网安局长曾赞扬“称职” 调查总结打脸:职员缺乏素养 “人为疏失本可避免”

新闻评析:独立调查委员会针对去年发生新保集团遭骇事件,呈交400多页的报告,调查结果将此事归咎于人为疏失,指相关资讯科技职员缺乏意识和素养,一些关键人员没有采取有效行动。

根据《联合早报》报导,委员会在报告书中引述负责印证的副总检察长郭民力高级律师:

“袭击者鬼祟但不是寂静无声的,网袭还是有迹可循。针对这些迹象,应该采取行动却没有这么做,要么是因为相关职员没意识到袭击正展开,要么是负责职员无动于衷。他们如果采取了适当,袭击者在得逞前就能被制止。”

报告指“虽然我们的网络防御并非坚不可摧,但也不代表我们无法避免被袭击者盗取和渗透数据。”

报告列出五大调查结果:

1)综合保健信息系统公司(IHiS)职员没恰当网袭意识、素养和资源,无法领会他们察觉到的征兆会引起严重保安后果,以及有效应对攻击。

2)一些负责应对IT保安事故的IHiS关键职员,没采取适当、有效或及时行动,造成数据在网袭中被窃或渗透。

3)新保集团的网络和临床信息管理系统,存在数个在网袭前就能补救的漏洞、弱点和错误设置,致使袭击者能成功获取数据。

4)袭击者技术高超、老练,符合“高端持续网络威胁”网袭组织特点。

5)我国网络防御并非坚不可摧,也难以避免高端持续网络威胁袭击,但可避免让袭击者成功获取和渗透数据。

卫生部在去年揭露本地最大的公共医疗机构新保集团遭受历来最大规模网袭,约150万名病人的个人资料被盗,还有约16万人的门诊配药记录被泄露,当中包括总理李显龙与数名部长的记录。

独立调查委员会由前首席地方法官马格纳斯担任主席。

“谁是袭击者”未公开

然而,在听证过程揭露的一些机密内容,特别是袭击者的身份、具体操作模和伎俩,以及医疗机构网安防御属国家机密,则没有对外公开。报告被列入“最高机密”级别。

国会本月14日(星期一)下午复会时,易华仁与卫生部长颜金勇据知将针对调查报告,分别发表部长声明做出回应。

骇客相信是在2017年8月,就通过“钓鱼”形式入侵新保集团用户电脑。潜伏数月并在网络中游戈。IHiS管理员在去年六月,首次察觉到不对劲,袭击者大量渗透病患数据,直到7月4日才被制止。

报告提及,负责事故前线分析和取证的电脑应急小组,去年三月才成立,三人中只有一人接受事故反应训练。

而后,IHiS的保安事故应对经理陈俊杰,在得知有人试图搜寻病历后,却没有马上通报,因为他认为让高层知道反而“让他的团队承受额外压力。”

报告也提到新保集团医疗集群信息安全官黄家和“不明白他掌握的信息多重要,也没深入了解,等同把上报的责任推给陈俊杰。”

IHiS总裁暨卫生部首席资讯官连水木认为,新保网袭曝露了该公司需要加强的关键领域,“将仔细研究报告建议,并致力改善,加强公共医疗领域的网安。”

在11月1日的听证会,他指出负责新保集团网安管理的团队,自6月12日就展开调查, 到了26日知道一系列可疑活动是蓄意的,就可定为安保事故;即使不能确定,也应通知该公司网安管理部门主管和新保集团首席信息官。

连水木赞许前线员工“机警反应”

但他强调“现有员工并非技术不足”,他提到,安保团队平日的演习一般是依据已确定发生网安事故的情况进行,或许就因如此在面对有待确定事故性质的情况就不知如何反应。

他说:“每个人应该加强培训,根据不同情况决定究竟应该是上报高层或是通知新加坡网络安全局,总之要有人知道,这是急需加强的部分。”

他也赞许前线员工机警反映,成功制止黑客再次入侵系统。

当时,在回答独立调查委员会委员李福燊的提问时,连水木透露IHiS公司,2017年全年聘请近500人,不存在人手不够的问题,更重要的是能否觅得相关技术人才。

许智贤曾赞扬IHiS“称职、迅速应对”

不过,在这里我们让大家回味,新加坡网络安全局局长许智贤,在去年11月15日在新保集团网袭事件的听证会上,辩称“网安属高层次的商业风险,而不能当成技术问题。”

他认为IHiS公司过去两三年已经改善了医疗系统的网络安全状态,网袭事件发生后也能提供完整的网络活动记录以便进行调查,处理事件的IHiS职员“称职、反应能力强,也愿意合作”。

他也赞赏IHiS能在事发后“主动、迅速地实施额外的网安措施”。

然而, 最终的调查结果,却认为是负责应对网安的职员疏失,而如果职员能采取有效行动、及时上报,网袭本可避免。