新保集团网络遭入侵暴露管理漏洞 谁该被“推出午门”?

更新:
2019年01月11日 15:17
SingHealth Polyclinics

必须立下军令状。

半年前轰动海内外影响近150万名病患的新加坡保健服务集团网络遭攻击事件,由退休法官马格纳斯牵头的独立调查委员会昨天刚发布400多页的详细调查报告书,总结出五大发现,以及提出16项建议。

这宗新加坡有史以来最大规模的网络攻击事件,不仅牵连广泛,连李显龙总理在内的多名政要的姓名、地址、身份证号码等资料也被盗,其中近16万人连门诊配药记录都被“偷窥”,李显龙总理的资料更是被特别针对以及反复查看。

SingHealth (Reuters).jpg
新加坡保健服务集团综合诊疗所。(路透社)

事件发生之初,不仅红蚂蚁连续多篇贴文从各个角度探讨,海内外舆论也大表不解,不解在于虽然新加坡过去一两年已经让很多人看破手脚,吴作栋时代就高喊的“智慧国”到今天还是很不够智慧,必须重新喊叫一番,但是万万想不到一家国家级主要医疗机构的资料系统竟然如此不堪一击,被小偷如入无人之境,长时间蹲守,大规模偷窥,而浑然不觉!

在这场一共传召了37人供证、长达22天的听证会中,委员会得出五大发现,重点是其中果然如外界所预料的,涉及人为疏失的因素。

其中两个发现都涉及前线网安人员警觉意识的失能;此外,新保集团本身网络系统极其脆弱;而攻击者极其高明,显示有国家支持的水平,也擅长组织谋划;最后,新加坡网安程度面对这些国际高端持续的网络威胁时,终究难以抵挡。

Hacker.jpg
趁虚而入的黑客。(互联网)

根据所揭露的少许现象已经令人诧异万分,例如一个电脑应急反应小组是去年3月才成立的,只有三个人,而三人里面只有一个真正接受过事故反应的训练。所以当这个人向上级报告说发现有人试图搜索病历资料时,负责保安应对的经理完全无法意识问题多严重,只是想着如果往上通报,只会让自己成为被追问最新情况的对象,换句话说——会给他自己惹来一身蚂蚁!

这种安全意识的缺失竟然发生在负责掌控资讯科技的人员身上,而一些关键领域的中层管理人员竟然感觉不到危机,没有在第一时间采取更进一步的行动。设想如果这些是镇守国门前线的将士,还得了吗?!

根据媒体报道,听证会上被揭露的许多防御系统细节和攻击者身份、来源和操作方式等等,被列为国家机密,不写在报告书中。然而仅仅是能够公开的部分,已经让人清楚看见重大的部门对于网络安全的漫不经心,其高管显然对网络时代还感觉有点陌生。

20190111-SingHealth-SGH.jpg
新加坡中央医院也在新保集团旗下。(海峡时报)

问题是,医疗机构是面对社会大众的公共部门。今时今日,全国人民的资料都在每天与公共部门的交流中被收集、储存。如果保管的程序缺乏最高等级的安全和隐私,由最强的队伍看守,那来自世界各地数不清看不见的手,都可以轻易伸进伸出,随便乱抓,那是多可怕的事,等于将全民扒光衣服赤裸站在全世界黑客的面前。

你大可以说类似事件没有造成民众实质的损失,但什么才算损失?文明世界有“隐私”这回事你懂吧!隐私曝光于黑客眼底下,那是极其恶劣的潜在损失,而且是不知道何年何月会爆发的危害呀。

说严重点,这是政府和公共机构不可饶恕的罪责。官方如何确保这样大规模的事不再发生,必须立下军令状。

通讯及新闻部长易华仁与卫生部长颜金勇下星期会在国会发表声明,预料会揭露更多细节,除了指出政府会采取什么措施,也要表明有没有人员遭到惩处。

而民众最希望国会议员追究的,是看到一个赏罚分明不问层级的结果,而不是把前线几个职员“推出午门”就算交代了事的老套路,毕竟这几乎是丑闻的国家级缺失,一定涉及决策失误的吧,别欺负街坊市民不懂虚拟世界呀。

想分享你的文章?

请电邮:antseditorial@redants.sg