郭永强教授说,一方面得考虑到公众会希望尽早得知消息,但同时也得考虑过早公布会否影响当局仍在进行的法证调查。另一考量是得确保网袭影响已完全受控制,否则对外公布只会导致集团无法很好地向公众交代事情始末,无法让公众安心。
为了不影响调查工作、得先确定已成功防止网络袭击者可再发动袭击,加上得收集更多资料,新加坡保健服务集团和相关政府单位因此在得知网袭事件的10天之后才对外公布遭网袭的消息。
新保集团副总裁(组织转型与信息学)郭永强教授昨天在新保集团网袭听证会供证时说,他与集团总裁黄瑞莲教授于今年7月10日下午3时57分通过电邮得知,综合保健信息系统公司(ihis)于4日侦查到有人未经授权,登录集团的临床信息管理系统资料库。ihis当时已在调查起因,并确认是否有资料外泄。
黄瑞莲相隔一个多小时、在5时22分回复电邮说事态严重,按程序应上报给卫生部,而新保集团当晚9时许向卫生部报告。
郭永强表示,最初几天因信息不全,各方都同意应在掌握明确信息后才对外公布。他举例,10日当天被通知可能有多达62万多份资料外泄,但无法确认是62万多份病历记录,或62万多人的记录,因为一名病患可能有超过一份病历记录;当时也尚未确定资料是否已被下载到其他地方等。
郭永强12日和13日与卫生部官员开会,到了14日与卫生部和通讯及新闻部官员开会时,因三大考量决定稍迟对外公布。
他说,一方面得考虑到公众会希望尽早得知消息,但同时也得考虑过早公布会否影响当局仍在进行的法证调查,包括得确定发动网袭者是否仍潜伏在新保集团系统网络里等。
事实证明,当局到了19日仍发现网络内存有袭击者的迹象,而为了彻底切断黑客埋置在系统内的入侵路径,新保集团20日凌晨实施网络隔离,之后就没有发现黑客的活动。
也是新加坡中央医院总裁的郭永强说,另一考量是得确保网袭影响已完全受控制,否则对外公布只会导致集团无法很好地向公众交代事情始末,无法让公众安心。当局也须收集更多资料才能争取到公众的信心,否则只会导致公众更担心。
郭永强说:“我们之后选定在20日对外公布,以确保有足够时间防止网袭者再发动攻击。”
尽管如此,新保集团早在一周之前,于13日就开始策划如何发布消息,包括通知病患。这些沟通管道包括发送短信、发信件、开放热线、设专属电邮,以及让公众通过手机应用和网站自行查核是否受影响。
集团除了确保病患得到个人化的通知,也密切观察和应对随之出现的假短信等。
单在7月20日至25日间,集团发出超过200万则短信给受影响病患和8万6700封信件给没有提供手机号码的病患,并接到1万3400通热线电话和3000多封电邮询问。
黄瑞莲昨天供证时则数度对新保集团同人表示感激。她说,集团短短时间内动员千余名医生、护士和综合医疗保健人员等,很多员工都在日常工作外,额外承担职责,协助集团完成当时与受影响病患沟通的计划。
她说:“我也想借此机会重申,新保集团非常认真看待病患资料的安全。这起事件令我们思考要如何更好地保障病患资料。我们致力于和卫生部及ihis合作进行改善,确保所有资料都受保障,也能很好地处理网安风险。”
本周五至下周四继续进行的听证会将邀国内外的网络安全专家供证,包括新加坡网络安全局局长许智贤。
新保全面加强员工网安意识刊第6页