公司因SingHealth数据安全漏洞被罚款100万美元

新加坡健康服务(SingHealth)已被处以25万新元罚款，而负责新加坡公共医疗保健行业的IT机构综合健康信息系统(IHIS)因未能采取足够的安全措施来保护个人数据而被罚款750,000新元。这一疏忽导致了2018年7月的网络安全攻击，该攻击损害了150万SingHealth病人的个人信息，并违反了新加坡个人数据保护法案中规定的数据保护义务。

星期二发表声明的个人数据保护委员会(PDPC)表示， SingHealth作为患者数据库的所有者负责，该数据库在袭击中渗透，导致新加坡历史上最严重的个人数据泄露事件。此事件还影响了另外160,000名患者的门诊病历。

PDPC说：“处理安全事件的SingHealth人员不熟悉事件响应过程，过分依赖IHiS，并且未能理解并采取进一步措施来了解IHIS在其出现后提供的信息的重要性。

“即使组织将工作委托给供应商，组织作为数据控制者也必须最终对他们从客户那里收集的个人数据负责，”该委员会说。“到目前为止，这些经济处罚是PDPC有史以来最高的。”

它表示，考虑到数据泄露是该国最大的，并且涉及敏感和机密的患者数据。它还注意到这两个组织立即采取了补救措施，并且网络攻击是使用“众多高级，定制和隐身”工具的APT(高级持续威胁)小组的工作。从2017年8月起，黑客攻击的时间跨度超过10个月。

PDPC在其报告中称，截至2018年7月，涉及网络攻击的数据库包含了超过501万人的患者数据 。SingHealth集团包括几家公立医院和医疗机构，包括新加坡综合医院 - 这是被黑客入侵的服务器所在地 - 国家癌症中心，新加坡国家心脏中心和新加坡国家眼科中心。

委员会在其报告中指出，SingHealth的CISO(首席信息安全官)未能行使独立判断并遵守IT安全事件报告流程，质疑SingHealth是否采取了合理和适当的措施来防止未经授权的个人访问其数据库中包含的数据。

“更重要的是，它指出了组织内部更大的系统性问题。首先，各方应制定一份合同，规定数据中介机构的义务和责任，以保护组织的个人数据和各方的各自角色，保护个人数据的义务和责任，“PDPC说。

IHIS周一表示，两名员工因疏忽和不遵守命令而被解雇，而包括其首席执行官Bruce Liang在内的五名高级管理人员因对SingHealth安全漏洞的“集体领导责任”而被罚款。

该机构表示，管理这些系统的IT团队可以减轻网络攻击的影响，如果它已经对服务器进行了适当的合规性和管理。此外，安全事件响应管理员未能理解构成“安全事件”的内容，因此，尽管其工作人员反复发出警报，但并未发出警报。