暗网里
新加坡富乐顿健康集团(Fullerton Health Group)及其供应商被罚款共计6.8万新元,因为该供应商的服务器被黑客攻击,导致客户数据在2021年被放在一个暗网论坛上出售。
超过15万名富勒顿健康集团的患者以及其企业客户的员工受到了此次漏洞的影响。
受影响的数据包括身份证号码、电话号码、银行帐号和代码等财务详细信息以及健康信息。
富勒顿健康公司被罚款58,000新元,而帮助富勒顿健康公司的病人预约的社会企业Agape Connecting People Holdings被罚款10,000新元。
在周四(6月22日)发布的一份书面判决中,个人数据保护委员会(PDPC)发现,富勒顿健康公司无意中向Agape披露了供应商不需要的个人数据,从而使情况变得更糟。
PDPC补充说,该医疗机构也有最终责任对Agape进行尽职调查和合理监督。
发生了什么
此案于2021年10月15日首次曝光,当时富勒顿健康公司发现其客户数据在一个暗网论坛上被兜售。
三天后,其网络安全顾问与所谓的卖家取得了联系,卖家声称他已从Agape面向互联网的文件服务器中提取了数据。
作为其社会企业计划的一部分,Agape聘用了樟宜女子监狱的囚犯,帮助为富勒顿健康的客户提供呼叫中心和预约服务。
富勒顿健康公司允许Agape通过Microsoft SharePoint(一种基于云的文档管理系统)访问其客户数据。
为了让囚犯能够在监狱内访问富勒顿健康公司的客户数据,Agape将数据下载到一台被授权访问SharePoint平台的个人电脑上,然后再将数据重新上传至面向互联网的文件服务器。
文件服务器随后被列入白名单,供囚犯访问。
截至2021年10月22日,暗网论坛帖子已被删除。此前不久,富勒顿健康公司和Agape已向PDPC通报了数据泄露事件。
富勒顿健康的网络安全顾问证实,该事件只涉及并影响了文件服务器。它自己的系统和服务器没有受到影响。
PDPC指出,富勒顿健康的133,866名病人和富勒顿健康公司客户的23,034名员工的个人资料被非法访问,但泄露的个人数据的确切数量尚不清楚。
Agape暂停了文件服务器的使用,同时富勒顿健康公司通知了受影响的人员。富勒顿健康公司还聘请新加坡信用局为受影响的个人提供为期六个月的免费信用监控服务。
定期安全审查是关键
PDPC在其判决中表示,它已多次强调组织需要对其IT系统进行定期安全审查。
虽然Agape已经做到了这一点,但审查并不包括文件服务器,因为它是富勒顿健康公司与Agape合作所独有的遗留功能。因此,Agape没有审查和评估文件服务器的安全隐患和风险。
当数据被泄露时,文件服务器的密码也被无意中禁用了大约20个月。原因无法确定。
PDPC表示,这导致文件服务器成为“互联网上的开放目录列表,没有密码保护,并且在较长时间内极易遭受未经授权的访问、修改和类似风险”。
在2019年12月密码被禁用之前,该密码已在囚犯之间共享,以便访问文件服务器。密码也没有设置有效期。
与此同时,PDPC表示,富勒顿健康公司有义务定期监控Agape的个人数据处理流程,对Agape的数据处理活动进行合理监督。
至于富勒顿健康公司是否知道客户数据上传到Agape的文件服务器,以及是否允许这样做,PDPC表示,没有足够的证据来做出调查结果。
然而,事实仍然是,富乐顿健康中心知道Agape正在与囚犯接触。PDPC表示,富勒顿健康公司应该进行合理的询问,以确定客户数据的存储和传输方式。
事件的影响被“放大”
在确定施加何种经济处罚时,PDPC指出,富勒顿健康公司通过SharePoint系统无意中披露了仅供其员工内部使用的个人数据。
Agape不需要这些数据来提供服务。PDPC表示,这导致“事件的影响被放大”。
PDPC补充说,富勒顿健康公司也是数据控制者,并“承担对Agape进行尽职调查和合理监督的最终责任”。
它考虑到这样一个事实:根据最新的审计账目,富勒顿健康公司的年营业额几乎比Agape高出50倍。
在缓解因素方面,PDPC指出,当数据泄露事件曝光后,双方都立即采取了补救措施。他们还采取了措施,防止此类事件再次发生。
去年10月,公司因数据泄露而被罚款的最高金额提高到其在新加坡年营业额的10%或100万新元,以较高者为准。
此前,违反个人数据保护法的组织将面临高达100万新元的罚款。