本月21日(周六),国防部发文告透露,该部和武装部队的服务供应商电脑系统遭恶意软件入侵,他们的系统中存有国防部和武装部队人员的个人资料。
根据文告上述两家供应商为新康国际卫生科学院(HMI Institute)以及新科物流。新康国际受影响的系统存有12万人员的个资,包括9万8000名国防部或武装部队人员的全名、身份证号。
同时,还有新康国际其余客户的全名、身份证号、电邮、生日日期和住址等个资。不过初步调查显示资料外泄的可能性不大。
钓鱼邮件传到员工电邮账户
新科物流受影响系统则含有2400名国防部或武装部队人员的身份证号、全名、联络号、电邮乃至于住址等个资,初步调查则指这些个资可能已外泄。新科物流是发现有钓鱼邮件传到员工的电邮账户。
新康国际自2016年起,负责为国防部和武装部队提供心肺复苏和自动体外除颤器培训;至于新科物流自1999年提供军用品零售和装备服务。为提供服务两家供应商都获得所需的国防部/武装部队人员资料。
在个人资料保护法(PDPA)下,供应商有责任保护客户个资,故此他们都必须向个人资料保护委员会(简称,PDPC)报告并接受调查。
“检讨供应商网安标准”
新康国际声称在发现恶意软件后边立即切断网络,并让科技公司进行调查。攻击似乎是任意和投机的,也未有数据被抄写和运出。该公司执行董事Tee Soo Kong则表示验证看待此时,并表示加强措施预防日趋复杂的网络入侵。
至于国防网络署署长陈庆利准将则表示,尽管国防部和武装部队的系统和运作不受影响,不过在这些供应商发生的恶意软件事故都有可能泄露人员的个资和隐私。他补充当局将检讨供应商的网安标准,确保他们有能力保障该部人员的个资安全。
至于受影响人员也已从本月21日起陆续获得通知。
6月一公司疏忽 泄战备人员个资
这已不是首次有涉及国防部或武装部队的供应商涉及个资外泄。在今年6月,就有一家公司因系统程序出错导致逾400名国家战备人员的个人数据外泄,被罚款4000元。
我国对网络保安的重视,致使政府对资讯工艺的拨款从5巴仙提升至8巴仙,据《海峡时报》报导,仅在2014财政年,新加坡就为网络安全项目耗费了4亿零860万新元。
尽管政府委任前军队准将许智贤,掌管两个新开设的网络安全机构,即负责全国网络防卫事务的国防网络署(DCO),以及直接隶属总理署旗下的网络安全局(CSA),但不幸的是150万病患个资外泄的事还是发生了。
150万病患个资外泄历年最严重
回溯去年7月,惊传有骇客以恶意软件入侵新加坡保健服务集团(SingHealth)系统,盗取了150万病患资料,其中16万住院治疗记录外泄,堪称历年来最严重,消息一出轰动一时,卫生部长颜金勇甚至特别为此事致歉。
