副总检察长郭民力高级律师昨天总结陈词,逐一说明各项建议时,特别点出其中五项应最先落实的建议,涉及机构组织的策略和运作两大层面。郭民力说,这16项建议同样适用于其他拥有庞大个人数据的公共部门,包括其余两个医疗集群,即国立健保集团和新加坡国立大学医学组织。
新加坡保健服务集团网袭事件听证会总结,总检察署共提出16项建议,重点包括建立机构组织的网络安全文化、强化关键信息基础设施系统的安检和监控措施,以及提升应对网袭事故的能力。
负责调查这起我国历来最大规模网袭的独立调查委员会在撰写最后报告时,会将这些建议考虑在内。
副总检察长郭民力高级律师昨天(11月30日)总结陈词,逐一说明各项建议时,特别点出其中五项应最先落实的建议,涉及机构组织的策略和运作两大层面。
以策略的建议为例,强调综合保健信息系统公司(IHiS)和公共医疗机构须更加重视网络安全,以及着手提高员工的网安意识。
IHiS数名职员供证时所突显的其中一个问题,是密码管理和事故通报等方面政策没有很好地落实或遵循。
郭民力说,有关机构可通过改进员工培训,以及定期对系统与网络展开全面审查等方式,确保所有员工遵照政策执行职务,并掌握防止、侦测和应对网安事故的能力。
另外,听证会揭露了IHiS的一些中层管理人员欠缺应对网安事故的能力。针对这点,IHiS已表示会通过培训和演习向员工传达及时通报事故的重要性。
新保集团网袭事件独立调查委员会自今年8月底开始听证,共37名证人向委员会主席与成员提供了一系列相关的证词和专业意见,整个过程前后历时21天。
昨天总结陈词的包括新保集团、IHiS、卫生部控股和卫生部的代表律师。
郭民力说,各方已就一些建议达致共识,有关组织也准备好要落实或已实施相关建议。
此外,16项建议同样适用于其他拥有庞大个人数据的公共部门,包括其余两个医疗集群,即国立健保集团和新加坡国立大学医学组织。
为了监督建议的执行情况,总检察署建议IHiS和公共医疗机构每六个月向医疗资讯科技指导委员会汇报进展,同时接受独立审查。
卫生部控股同意这项建议,并进一步提议网络安全理事会参与其中,而独立审查可交由集团内部审计,或卫生部有意设立的首席信息官办公室负责。
这个有待落实的首席信息官办公室隶属于卫生部,以协助提高相关人员应对网安事故的能力。
委员会最迟12月31日提呈报告
其他建议包括建立政府和私人领域的伙伴关系,促进集体安全。郭民力举例,新加坡网络安全局已同互联网服务供应商合作,以对该领域的威胁进行侦测。
尽管证据显示新保集团网络系统确实存在监管疏漏,郭民力提醒,发动攻击的是耐心执行计划的高明黑客。
他说:“在这方面,我们从听证会中吸取了宝贵的经验教训,尤其是专家证人和网安局分享网络防御专业知识。这些经验教训将协助我们加强抵御日益复杂的网络攻击。”
独立调查委员会主席马格纳斯在休庭前也强调,各组织如今须抱持已遭人攻破系统的态度,掌握可尽早侦测攻击和减少损失的能力,而不只是“积极的防守”。
这名前首席地方法官补充,这些解决方案须与对的人和程序相辅相成。“人是潜在的薄弱环节,甚至是最弱的一环。”
新保集团今年6月遭受网袭,约150万名病人的个人资料被盗,还有约16万人的门诊配药记录被泄露,当中包括总理李显龙与数名部长的记录。
独立调查委员会最迟得于今年12月31日,向主管网络安全事务的通讯及新闻部长易华仁,提呈调查结果和建议报告。