卫生科学局前天透露,超过80万名捐血者的个人资料被挂上有互联网连接的服务器长达九周。这是我国不到一年内发生的第三起网络安全疏漏事件。网安专家指出,三起事件都涉及医疗领域,说明这个行业极需改善网络安全程序和系统,尤其是加强对大型个人数据库的保护力度。
我国的医疗卫生领域接连出现网络安全疏漏,受访网安专家说,这个行业庞大而多元,增加了数据保护工作的挑战性。专家表示,政府要痛定思痛,全面加强对医疗行业的严格监管,检讨各机构的数据管理程序,以及向全体职员灌输网络安全意识和文化。
卫生科学局前天透露,超过80万名捐血者的姓名、身份证号码、性别和血型等资料被挂上有互联网连接的服务器长达九个星期,一名外国网安专家上周发现了这个漏洞,并成功读取相关数据。他过后向个人资料保护委员会(personal data protection commission,简称pdpc)举报,并承诺会将数据删除。
这是我国不到一年内披露的第三起网络安全疏漏事件。新保集团去年6月遭网袭,约150万名病人的个人资料被盗,是我国历来最大规模的网袭事件;今年1月,卫生部则披露,有1万6600名爱之病带原者和有关联者的个人资料外泄,并且还是官员涉嫌恶意泄漏资料。
网络安全意识联盟成员林福存接受《联合早报》访问时说,几起网安疏漏事件的性质都不一样,是“不幸的巧合”——新保集团网袭是一起恶意网络袭击和资料盗窃,爱之病资料外泄是有人滥用职权,而血库数据事件则是保安疏漏,未必是袭击。
不过他指出,三起事件都涉及医疗领域,说明这个行业极需改善网络安全程序和系统,尤其是加强对大型个人数据库的保护力度。
林福存警告,公众的身份证号码、出生日期等个人资料可能被不法之徒用来冒充他人身份,进行不法勾当。
他说,政府目前已要求把重要数据同互联网隔离开来,许多机构也都安装了双层防火墙,但这显然还不够。“医疗行业庞大而多元,要保护这么大的it基础设施、服务和数据,是极具挑战性的。再说,对医疗行业的监管或许也没有像金融服务行业那么严格。”
他提议,先对所有部门和机构进行一轮全面检讨,以查明须改善的地方。
“政府可以考虑使用国际通用的网络安全管理标准iso-27001,或美国政府颁布的《健康保险隐私及责任法案》标准。”
英国伦敦智库“战略网络空间与国际研究中心”亚太区执行副总裁张润才则直言,去年的新保集团网袭事件理应给所有政府部门敲响警钟,提醒它们要加强网络安全设置,并对现有网安系统进行一轮检查。怎料,网安疏漏却还是接二连三地发生,这或显示我国医疗卫生领域人员的网安意识严重不足,网络安全和资料保护根本不是这些机构的核心理念。
他警告,新加坡的智慧国愿景和安全网络环境的形象,可能因这几起网安疏漏而遭受沉重打击。
“希望政府能领导调查和做出回应,不只是要修复系统性疏失问题,也重建公众和跨国企业对我国的信心。”
涉网安疏漏事件网络服务商 也标得另两政府部门合约
涉及卫生科学局网安疏漏事件的网络服务商secur solutions group(简称ssg),也分别在2015年和去年成功标得内政部和人力部的合约。
根据政府数据网站data.gov.sg资料,ssg于1997年成立,公司在2015年标得内政部的驾照生产合约,合同价值近500万元;公司也刚在去年3月标得人力部的合同,为该部门设计、测试和管理个人化就业准证系统,合同价值486万元。
ssg为卫生科学局开发和管理血库的网络注册、预约和反馈系统,合同价值则是14万2775元。ssg就是在为这个网络系统进行更新和测试时,错将捐血者数据上载到有网络连接的服务器,被一名“白帽黑客”成功读取。
战略网络空间与国际研究中心亚太区执行副总裁张润才说,越来越多政府部门把it工作外包给专业服务商,他提醒政府机构在颁布合同前谨慎评估服务商的业绩记录和经验。
美国gartner咨询公司首席分析师德什潘德(sid deshpande)也说,各机构要确保获选的服务商有绝对的能力去处理和保护好政府数据。
网络安全意识联盟成员林福存则表示,政府把部分it工作外包给专业公司,是合理的做法,但他建议,工作外包出去后,相关部门还要对服务商及其负责的网络系统进行定期检查,确保系统的安全。
张润才说,如果服务商被发现有疏失,政府应该发出强烈信号,把公司及其董事列入黑名单,以此警示其他服务商不要对网络安全掉以轻心。