新保集团网袭●听证会

在发生新加坡保健服务集团网络袭击事件之后，综合保健信息系统公司内部已采取措施改进一些内部程序，例如安排职员每天调查所有尝试登录电脑系统和数据库不果的行为。

公开听证会披露综合保健信息系统公司职员在评估网络安全事件、上报事件，以及对内部程序的理解有诸多不足之处。

尽管如此，在发生新加坡保健服务集团网络袭击事件之后，综合保健信息系统公司（IHiS）内部已采取措施改进一些内部程序，例如，安排职员每天调查所有尝试登录电脑系统和数据库不果的行为。在这之前，负责的职员尽管每天会收到相关资料，但他们不是随机抽样查看，就是不定时查看资料。

昨天供证的三名IHiS职员是负责新保集团医疗集群信息安全的高级经理黄家和、负责基础服务保安管理的助理处长韩汉光，以及医疗护理部门产品管理和供应副处长刘鸿兴（Henry Arianto）。

前天，IHiS安保管理部高级经理陈俊杰在听证会上说，一旦发现安保事故，他必须通知负责相关的集群信息安全官，由对方负责上报更高层。

昨天的听证会则披露，这名信息安全官，即黄家和，尽管数度接到不同资料显示可能有网络袭击事件的发生，但他解释自己有一套既定的工作流程，也无法肯定确实已发生网袭事件，因此没有上报事件。

屡次以“不太记得”交代事情始末

他提到，陈俊杰的下属李仪仁曾提供资料，显示有账户试图搜寻10万份病历记录，但他认为那只是一次内部测试得出的结果，所以认定该账户没有查找到任何敏感资料。

他也屡次以“不太记得”和“想不起”交代事情始末。例如，不记得是否读过李仪仁发出电邮列出调查网安事故的行动计划、不记得是否曾在6月13日被通知在那之前的连续两天出现了可疑事件。陈俊杰给他看网安事故的一系列截图时，他也坦言没有详细看截图等。

委员会主席马格纳斯则问他作为“一人单位”，他是否定期与其他负责网安事宜的同事开会，以及会以何种情况来形容自己：“亲力亲为”“不干涉”，或“照章办事”等。

黄家和回应表示他没有定期开会的做法。他称自己有时会采取主动，有时须依赖相关问题的专家。他较早时提到，当陈俊杰和其团队接获任何疑似网安事故的资料时，他的职责是确定事件是否已被确认是安全事故；若未确认就提议如何跟进，但陈俊杰是相关问题的专家；若已确认，则与陈俊杰决定以哪个级别的事件上报。

黄家和原本说，他认为网安事故须经查证后才可上报。他之后在答复独立调查委员会委员李福燊时则确认，若尚未确定已有网袭事件发生就上报，但事后确认并非如此，他也无需“付出代价”。

负责制定所有医疗集群得遵从的应对网安事故标准作业程序的韩汉光则指出，上报网安事故的责任落在集群信息安全官身上。

他也说根据程序，就算没有资料或数据被盗取，但只要有账户未经许可就尝试登录或查询资料库，就算是安全事故。但他同时强调，相关人员应自行判断和分析，而不是举凡有可疑事件就上报，因为这是不专业的行为。

刘鸿兴被提问时同意种种迹象浮现后理应上报，但他没这么做是想收集更多证据进行确认。当被问及已居高职却仍想进一步查核才上报，他答说是不想让上级虚惊一场，为上级添加工作，更何况他的下属已告知他，相关安保团队已接获通知。