新保集团昨天发声明再度致歉。集团董事会主席佘林发透露,包括集团总裁黄瑞莲教授的数名高层自愿接受缴付罚金的处分。IHiS也发声明,决心要改善整个组织,并与其他医疗护理人员一同提升网络防卫能力,保障病人的福利。
因内部疏失导致约150万名病人的个人资料被盗,新加坡保健服务集团和综合保健信息系统公司被个人资料保护委员会重罚,须在30天内缴付共100万元罚款。
新保集团总裁黄瑞莲教授等集团高层则自愿接受缴付罚金的内部处分。
个人资料保护委员会昨早(1月15日)宣布,负责公共医疗机构资讯通信系统的综合保健信息系统公司(简称IHiS)因没有采取足够的安全措施保障个人资料,被罚75万元。这是委员会成立以来开出的最高罚金。之前,卡拉OK连锁店K Box因在2014年泄露31万7000名会员个人资料而被罚5万元。
另外,新保集团作为病人资料库系统的拥有者,负责处理安全事故的职员却对事故应对程序不熟悉、过度依赖IHiS,以及不了解又没进一步去了解IHiS在网络袭击发生后提供的信息的重要性,被罚25万元。
新保集团去年6月遭网袭,约150万名病人的个人资料被盗,包括李显龙总理和数名部长在内约16万人的门诊配药记录也泄露。
委员会开出至今最高罚金
新保集团陈情时说,它已制定安全措施,足以监管IHiS,但无法控制人为疏失。对此委员会强调,即使把一些工作外包给供应商,掌握这些数据的一方,最终仍须为所收集的客户个人资料负责。
委员会向IHiS和新保集团开出至今最高罚金,是考虑到资料的敏感和机密性质。委员会总监陈杰豪指出,虽然遭盗的是近150万病人资料,但遭入侵的数据库有超过501万病人的资料,IHiS和新保集团的数据安全缺失更显严重。
不过,委员会在制定罚金时也考虑到这两个机构在调查过程中给予配合,并立即采取纠正措施。
委员会也意识到IHiS和新保集团遭遇技巧熟练、操作复杂的网袭者。这个“高端持续网络威胁”网袭组织使用数个先进、特制且鬼祟的手段,展开10余月的袭击。
新保集团昨天发声明再度致歉。集团董事会主席佘林发透露,包括集团总裁黄瑞莲教授的数名高层自愿接受缴付罚金的处分。
黄瑞莲除了致歉并接受委员会的裁决,也再次强调集团已采取措施加强网络安全监管框架,并改善对关键系统的管理监督等。
IHiS也发声明列举它加速落实的一系列网安措施。声明引述IHiS总裁连水木的话说,IHiS决心要改善整个组织,并与其他医疗护理人员一同提升网络防卫能力,保障病人的福利。
对于新保集团高层自愿被罚,亚鹰人力资源公司总裁叶慧莲认为这个做法值得赞扬,因为这显示高层担起责任,也有助避免内部再发生类似事件。她也认为,与其高层引咎辞职,这可能是折中的解决方案。
主管网络安全事务的通讯及新闻部长易华仁和卫生部长颜金勇昨天也在国会发表部长声明,列举对政府系统和公共医疗机构系统采取的改善措施。
易华仁强调,这不是我国首次也绝不会是最后一次被针对性攻击,而网络安全没有一个永久或绝对的解决方案,智慧国计划也不能因这类事件而脱轨。
颜金勇在答复议员提问时则指出,无论制定什么系统都有遇袭的风险。“最大的风险是误以为有了某些系统和措施后就很安全。我们须谨记‘道高一尺,魔高一丈’,必须时刻保持警惕,并不断提升自己。”
国会已休会。
赞
