第三起网安疏漏 80万捐血者个资挂上网逾两月

短短一年内,新加坡爆发第三宗个人资料泄露事故。卫生科学局(HSA)透露,超过80万名捐血者的姓名、身份证号码、性别和血性等个人资料,被挂上有互联网连接的服务器长达九个星期,面临资料疏漏风险。

卫生科学局网安疏漏事件,是新加坡公共医疗保健数据库不到一年内,发生的第三起事件。另外两起分别是新保集团于去年6月遭网袭,约150万名病人的个人资料被盗;第二起则落在今年1月,卫生部有1万6600名爱之病带原者和有关联者的个人资料外泄。

立即禁止所有访问

卫生科学局在上周五(15日)发出文告透露,在文告发出的两天之前,一名外国网安专家“白帽黑客”发现有关疏漏,并成功读取相关的数据,储存到网络服务商Secur Solutions Group(简称SSG)的服务器内。

他在隔天就向个人资料保护委员会(Personal Data Protection Commission,简称PDPC)举报,并承诺将有关的数据删除。而该委员会迅速将此事通知卫生科学局,因为当局负责处理新加坡的血库。

卫生科学局表示,他当时“立即与SSG合作禁止访问数据库”,另外也根据此次的网络安全疏漏报警。在当天早上接到SSG通知的22分钟后,早上9时35分卫生科学局管理层指示SSG禁止所有的数据库访问。

根据卫生科学局的说法,该数据库在当天早上10时已经完全受到保护,以防止任何未经授权的访问。

SSG发言人告诉《海峡时报》说,受影响服务器“在收到未经授权的访问通知后,立即得到保护”。“我们聘请了外部网络安全专业人士,并对我们的IT系统进行了全面审查。我们正与卫生科学局和其他部门密切合作,继续进行调查。”

根据《海峡时报》指出,卫生科学局拒透露有关外国网络安全专家。“该专家已和卫生科学局保证,未透露数据库内容。卫生科学局和专家取得联系,并且要求对方删除所得的所有信息。”

SSG违规测试惹祸

卫生科学局表示,SSG为卫生科学局服务,开发一个包含80万8201名捐血者登记资料的数据库,和管理血库的网络注册、预约和反馈系统。

储存在数据库中的信息包括了逾80万人的姓名、身份、性别、捐血次数、最后三次捐血日期、特殊情况、血性、身高和体重。有关数据库包含自1986年以来,曾在新加坡注册或捐血者的记录。惟管理当局保证“其中不包含其他敏感、医疗或联系资料”。

卫生科学局对数据库日志审查初步结果出来后说道,“没有任何未经授权的人访问过数据库”。

当局表示,卫生科学局已经将数据提供给SSG进行更新和测试了。涉及网安疏漏事件的数据库,分别来自卫生科学局在西城大厦和兀兰的血库。

有关的数据是由卫生科学局提供给SSG,因为有些捐血者表示他们的数据已经过时,所以就被用作测试用途。

“SSG将有关的数据自2019年1月4日开始,放置在面向互联网的服务器中,并且没有提供足够的安全措施以防止未经授权的访问。”

代言人表示,“在没有知会卫生科学局和取得同意后,以及违反了与卫生科学局的合同义务,我们已经这样做了”。

真诚道歉加强监控

卫生科学局首席执行官Mimi Chong为此次的安全漏洞真诚项捐血者道歉,因为当局的供应商的失误所致。“我们想向捐血者保证,卫生科学局的血库系统不会再受影响了。”

他也表示,卫生科学局还会加强对SSG的检查和监控,确保捐血者的信息安全和获正当使用。

当局还敦促可能受到网安疏漏事件影响的捐血者,通过热线电话62200183,与当局联系。

专家表示,政府必须全面加强医疗行业的严格监管、重新审查各机构的数据管理,并且灌输网络安全意识和文化给相关部门的全体职员。