新加坡醫(yī)療保健數(shù)據(jù)泄露的關(guān)鍵要點沒有任何系統(tǒng)是絕對可靠的，網(wǎng)絡(luò)安全漏洞是不可避免的，但新加坡需要做得更好，以降低風(fēng)險并履行其保護公民數(shù)據(jù)的承諾。本周，再次提醒新加坡，無論我們多么高度關(guān)注網(wǎng)絡(luò)安全的重要性，以及我們?nèi)绾伪仨毟幼⒅乇Ｗo我們的系統(tǒng)，我們看似高度集中的高度安全的基礎(chǔ)設(shè)施將被破壞。這不是一個問題，而是一個什么時候的問題。我們已經(jīng)聽說安全專家經(jīng)常聽到警報，說明為什么組織需要準(zhǔn)備他們的網(wǎng)絡(luò)，不僅要抵御攻擊，還要能夠迅速從違規(guī)行為中恢復(fù)過來。

新加坡遭受“最嚴(yán)重”的數(shù)據(jù)泄露，影響包括PM在內(nèi)的150萬醫(yī)療保健患者

政府將攻擊描述為“刻意的，有針對性的，精心策劃的”并確保沒有醫(yī)療數(shù)據(jù)被篡改，但安全供應(yīng)商警告受損數(shù)據(jù)可能最終在黑暗網(wǎng)絡(luò)上出售。

閱讀更多

所以這不僅僅是一個什么時候的問題。這也是我們的系統(tǒng)滲透時我們?nèi)绾我约叭绾位貞?yīng)的問題。

本周，150萬在新加坡發(fā)現(xiàn)他們的醫(yī)療服務(wù)提供者發(fā)現(xiàn)并對嚴(yán)重的網(wǎng)絡(luò)攻擊做出了反應(yīng)。

該國最大的醫(yī)療機構(gòu)集團運營商SingHealth透露，150萬名患者的非醫(yī)療個人數(shù)據(jù)已被“訪問和復(fù)制”，包括其國家身份證號碼，地址和出生日期。此外，160,000名患者的門診醫(yī)療數(shù)據(jù)受到了損害。

據(jù)當(dāng)局稱，沒有其他患者記錄如診斷，檢測結(jié)果或醫(yī)生筆記被破壞和篡改，并且沒有證據(jù)表明其他當(dāng)?shù)毓册t(yī)療IT系統(tǒng)存在類似的違規(guī)行為。

一周后檢測不能來

我個人覺得麻煩的事實是，在2018年7月4日由綜合健康信息系統(tǒng)(IHiS)檢測到“異?；顒?rdquo;的第一個跡象之前數(shù)據(jù)被破壞需要一周的時間，該系統(tǒng)負(fù)責(zé)運行新加坡的公共醫(yī)療機構(gòu)的IT系統(tǒng)。

后來證實，數(shù)據(jù)已經(jīng)從6月27日“開始” - 在IHiS收到網(wǎng)絡(luò)中的異?；顒又暗恼恢?。該機構(gòu)表示，在7月4日發(fā)現(xiàn)后，它能夠“立即”停止非法活動。

這也意味著黑客能夠走開 - 特別是“訪問和復(fù)制” - 包含150萬患者的數(shù)據(jù)包，以及另外160,000的門診醫(yī)療數(shù)據(jù)，未被發(fā)現(xiàn)一周。

有些人可能會贊揚相對較短的時間框架，當(dāng)然，如果你把它與過去的研究結(jié)果進行比較，這些研究顯示大多數(shù)組織花了六個月的時間來發(fā)現(xiàn)違規(guī)行為。

然而，對于一個已經(jīng)成為最先進的“智能國家”之一以及新技術(shù)和數(shù)字化轉(zhuǎn)型的早期采用者而言，一周對于一個國家來說根本不夠好。

醫(yī)療保健不是大多數(shù)組織。這一次，黑客只帶走了個人數(shù)據(jù)。想想網(wǎng)絡(luò)恐怖主義者可以做些什么，考慮到一周的奢侈，如果他們成功地滲透和關(guān)閉了重要的醫(yī)療保健系統(tǒng)。

隨著企業(yè)的蠢事，新加坡必須更加關(guān)注數(shù)據(jù)抱負(fù)

新加坡政府一直在開放用戶數(shù)據(jù)訪問以簡化信息交換和商業(yè)交易，但是由于主要組織繼續(xù)在安全問題上滑倒，因此應(yīng)該謹(jǐn)慎行事。

閱讀更多

當(dāng)然，更好的檢測工具，特別是與人工智能和機器學(xué)習(xí)相結(jié)合，能夠識別出每日不同程度的數(shù)據(jù)訪問和重復(fù)，并在一周之內(nèi)發(fā)出警報?

正如一些安全專家所強調(diào)的那樣，這些功能將變得更加重要，醫(yī)療保健環(huán)境高度異構(gòu)，各種設(shè)備和系統(tǒng)已經(jīng)到位，并且不一定以統(tǒng)一的網(wǎng)絡(luò)安全有效性運行。

從本質(zhì)上講，它是物聯(lián)網(wǎng)雷區(qū)和網(wǎng)絡(luò)管理員的噩夢，除非他們擁有適當(dāng)?shù)淖詣踊蜋z測工具來幫助他們降低潛在風(fēng)險。

用戶沒有充分授權(quán)進行良好的安全衛(wèi)生

新加坡政府還經(jīng)常強調(diào)公民在實施良好的網(wǎng)絡(luò)衛(wèi)生和學(xué)習(xí)如何保護自己的數(shù)據(jù)方面所發(fā)揮的不可或缺的作用。

然而，在提高消費者權(quán)力的過程中，提高公眾意識幾乎沒有意義。

通常，而且最近看起來更頻繁，當(dāng)我與我想要交易或參與的企業(yè)互動時，我感覺自己就像一個無助的人質(zhì)。例如，我的銀行認(rèn)為這是“為了我的方便”，當(dāng)他們繼續(xù)記錄我的聲音并激活語音生物識別作為身份驗證時，沒有先征得我的同意。雖然其條款和條件聲明概述了諸如銀行的有限責(zé)任和管理電子服務(wù)的全額賠償?shù)雀鞣N要點，以及客戶在語音生物識別中的“自動”注冊，但它無法解釋如何保護客戶數(shù)據(jù)(如聲紋)。

如今，某些會議的媒體注冊還要求與第三方共享數(shù)據(jù)的強制性同意，并且參加主題演講的其他個人信息顯然不明確。

數(shù)據(jù)是王道，我明白了，而且我并不完全反對從客戶那里收集數(shù)據(jù)的企業(yè)，這樣他們就可以提供更多量身定制的用戶體驗，或者換取免費服務(wù)和獎勵。但是，與此同時，消費者也有權(quán)知道這些企業(yè)如何存儲和保護數(shù)據(jù)，一線服務(wù)人員應(yīng)該掌握解釋這些細(xì)節(jié)的知識，而不是茫然地回應(yīng)。

最重要的是，應(yīng)該總是選擇退出，即使這意味著客戶對某些服務(wù)的訪問可能會受到限制。

隨著消費者數(shù)據(jù)的增值，新加坡工業(yè)需要更強的行為準(zhǔn)則

隨著企業(yè)獲取有關(guān)客戶的更多信息，消費者需要更多地了解此類實踐，行業(yè)準(zhǔn)則和行為準(zhǔn)則必須發(fā)展以確保負(fù)責(zé)任的數(shù)據(jù)使用。

閱讀更多

如果企業(yè)越來越多地將他們從消費者那里獲取的數(shù)據(jù)和數(shù)據(jù)走多遠，那么也許需要審查管理此類訪問的法規(guī)和法律。

作為消費者，缺乏授權(quán)也是我政府決定開放更多數(shù)據(jù)訪問權(quán)限或簡化數(shù)據(jù)共享時我不寒而栗的主要原因。這里的意圖是改善公民服務(wù)的良好和主要目標(biāo)，但當(dāng)組織 - 包括醫(yī)療服務(wù)提供者 - 顯然仍在努力應(yīng)對安全威脅時，政府可能需要退后一步，更加密切地評估其他需要的東西。這樣做是為了更好地保護其公民。

也許企業(yè)應(yīng)該通過安全檢查表 - 確保他們擁有健全的系統(tǒng)和實踐 - 在他們獲得數(shù)據(jù)訪問權(quán)限之前。也許他們應(yīng)該定期接受審計，以確保他們保持合規(guī)，并被迫提供選擇退出選項，以換取有限的服務(wù)。

此外，這是我的一個小小的煩惱，當(dāng)數(shù)據(jù)泄露或違規(guī)涉及政府實體時，消費者沒有明確的追索權(quán)，因為公共部門不包括在新加坡的個人數(shù)據(jù)保護法案(PDPA)中。

有趣的是，SingHealth公布了其數(shù)據(jù)保護政策，該政策指出醫(yī)療保健集團的機構(gòu)受PDPA管轄，以及“有關(guān)醫(yī)療保健相關(guān)方面的具體法律或法規(guī)”。但是，根據(jù)該法案第4節(jié)第2節(jié)，規(guī)定組織可以在未經(jīng)事先同意的情況下披露有關(guān)個人的個人數(shù)據(jù)，因為它涉及向公共機構(gòu)披露的持牌醫(yī)療機構(gòu)或規(guī)定的醫(yī)療機構(gòu)的患者“為了制定政策或者評論“。SingHealth是該法案下的“規(guī)定的醫(yī)療保健機構(gòu)”。

SingHealth還指出，“如果PDPA與現(xiàn)有的部門法律法規(guī)在收集，使用或披露個人數(shù)據(jù)方面存在不一致之處，則應(yīng)以其他書面法律的規(guī)定為準(zhǔn)”。在其數(shù)據(jù)政策中，醫(yī)療保健組織補充說，它不對由于未經(jīng)授權(quán)使用患者用戶名和密碼的安全漏洞造成的損害承擔(dān)責(zé)任。

它進一步指出：“每個SingHealth機構(gòu)將采取合理的措施，通過合理的安全措施來保護我們擁有或控制的個人數(shù)據(jù)，以防止未經(jīng)授權(quán)的訪問，收集，使用，披露，復(fù)制，修改，處置或類似風(fēng)險。但是，我們不能完全保證我們可能從您或您身邊收集的任何個人數(shù)據(jù)的安全性 - 例如，沒有任何有害代碼將通過病毒，錯誤，特洛伊木馬，間諜軟件或廣告軟件進入我們的網(wǎng)站。

這一涉及另一個政府機構(gòu)的最新違規(guī)行為再次強調(diào)，公共部門需要根據(jù)與私營企業(yè)相同的數(shù)據(jù)保護法來考慮，或者至少需要更加明確政府自己的數(shù)據(jù)規(guī)則和政策。

不過，新加坡政府正確地強調(diào)，國家不能倒退，讓網(wǎng)絡(luò)攻擊的恐懼破壞其聰明的國家野心。正如李顯龍總理所說：“我們的目標(biāo)必須是防止這些攻擊中的每一次攻擊成功。如果發(fā)現(xiàn)違規(guī)，我們必須及時糾正，改進我們的系統(tǒng)，并告知受影響的人......我們不能回到紙質(zhì)記錄和文件。我們必須前進，建立一個安全和聰明的國家。“

新加坡需要適應(yīng)和發(fā)展，以便它不僅能夠有效地運作，而且能夠在數(shù)字時代安全地運作。但是沒有一個系統(tǒng)是絕對可靠的，網(wǎng)絡(luò)安全漏洞是不可避免的，所以它需要從每個系統(tǒng)中學(xué)習(xí)并更好地減少未來的風(fēng)險。