陈可扬 苏文琪 报道
tanky@sph.com.sg
suwenqi@sph.com.sg
综合保健信息系统公司未展开详细调查,就断言前职员发现的软件漏洞无关紧要。
第六天的新保集团网袭事件听证会揭露,综合保健信息系统公司(IHiS)五名现任和前任职员,从未直接向前职员赵海男了解漏洞的具体细节。
前总裁钟玉璇指出,公司技术人员认为赵海男所指的漏洞,其实只是内部常用的指令脚本,能让管理员得以绕过一般安全机制,直接登入系统。
她强调,这项功能是必要的,当发现系统遭侵入时,管理员才能直接登入系统掌控情况。
钟玉璇也说,公司当时刚改进系统架构,以为不论赵海男找出什么漏洞已无关紧要。另外,她称当时已要求Allscripts亚太区董事经理钱伯斯跟进有关发现,不过她无法提出佐证。
高级首席分析员卢耀德则以为所谓的漏洞,是程序员普遍知道的做法,并不涉及安全问题。他见过内部培训员示范这个技巧,并相信只有IHiS内部人员能使用。
IHiS代表律师惹耶勒南分别提问钟玉璇和卢耀德,医学院学生、护士和药剂师等用户能否通过上述漏洞登入数据库,两人都答不太可能。
钟玉璇补充,任何人必须拥有管理员的用户名和密码才能这么做,因为公司非常注重这方面的安保措施。
赵海男遭革职前也曾向直属上司陈微提起系统设计存在安全问题。身为助理主任的后者当时指示前者联系Allscripts,先弄清楚漏洞是不是软件设计的一部分。不过,她后来忙于其他公事,一直没能向对方了解情况,Allscripts也没联系她跟进情况。