通訊及新聞部長易華仁與衛生部長顏金勇今天先後在國會發表了「賞罰分明」的兩份部長聲明。(曾慶祥製圖)
新加坡保健服務集團網絡遭入侵的完整獨立調查報告上周四(1月10日)出爐後,紅螞蟻隔天寫過一篇評論,說明報告暴露了哪些管理漏洞,並在文中提到民眾最希望看到一個賞罰分明不問層級的結果,而不是將前線幾個職員「推出午門」就完事。
新加坡保健服務集團綜合診療所。(路透社)
該報告顯示,這個影響到多達150萬名病人(包括李顯龍總理在內)的個人資料被盜的新保集團網絡襲擊事件,其實是內部管理不到位所致。而且是那種完全可以避免和提早預防的人為過失,簡直就是「敞開大門讓黑客隨意掠奪」。城門失火自然要付出代價,難免有人要「人頭落地」。
果不其然,通訊及新聞部長易華仁與衛生部長顏金勇今天先後在國會發表了「賞罰分明」的兩份部長聲明。
易華仁在部長聲明中指出,肇事的兩家機構——新保集團(SingHealth)和綜合保健信息系統公司(IHiS)都各自被罰最高款項,總罰金高達100萬新元。
通訊及新聞部長易華仁。(海峽時報)
新保集團和IHiS是什麼關係?外包關係。新保集團將網絡安全工作外包給IHiS全權管理,IHiS是衛生部控股屬下的機構,負責管理新加坡醫療領域的中央網絡安全系統。
綜合保健信息系統公司(IHiS)是衛生部控股屬下的機構。(聯合早報)
IHiS因為沒有採取足夠的安全措施來保障病人的個人資料被罰75萬元。新保集團因負責處理安全事故的人員對事故應對程序不熟悉、過度依賴IHiS等,被罰25萬元。這是新加坡個人資料保護委員會有史以來開出的最高罰金。
玩忽職守的三名IHiS職員不是被開除就是被降級。中層管理人員被調職罰錢,兩家機構的總裁和高層也受到財務處分。
由上至下,由機構到個人,罰得徹底,殺一儆百。
衛生部長顏金勇在部長聲明中指出,令他深感欣慰的是,在此事件中有三名來自IHiS資料管理團隊、電腦支援團隊和電腦安全管理團隊的員工足智多謀,主動挺身而出尋找事件根源。IHiS給這三人都發了表揚書。顏金勇也在國會上向在場的議員一再保證,兩家機構的其他員工今年的薪金和花紅並不會因為這一小撮人的過失而受到影響。
管理漏洞自然要拿「管理層」開刀
顏金勇在部長聲明中也透露,IHiS董事局昨天制定出一系列處分。IHiS昨天也發文告給各大媒體透露遭處分的職員的名字和職銜。
1)開除兩名IHiS前線員工
任職於IHiS的Citrix小組組長兼系統管理組助理主任林潤和,以及安全事故應對經理陳俊傑遭開除。原因:工作疏忽、不服從命令。
林潤和雖具備技術實力,但是他管理伺服器(servers)的態度和方法卻給整個系統帶來多餘且嚴重的風險。如果他在管理伺服器的過程中遵照必要步驟,有效管理,完全可以大大削弱黑客的攻擊。可是他並沒那麼做。
陳俊傑則一而再再而三地誤解「安全事故」的定義,也不清楚什麼時候必須向上級彙報安全事故。即便他的下屬屢次提醒他系統出現警報,他依舊處於被動事不關己,以致於錯失了無數次阻止或削弱黑客入侵的機會。他倆的行為直接造成電腦安全狀況出現嚴重漏洞,導致這起前所未有的事件發生。
2)中層管理人員被降職罰款
文告還指出,被降職的是集群信息安全官黃家和。調查顯示,黃家和不理解何謂「安全事故」,也沒有能力遵循IHiS的事故彙報機制,委員會考慮到他缺乏才能,不適合這個職位,因此將他調往別處。另外,那兩名被開除的職員的上司(中層主管)也被罰予「中等數額」的罰金。
3)高層管理人員遭財務處分
顏金勇指出,IHiS高層對此事件必須負起集體責任,他們也很清楚這個道理。
顏金勇說:
「去年12月,IHiS的總裁給我寫了封信,他在信中表達了對自己和同事無法阻止或更好地反擊黑客的入侵感到失望。他也為事件的發生道歉,並表示他與高層管理人員不會推卸集體責任。總裁告訴我,他會全面接受董事局的處分。」
IHiS董事局最後決定對總裁連水木和四名IHiS高層給予財務處分,數額非常「可觀」,遠遠高於中層主管的罰金。他們五人已經接受了處分。
IHiS總裁連水木。(聯合早報)
至於新保集團,獨立調查委員會並沒有發現任何員工玩忽職守,但由於新保集團身為病人資料管理方,卻沒有盡到應盡的責任,因此新保集團的高層主管也受到財務處分。
雖然部長和文告均沒有透露罰金的數額,但據《聯合晚報》報道,人力資源專家分析,作為公司高層,總裁的罰金肯定不低,才能達到殺一儆百的作用,估計將等於幾個月的薪金,約數十萬元新元。
新保集團總裁黃瑞蓮教授今天也發文告向病人道歉。
新保集團總裁黃瑞蓮教授去年11月出席了網襲聽證會供證。黃瑞蓮也是國防部長黃永宏的妻子。(聯合早報)
「我們真誠的對病人道歉,並接受個人資料保護委員會的決定。」
她強調,集團的首要任務是對病人負責,保護病人的私人資料也是集團的責任。集團目前正作出調整,增強網絡安全架構和改善管理方面的漏洞。
新保集團董事會主席佘林發也說:「我們接受責任,並對此事件向我們的病人道歉。集團高級領導團隊,包括集團總裁,已經自願地接受罰款處分。」
衛生部將試行「虛擬瀏覽器」並控制上網員工人數
顏金勇在國會上也宣布,衛生部將試行「虛擬瀏覽器」(Virtual Browser)來減低黑客入侵的風險。
他在介紹「虛擬瀏覽器」時這樣解釋:
「如果我們將下載一個網頁或一份文件想像成是接收一封信,那虛擬瀏覽器就是收信的凈化室。當信件進入凈化室時,信件內容將被『拍照』後發到客戶端,收信人在讀取資料時只是在看照片,不是真的接觸到那封信,因此那封信若攜帶惡意文檔或隱藏信息,都會全部被留在凈化室內。」
這樣的做法雖然不能完全消除黑客入侵的風險,卻能將入侵的介面減至最小範圍。如此一來就不會影響服務效率和病人的看護流程。如果試行成功,衛生部將在本地幾個保健集團全面使用虛擬瀏覽器。屆時,那些工作流程無須上網的員工的電腦將被取消上網功能。那些具備上網功能的電腦也將實施權限制和雙重密碼登錄程序,將入侵風險減至最低。
此外,顏金勇也放話說,在本地醫療領域的電腦系統入侵風險被減到最低、防範措施全部到位之前,衛生部將暫緩強制要求業者上載病人資料到全國電子健康記錄(National Electronic Health Record,簡稱NEHR)的規定。
獨立調查報告的最後一塊拼圖:黑客的身份
兩份部長聲明發表後,有很多議員紛紛舉手要求部長澄清他們的疑問。包括政府國會衛生委員會主席謝世儒在內的幾名議員都問出許多人很想知道的問題:黑客的身份究竟是誰?
新保集團網襲事件的黑客來自
從目前已公布的消息,我們知道黑客來自國外,屬於高級長期威脅(APT)黑客團體,技術雖高超卻沒有厲害到無所不能。若不是新保集團和IHiS的管理漏洞導致網絡失守,對方不會那麼容易得逞。
顏金勇婉轉地答覆了在場議員,提醒大家永遠都不能放鬆,應該將重點放在如何加強提升醫療領域的電腦系統的保安。黑客的技術越是先進,我國的防範措施就要越到位,才能「道高一尺魔高一丈」。
易華仁則答說:
「我們在查明黑客入侵後的第一時間(7月10日)就通知了網安局,7月20日就召開記者會通知國人,這麼做是為了證明政府的做法是透明的,我們沒有任何隱瞞,我們和所有新加坡人一樣,想找出事情的根本並解決問題。緊接著我們就展開獨立調查……我們後來也毫無保留地公開了委員會的調查結果和建議,唯一沒有出現在報告當中的信息,是關乎國家安全和病人的個人隱私的。」
易華仁接著強調,新加坡政府在網襲事件發生後立即採取了全方位的對應措施,也對肇事機構和個人給予懲罰處分,並對電腦安全系統進行亡羊補牢。
「我們不應該將政府的對應縮小到一個特定的點:為何沒有公開黑客的身份?我非常能理解議員們和他們各自選區的居民的好奇心。但我們必須在國家安全和公開信息之間作出取捨,哪個才是對我國最有利的做法?我說過了,我們知道黑客的身份也採取了必要的行動。」
聽完了部長聲明,紅螞蟻默默在心中祈禱:但願「道高一尺魔高一丈」的是我們,而不是那些黑客。
