法官马格纳斯,及两名委员新科电子前总裁李福燊和樟宜综合医院前总裁尤戴岚,都向林润和发问,系统在几次出现状况后,有些看似还相当严重,为何没想过要通知公司高层。
林润和说,在6月13日至26日接近两周的时间里,团队没有发现任何可疑情况。另外,他认为有问题账户的权限少,是无法登入系统的。“我从来没想过事情会演变到泄露数据的地步。”
他也几次强调,在发现网安事故后,按照公司的规定是要通知安保管理部门。他的团队也是在该部门建议下,陆续更改有问题账户和管理员账户的密码。
为了避免有人再滥用有关账户,林润和也曾删除账户,然而黑客仍能反复使用该账户持续尝试登入系统。
第二名供证人、数据库执行员陈信玲是在6月11日发现有人多次企图登入数据库但不成功后,立即电邮通知有关部门的同事,包括林润和在内。
在管理数据库方面拥有20多年经验的她可说是首名发现可疑情况的人,她之后查阅系统日志,发现这些企图登入行为早在5月就开始出现。
然而,陈信玲以为有关部门已经知道情况,应该会展开调查和采取相应的行动,就无需通知自己的直属上司。
她说,当林润和在6月13日回复电邮时,使用了“恶意登入”的字眼,就认为公司可能正在处理网安事故,可她还是没有通知安保部门或上司。
陈信玲后来在7月4日协助同事中断黑客查询数据库的动作,当天下午她终于通知上司。
她补充,自己当时没有将6月的可疑登入活动和7月的查询动作联想在一起。“如果我将它们联想在一起,我会立即明白IHiS正在处理一起严重的安全事件。”