還記得去年7月新加坡醫療保健集團SingHealth發生的資料外洩事件嗎?該集團因遭到駭客入侵,有150萬名病人的個資遭竊,包含新加坡總理李顯龍的個資。專門開發與管理新加坡公共醫療IT系統並替SingHealth提供服務的Integrated Health Information Systems(IHiS)於本周祭出懲處,開除了兩名怠忽職守的員工,也針對包括執行長Bruce Liang在內的5名高級主管祭出罰款。

新加坡的個人資料保護委員會(Personal Data Protection Commission,PDPC)是在周二(1/15)基於該國的《個人資料保護去》對IHiS及SingHealth分別開罰75萬元坡幣(約1,730萬元新台幣)及25萬元坡幣(約577萬元新台幣)。

PDPC表示,IHiS的過失在於未能採取適當的方法來保護個人資料,而SingHealth雖然把資料交給IHiS保管,但SingHealth過於依賴IHiS,也不熟悉意外回應程序,且是資料最終的負責人,理當受罰。而這也是PDPC有史以來祭出的最重處罰。

該事件為新加坡史上最嚴重的資料外洩事件,遭竊的資料包括病人的姓名、身分證號碼、地址、性別、種族與出生日期,還有16萬人的開藥紀錄。

而IHiS則是在周一(1/14)開除了兩名員工,一為基礎設施系統團隊的負責人,根據IHiS的說明,雖然他具備必要的技術能力,但他對安全的態度及為伺服器所作的設定替該系統帶來了不必要的重大風險。另一位則是IHiS的網路安全負責人,IHiS認為他誤解了安全意外的定義,也不知何時應回報安全意外,在其它員工的多次警告下才採取行動,錯失了避免網路攻擊的最佳時機。

而包括執行長在內的5位IHiS中、高階主管也都被罰款,IHiS認為,這是他們必須承擔的集體領導責任。


熱門新聞

Advertisement