我国血库数据网安疏漏有新发展,存有捐血者数据的服务器还曾经被其他人入侵,不是原先以为的只有一名网安专家获取数据。捐血者资料可能外泄,警方已介入调查。
卫生科学局是在本月15日透露,超过80万名捐血者的注册资料被受委的网络服务商secur solutions group(简称ssg)挂上有互联网连接的服务器。 该局是在接获一名美国网安专家的举报后,才切断数据库的互联网连接。 卫生科学局表示,网安专家承诺会把数据删除。
原先的调查初步显示,只有这名网安专家登入服务器。但ssg昨天发文告指出,过后的取证分析显示,从去年10月22日至本月13日期间,服务器被其他几个可疑的互联网协议(简称ip)登入。因此,ssg无法排除捐血者资料外泄的可能性。
ssg是在去年10月左右将捐血者的注册资料上载到服务器,这些资料包括姓名、身份证号码、性别、捐血次数、最近三次捐血的日期。部分捐血者的血型、身高和体重资料也被挂上网。卫生科学局曾于今年1月4日在ssg要求下提供额外数据,但这些数据没有上载到服务器。
ssg向受影响的捐血者致歉,并强调数据库资料不包括敏感的医疗信息或联络资料。它将继续调查这起事件,并配合警方和卫生科学局的调查。
卫生科学局昨天发文告说,已获知事件的最新进展,重申该局的中央血库系统没有连接到ssg的服务器,数据获得安全保管。
该局严正看待这起事件,ssg已违反合约要求。由于警方还在调查,该局将在调查完成后决定对ssg采取的行动。
卫生科学局和ssg双方的文告均未透露被发现的ip地址源自本地或海外,目前也不清楚确切受影响的人数。由于事件在调查阶段,卫生科学局受询时未透露其他详情。
根据ssg的文告,ssg事后聘用kpmg新加坡会计事务所的网络安全专家,展开取证分析并对其科技系统做全面检查。他们发现同一个服务器前年也曾遭网络袭击,但与这起事件无关联,也没有证据显示卫生科学局的数据外泄。
过去一年,我国接二连三发生网络安全疏漏事件。新保集团去年6月遭网袭,导致约150万名病人的个人资料被盗,是我国历来最大规模的网袭事件。今年1月,卫生部披露,有1万6600名爱之病带原者和有关联者的个人资料外泄。
英国伦敦智库战略网络空间与国际研究中心亚太区执行副总裁张润才受访时指出,稳固的网安系统与意识须打从一开始就建立好,不是等到事情发生了才为“建好的屋子装门”。
“政府机构应发出强烈的信号,不仅是将有疏失的服务商列入黑名单,暂停与它们的项目,也应让它们为疏失负责,并公开后续的行动与处罚。不过,政府机构也有责任去检讨它的程序,是否有妥善管理好服务商。监管网安的程序需要检讨并加强,这可由网络安全局领导。”
定期捐血者许伟仁(39岁)认为,捐血者从新闻报道才获知资料可能外泄,会想知道自己是否受影响。有关当局应及时通知他们事件的发展。尽管网安程序有改进的必要,但这不影响他捐血的习惯。“捐血救人和网安疏失是两回事,我们不能因为他人的疏失就停止捐血助人的行动。”
