新加坡医疗保健数据泄露的关键要点

新加坡医疗保健数据泄露的关键要点没有任何系统是绝对可靠的，网络安全漏洞是不可避免的，但新加坡需要做得更好，以降低风险并履行其保护公民数据的承诺。本周，再次提醒新加坡，无论我们多么高度关注网络安全的重要性，以及我们如何必须更加注重保护我们的系统，我们看似高度集中的高度安全的基础设施将被破坏。这不是一个问题，而是一个什么时候的问题。我们已经听说安全专家经常听到警报，说明为什么组织需要准备他们的网络，不仅要抵御攻击，还要能够迅速从违规行为中恢复过来。

新加坡遭受“最严重”的数据泄露，影响包括PM在内的150万医疗保健患者

政府将攻击描述为“刻意的，有针对性的，精心策划的”并确保没有医疗数据被篡改，但安全供应商警告受损数据可能最终在黑暗网络上出售。

阅读更多

所以这不仅仅是一个什么时候的问题。这也是我们的系统渗透时我们如何以及如何回应的问题。

本周，150万在新加坡发现他们的医疗服务提供者发现并对严重的网络攻击做出了反应。

该国最大的医疗机构集团运营商SingHealth透露，150万名患者的非医疗个人数据已被“访问和复制”，包括其国家身份证号码，地址和出生日期。此外，160,000名患者的门诊医疗数据受到了损害。

据当局称，没有其他患者记录如诊断，检测结果或医生笔记被破坏和篡改，并且没有证据表明其他当地公共医疗IT系统存在类似的违规行为。

一周后检测不能来

我个人觉得麻烦的事实是，在2018年7月4日由综合健康信息系统(IHiS)检测到“异常活动”的第一个迹象之前数据被破坏需要一周的时间，该系统负责运行新加坡的公共医疗机构的IT系统。

后来证实，数据已经从6月27日“开始” - 在IHiS收到网络中的异常活动之前的整整一周。该机构表示，在7月4日发现后，它能够“立即”停止非法活动。

这也意味着黑客能够走开 - 特别是“访问和复制” - 包含150万患者的数据包，以及另外160,000的门诊医疗数据，未被发现一周。

有些人可能会赞扬相对较短的时间框架，当然，如果你把它与过去的研究结果进行比较，这些研究显示大多数组织花了六个月的时间来发现违规行为。

然而，对于一个已经成为最先进的“智能国家”之一以及新技术和数字化转型的早期采用者而言，一周对于一个国家来说根本不够好。

医疗保健不是大多数组织。这一次，黑客只带走了个人数据。想想网络恐怖主义者可以做些什么，考虑到一周的奢侈，如果他们成功地渗透和关闭了重要的医疗保健系统。

随着企业的蠢事，新加坡必须更加关注数据抱负

新加坡政府一直在开放用户数据访问以简化信息交换和商业交易，但是由于主要组织继续在安全问题上滑倒，因此应该谨慎行事。

阅读更多

当然，更好的检测工具，特别是与人工智能和机器学习相结合，能够识别出每日不同程度的数据访问和重复，并在一周之内发出警报?

正如一些安全专家所强调的那样，这些功能将变得更加重要，医疗保健环境高度异构，各种设备和系统已经到位，并且不一定以统一的网络安全有效性运行。

从本质上讲，它是物联网雷区和网络管理员的噩梦，除非他们拥有适当的自动化和检测工具来帮助他们降低潜在风险。

用户没有充分授权进行良好的安全卫生

新加坡政府还经常强调公民在实施良好的网络卫生和学习如何保护自己的数据方面所发挥的不可或缺的作用。

然而，在提高消费者权力的过程中，提高公众意识几乎没有意义。

通常，而且最近看起来更频繁，当我与我想要交易或参与的企业互动时，我感觉自己就像一个无助的人质。例如，我的银行认为这是“为了我的方便”，当他们继续记录我的声音并激活语音生物识别作为身份验证时，没有先征得我的同意。虽然其条款和条件声明概述了诸如银行的有限责任和管理电子服务的全额赔偿等各种要点，以及客户在语音生物识别中的“自动”注册，但它无法解释如何保护客户数据(如声纹)。

如今，某些会议的媒体注册还要求与第三方共享数据的强制性同意，并且参加主题演讲的其他个人信息显然不明确。

数据是王道，我明白了，而且我并不完全反对从客户那里收集数据的企业，这样他们就可以提供更多量身定制的用户体验，或者换取免费服务和奖励。但是，与此同时，消费者也有权知道这些企业如何存储和保护数据，一线服务人员应该掌握解释这些细节的知识，而不是茫然地回应。

最重要的是，应该总是选择退出，即使这意味着客户对某些服务的访问可能会受到限制。

随着消费者数据的增值，新加坡工业需要更强的行为准则

随着企业获取有关客户的更多信息，消费者需要更多地了解此类实践，行业准则和行为准则必须发展以确保负责任的数据使用。

阅读更多

如果企业越来越多地将他们从消费者那里获取的数据和数据走多远，那么也许需要审查管理此类访问的法规和法律。

作为消费者，缺乏授权也是我政府决定开放更多数据访问权限或简化数据共享时我不寒而栗的主要原因。这里的意图是改善公民服务的良好和主要目标，但当组织 - 包括医疗服务提供者 - 显然仍在努力应对安全威胁时，政府可能需要退后一步，更加密切地评估其他需要的东西。这样做是为了更好地保护其公民。

也许企业应该通过安全检查表 - 确保他们拥有健全的系统和实践 - 在他们获得数据访问权限之前。也许他们应该定期接受审计，以确保他们保持合规，并被迫提供选择退出选项，以换取有限的服务。

此外，这是我的一个小小的烦恼，当数据泄露或违规涉及政府实体时，消费者没有明确的追索权，因为公共部门不包括在新加坡的个人数据保护法案(PDPA)中。

有趣的是，SingHealth公布了其数据保护政策，该政策指出医疗保健集团的机构受PDPA管辖，以及“有关医疗保健相关方面的具体法律或法规”。但是，根据该法案第4节第2节，规定组织可以在未经事先同意的情况下披露有关个人的个人数据，因为它涉及向公共机构披露的持牌医疗机构或规定的医疗机构的患者“为了制定政策或者评论“。SingHealth是该法案下的“规定的医疗保健机构”。

SingHealth还指出，“如果PDPA与现有的部门法律法规在收集，使用或披露个人数据方面存在不一致之处，则应以其他书面法律的规定为准”。在其数据政策中，医疗保健组织补充说，它不对由于未经授权使用患者用户名和密码的安全漏洞造成的损害承担责任。

它进一步指出：“每个SingHealth机构将采取合理的措施，通过合理的安全措施来保护我们拥有或控制的个人数据，以防止未经授权的访问，收集，使用，披露，复制，修改，处置或类似风险。但是，我们不能完全保证我们可能从您或您身边收集的任何个人数据的安全性 - 例如，没有任何有害代码将通过病毒，错误，特洛伊木马，间谍软件或广告软件进入我们的网站。

这一涉及另一个政府机构的最新违规行为再次强调，公共部门需要根据与私营企业相同的数据保护法来考虑，或者至少需要更加明确政府自己的数据规则和政策。

不过，新加坡政府正确地强调，国家不能倒退，让网络攻击的恐惧破坏其聪明的国家野心。正如李显龙总理所说：“我们的目标必须是防止这些攻击中的每一次攻击成功。如果发现违规，我们必须及时纠正，改进我们的系统，并告知受影响的人......我们不能回到纸质记录和文件。我们必须前进，建立一个安全和聪明的国家。“

新加坡需要适应和发展，以便它不仅能够有效地运作，而且能够在数字时代安全地运作。但是没有一个系统是绝对可靠的，网络安全漏洞是不可避免的，所以它需要从每个系统中学习并更好地减少未来的风险。