在去年被揭发的我国有史以来最大规模网络袭击事件中,负责网络安全的技术人员缺乏意识、素养和相关资源,也没有采取及时适当的应对措施,是造成这次跨国袭击组织得逞的重要因素之一。
此外,数据被盗取和渗漏的新加坡保健服务集团网络安全硬件也存有不少漏洞和弱点,再加上袭击组织技术高超、行事老练,在超过10个月里利用这些漏洞发起攻击,最终造成近150万名病患的资料被盗,包括总理李显龙以及数名部长在内的16万人门诊配药记录。
独立调查委员会在今早公布的报告书中,以400多页的篇幅详细记录了去年听证会的调查细节,总结出五大结果,提出16项建议,其中有七项是应优先采纳的建议。
这些建议涉及建立起网络安全文化、加强系统保安、改善事故应对和修复能力,以及提倡跨国跨领域合作等。
委员会指出,这些建议不仅针对这次网袭的两个核心机构——新保集团和负责公共医疗机构资讯通信系统的综合保健信息系统公司(integrated health information systems,简称ihis),所有公共领域负责信息管理的机构都应该采纳。
主管网络安全事务的通讯及新闻部长易华仁及卫生部长颜金勇,预料下个星期将在国会发表声明,对政府在接受这份报告后采取哪些行动和措施作出回应,包括是否有职员受到处分。
在听证过程中揭露的一些机密内容,比如袭击者的身份、具体的操作模式和伎俩,还有公共医疗机构的网络安全架构和防御系统细节属于国家机密,是这份公开版本的报告书中没有包含的。
委员会提出的五大调查结果中,前两大都跟人为疏失有关,包括相关资讯科技职员缺乏意识和素养,一些关键人员也没有及时采取有效行动。
报告举例说,负责事故前线分析和取证的电脑应急反应小组(computer emergency response team)是去年3月才成立的三人小组,当中只有一人李仪仁接受过事故反应训练,另外两人没有正式受训。
后来,当ihis的保安事故应对经理陈俊杰从李仪仁那里得知有人试图搜寻病历后,并没有马上通报。根据之前报道,他在听证会上揭露:“我当时心想,就算举报了,我得到的是什么?只会有更多人追着我要最新消息。”
报告也指出,新保集团医疗集群信息安全官黄家和“不明白他掌握的信息有多重要,也没有采取步骤了解这些信息,事实上,他等于是把上报的责任推给了陈俊杰。”
委员会在报告书中引述负责引证的副总检察长郭民力高级律师说:“袭击者虽然鬼祟但并不是寂静无声的,网袭也是有迹可循。这些迹象没有获得应有的行动,要么是因为相关职员没有意识到袭击正在展开,要么是因为负责应对的职员无动于衷。他们如果采取了恰当的行动,袭击者在得逞之前就会被制止。”
被定性为“高端持续网络威胁”(advanced persistent threat)的跨国网袭组织相信是在2017年8月通过“钓鱼”的方式侵入新保集团的用户电脑,埋伏几个月后在前年底和去年中之间在网络中游弋。
ihis的管理员去年6月首次察觉到不对劲,袭击者在同月开始大量渗漏病患数据,直到7月4日才被制止。据悉,没有迹象显示国人被盗的身份资料流入黑市。
