公司因SingHealth數據安全漏洞被罰款100萬美元

新加坡健康服務(SingHealth)已被處以25萬新元罰款，而負責新加坡公共醫療保健行業的IT機構綜合健康信息系統(IHIS)因未能采取足夠的安全措施來保護個人數據而被罰款750,000新元。這一疏忽導致了2018年7月的網絡安全攻擊，該攻擊損害了150萬SingHealth病人的個人信息，并違反了新加坡個人數據保護法案中規定的數據保護義務。

星期二發表聲明的個人數據保護委員會(PDPC)表示， SingHealth作為患者數據庫的所有者負責，該數據庫在襲擊中滲透，導致新加坡歷史上最嚴重的個人數據泄露事件。此事件還影響了另外160,000名患者的門診病歷。

PDPC說：“處理安全事件的SingHealth人員不熟悉事件響應過程，過分依賴IHiS，并且未能理解并采取進一步措施來了解IHIS在其出現后提供的信息的重要性。

“即使組織將工作委托給供應商，組織作為數據控制者也必須最終對他們從客戶那里收集的個人數據負責，”該委員會說。“到目前為止，這些經濟處罰是PDPC有史以來最高的。”

它表示，考慮到數據泄露是該國最大的，并且涉及敏感和機密的患者數據。它還注意到這兩個組織立即采取了補救措施，并且網絡攻擊是使用“眾多高級，定制和隱身”工具的APT(高級持續威脅)小組的工作。從2017年8月起，黑客攻擊的時間跨度超過10個月。

PDPC在其報告中稱，截至2018年7月，涉及網絡攻擊的數據庫包含了超過501萬人的患者數據 。SingHealth集團包括幾家公立醫院和醫療機構，包括新加坡綜合醫院 - 這是被黑客入侵的服務器所在地 - 國家癌癥中心，新加坡國家心臟中心和新加坡國家眼科中心。

委員會在其報告中指出，SingHealth的CISO(首席信息安全官)未能行使獨立判斷并遵守IT安全事件報告流程，質疑SingHealth是否采取了合理和適當的措施來防止未經授權的個人訪問其數據庫中包含的數據。

“更重要的是，它指出了組織內部更大的系統性問題。首先，各方應制定一份合同，規定數據中介機構的義務和責任，以保護組織的個人數據和各方的各自角色，保護個人數據的義務和責任，“PDPC說。

IHIS周一表示，兩名員工因疏忽和不遵守命令而被解雇，而包括其首席執行官Bruce Liang在內的五名高級管理人員因對SingHealth安全漏洞的“集體領導責任”而被罰款。

該機構表示，管理這些系統的IT團隊可以減輕網絡攻擊的影響，如果它已經對服務器進行了適當的合規性和管理。此外，安全事件響應管理員未能理解構成“安全事件”的內容，因此，盡管其工作人員反復發出警報，但并未發出警報。