短短一年内,新加坡爆发第三宗个人资料泄露事故。卫生科学局(HSA)透露,超过80万名捐血者的姓名、身份证号码、性别和血性等个人资料,被挂上有互联网连接的服务器长达九个星期,面临资料疏漏风险。

卫生科学局网安疏漏事件,是新加坡公共医疗保健数据库不到一年内,发生的第三起事件。另外两起分别是新保集团于去年6月遭网袭,约150万名病人的个人资料被盗;第二起则落在今年1月,卫生部有1万6600名爱之病带原者和有关联者的个人资料外泄。

立即禁止所有访问

卫生科学局在上周五(15日)发出文告透露,在文告发出的两天之前,一名外国网安专家“白帽黑客”发现有关疏漏,并成功读取相关的数据,储存到网络服务商Secur Solutions Group(简称SSG)的服务器内。

他在隔天就向个人资料保护委员会(Personal Data Protection Commission,简称PDPC)举报,并承诺将有关的数据删除。而该委员会迅速将此事通知卫生科学局,因为当局负责处理新加坡的血库。

卫生科学局表示,他当时“立即与SSG合作禁止访问数据库”,另外也根据此次的网络安全疏漏报警。在当天早上接到SSG通知的22分钟后,早上9时35分卫生科学局管理层指示SSG禁止所有的数据库访问。

根据卫生科学局的说法,该数据库在当天早上10时已经完全受到保护,以防止任何未经授权的访问。

SSG发言人告诉《海峡时报》说,受影响服务器“在收到未经授权的访问通知后,立即得到保护”。“我们聘请了外部网络安全专业人士,并对我们的IT系统进行了全面审查。我们正与卫生科学局和其他部门密切合作,继续进行调查。”

根据《海峡时报》指出,卫生科学局拒透露有关外国网络安全专家。“该专家已和卫生科学局保证,未透露数据库内容。卫生科学局和专家取得联系,并且要求对方删除所得的所有信息。”

SSG违规测试惹祸

卫生科学局表示,SSG为卫生科学局服务,开发一个包含80万8201名捐血者登记资料的数据库,和管理血库的网络注册、预约和反馈系统。

储存在数据库中的信息包括了逾80万人的姓名、身份、性别、捐血次数、最后三次捐血日期、特殊情况、血性、身高和体重。有关数据库包含自1986年以来,曾在新加坡注册或捐血者的记录。惟管理当局保证“其中不包含其他敏感、医疗或联系资料”。

卫生科学局对数据库日志审查初步结果出来后说道,“没有任何未经授权的人访问过数据库”。

当局表示,卫生科学局已经将数据提供给SSG进行更新和测试了。涉及网安疏漏事件的数据库,分别来自卫生科学局在西城大厦和兀兰的血库。

有关的数据是由卫生科学局提供给SSG,因为有些捐血者表示他们的数据已经过时,所以就被用作测试用途。

“SSG将有关的数据自2019年1月4日开始,放置在面向互联网的服务器中,并且没有提供足够的安全措施以防止未经授权的访问。”

代言人表示,“在没有知会卫生科学局和取得同意后,以及违反了与卫生科学局的合同义务,我们已经这样做了”。

真诚道歉加强监控

卫生科学局首席执行官Mimi Chong为此次的安全漏洞真诚项捐血者道歉,因为当局的供应商的失误所致。“我们想向捐血者保证,卫生科学局的血库系统不会再受影响了。”

他也表示,卫生科学局还会加强对SSG的检查和监控,确保捐血者的信息安全和获正当使用。

当局还敦促可能受到网安疏漏事件影响的捐血者,通过热线电话62200183,与当局联系。

专家表示,政府必须全面加强医疗行业的严格监管、重新审查各机构的数据管理,并且灌输网络安全意识和文化给相关部门的全体职员。

You May Also Like

RP repeats call for abolition of ISA and NPPA

~by: Kenneth Jeyaretnam/Secretary-General of Reform Party~ The Reform Party welcomes the Prime…

Live reporting of SDP's last rally on 5 May for Bukit Batok By-Election

Singapore Democratic Party held its last rally at the open field near…

17岁女生发明鉴定假新闻工具 苦恼本土假新闻素材不足

一名就读莱佛士女子中学的17岁女学生刘郝慧(译音),发明了一个可鉴定网络新闻真伪的数据工具,希望藉此协助解决假新闻泛滥问题。不过她苦恼于用来培训工具的本土假新闻素材,寥寥无几。 她在近日接受《亚洲新闻台》的采访。她表示,希望她所发明的工具,能够协助解决目前面临的假新闻问题。 女学生表现积极 对知识求知若渴 郝慧在“年轻的国防科学家计划”(YDSP)研讨会指出,她针对近日受各界关注的假新闻议题做了许多调查,发现我国目前并未有任何合适的解决方法应对该议题,而较为适切方法,比较适用于美国。她表示,他想尝试透过数据分析的方式,来保护国家安全。 郝慧在接受了国防科技局(DTSA)和国防科技研究院(DSO National Laboratories)为青少年提供的“年轻的国防科学家计划(YDSP)”训练课程。其中一项主题为近日来备受关注的假新闻议题,对此产生兴趣。 她在十月份完成学校考试后,立即报名参加机器学习基础班的线上课程,透过线上课程学习了不同技术以助于她制造工具。她仅仅使用两个星期完成了40小时的课程。 郝慧的指导老师莱恩覃(Ryan Tarn)指出,郝慧在课堂中表现积极,甚至在课堂开始前就先向老师取得教材,以作课堂准备。 女学生:假新闻素材不如想象中多…

DJ Jade Rasif experiences “major COVID-19 scare” due to questionable quarantine orders received from authorities

Former Singaporean DJ and model Jade Rasif took to Instagram on Sunday…