新加坡保健服务集团遭受网络袭击前,负责网络安保管理的资深职员已知悉数起可疑活动,但在他看来都不足以“拉响警报”,因此没有进一步上报有关情况。
综合保健信息系统公司(IHiS)安保管理部高级经理陈俊杰昨天在新保集团网袭听证会上指出,他的下属今年1月曾发现医院病历室的一台电脑可能遭植入恶意软件并展开调查。
恶意软件后来已被隔离,他根据标准作业程序,认为这是不须要上报的安保事故。
2008年加入公司的陈俊杰认为,符合严重“一级事件”条件的安保事故,是那些成功侵入关键信息基础设施的情况。
“我不将有关规定的定义理解为,一级事件是可能导致敏感信息泄露或损害关键信息基础设施系统的情况。”
听证会昨天进入第三天,陈俊杰是唯一公开供证的证人。他的工作职责包括带领相关同事应对涉及新保集团的网络安保事故。一旦发现安保事故,他必须通知负责该系统的集群信息安全官(Cluster Information Security Officer),然后由对方负责上报更高层。
不过就上述电脑遭植入恶意软件的事故,他没有上报高层,因为他认为调查恶意软件相当常见,而且往往出自于怀疑,还不能证实已经发生安保事故。
陈俊杰分别回答新保集团和IHiS的代表律师提问时补充,他的团队管理约3万个电脑和伺服器等终端设备,每天要处理四五十则涉及恶意软件的警示。
在6月至7月间,即使可疑活动开始升级,如有人多次尝试使用不同用户与密码组合登入数据库,陈俊杰也没有拉响警报。
在看了下属的相关电邮报告,他也没有意识到问题的严重性,或主动向下属了解内容所传达的信息。
发现可疑活动期间正好度假
另一方面,陈俊杰透露,新保集团系统今年6月最初被发现有可疑活动期间,他正好在日本度假。他直到6月18日回返新加坡,才看到同事们就可疑活动发出的电邮。
同样地,因为刚回到工作岗位,他要忙着处理放假期间积累的工作,无暇扮演好协调不同小组应对可疑安保事故的角色。
陈俊杰同时也是电脑紧急反应小组的成员。尽管小组没有正式负责人,其他成员会直接向他汇报情况。
7月5日,他得知小组就可疑活动的调查还在进行中,当时还未发现任何疑点。
陈俊杰指出,小组面对的其中一个问题是,他们只有一台电脑可以进行数码法证调查,而且是使用同事的个人电脑。