シンガポールの患者データベースを管理する同国政府所有の企業は、ハッカーによる個人記録の盗用を許した失態があったことを受け、最高経営責任者(CEO)を含む上級幹部に罰金を科し、管理職2名を解雇した。
処罰は、シンガポールの医療機関SingHealthの患者記録データベースを運営するIntegrated Health Information Systems(IHiS)によって行われた。このデータベースシステムは2018年にハッキング被害に遭った。犯人はネットワークにアクセスし、攻撃の最終的な標的とみられるリー・シェンロン首相を含む150万人分の国民の健康記録を盗んだ。
この大失態は調査委員会によって調査され、他の失態の中でも、先週、IHiS が Citrix システムを不必要にインターネットにさらしたままにしていたこと、管理者アカウントに二要素認証による保護が欠けていたことが明らかになった。
ハッキングされた病院グループが犯したITセキュリティの失策から学びたいなら、週末に読むべき本があります。
続きを読む
IHiSは昨日、このインシデントに関連して、Citrixチームリーダーとセキュリティインシデント対応マネージャーの2名を解雇したと発表した。同社の発表によると、2名は「過失があり、命令に従わなかった」とされている。
発表では、Citrixチームリーダーの「セキュリティに対する姿勢が、軽減されるべきだった不必要な重大なリスクをもたらした」と述べられている。
IHiS は、セキュリティ インシデント対応マネージャーに対してさらに厳しく、「セキュリティ インシデントとは何か、セキュリティ インシデントをいつ報告すべきかについて、マネージャーはずっと誤った理解を抱いていた」と述べています。
声明は次のように続けている。「スタッフから繰り返し警告があったにもかかわらず、彼が消極的だったことで、サイバー攻撃の影響を軽減、あるいは回避できたかもしれない機会を逃した。」
「クラスター情報セキュリティ責任者」の役職を持つ3人目の人物は、「その役割に不適格」であると判断され、降格されて配置転換されました。
シンガポール保健省の最高情報責任者(CIO)も兼任するブルース・リャンCEOを含む幹部5人がハッキング事件で制裁を受け、IHiSは「相当の」罰金を科すとしている。一方、解雇された2人を監督していた中間管理職は「中程度の罰金」を支払うことになる。
声明では、IHiSが11月にシステムの保護を強化する18のセキュリティ対策を約束したことが改めて強調され、警戒を強化して防御をより強固にするため、職員の訓練が強化される予定であると述べた。
3 名のスタッフ(データベース管理部門 1 名、ソフトウェア構成管理チーム 1 名、セキュリティ管理部門 1 名)は、批判を免れただけでなく、「職務範囲と責任を超えてインシデントに熱心に対処した」として表彰状を受け取りました。®
