Photo: RNZ / Finn Blackwell
要点速读:
- 今日即为Manage My Health大规模数据泄露后,赎金支付的截止日期;
- 据信确切截止时间为今晨5点37分(新西兰时间);
- 这家新西兰最大的患者门户网站的沟通方式受到一位前情报官员的批评。
在新西兰最大的患者门户网站的数十万份医疗文件被窃取之后,黑客要求支付赎金的最后时限已于今晨到期。
Manage My Health(MMH)仍在努力应对这次大规模数据泄露事件所带来的影响,据信有超过12万名用户受到波及。
尽管勒索赎金的最后时限已到期,但目前黑客并未进一步公开任何数据。
黑客组织"Kazu"在成功入侵MMH并获取了数十万份医疗文件之后索要6万美元赎金。
据信赎金的最后时限已在今晨(1月6日)5点37分截止。此前,Telegram上一条1月4日发布的帖子称,如果在48小时内未收到赎金,将"泄露所有内容"。
卫生部长Simeon Brown表示,政府的一贯立场是绝不向任何勒索低头。
就在截止日期临近前,MMH在本周一晚些时候发声表示,任何勒索要求都属于警方管辖的范围。该公司表示,目前调查正在进行中,不会就此次勒索事件进行任何评论。
该平台还就此次事件所造成的痛苦和焦虑向医疗机构和患者"真诚道歉"。
"我们承认,我们在沟通方面可以做得更好,"该公司在声明中说,"但我们的首要任务是保护患者数据,并确保向诊所和患者提供的信息准确无误。"
MMH表示将每天发布最新进展,公布其可以公开的任何信息。
Simeon Brown在宣布对此次数据泄露事件进行紧急审查后表示,他已就沟通问题向该平台提出意见。
"我上周约谈了(他们的)CEO,明确表达了我的预期。要求Manage My Health在对公众和用户的沟通方面要更加清晰透明,并与有关机构密切合作,确保遵循官方建议。"他对RNZ 表示。
Brown表示,这次数据泄露事件"相当不可接受"。
卫生部长Simeon Brown。 Photo: RNZ / Mark Papalii
IT服务商Intellium的高级技术主管Luke Hogan说,他认为MMH会很难从这件事情中恢复过来。
"我不知道他们将如何从这件事情中恢复过来,情况有些严重。"他说,"我个人对(他们)毫不重视最基本的网络安全感到非常、非常失望。"
"在我的专业看来,医疗数据和金融数据一样,是那种需要妥善保护的最重要的数据。"他说,"真的非常、非常失望,作为一名IT业内人士,我对此感到震惊。"
会支付赎金吗?
尽管Manage My Health尚未对赎金问题表态,但一名前情报官员表示,原则上不应支付赎金。
Antony Grasso曾在英国的政府通信总部(Government Communications Headquarters)工作,这是英国政府负责情报、安全和网络安全的一个机构,而他本人也是Manage My Health的用户。
"我个人不建议支付赎金,哪怕我个人的数据也在此次事件中泄露--并且这也很有可能。"他说,"很难在没掌握整体情况的前提下作出决定,但原则上不应支付赎金的,这是基本准则。"
"我是说,你实际上是在跟罪犯或者说小偷去谈判,而这帮人是没有底线可言的,我们都知道,他们无论怎样都可能会公布数据,而这也意味着我们很软弱。"
Grasso表示,他并没有看到Manage My Health在数据泄露发生后采取过多少实质性的应对手段。
"坦白讲,从一个普通人的视角来说,我并不觉得他们在响应方面有一个好的应对方案。"他说,"我没有看到什么透明度,也没有看到我期待中的一个掌握大量私人信息的公司应当采取的行动。"
Grasso希望MMH与目前正在合作的网络安全公司解约,并且永远不再合作。
"因为显而易见,某个人把工作搞砸了。"
代理隐私专员:问题由来已久
代理隐私专员Liz MacPherson对RNZ表示,她认为此类问题曾在过去露出端倪。
"据我了解,这些传言一直以来都存在。有些'白帽黑客'和其他一些人会对网络漏洞的机构发出提醒。但是往往很难判断这些人究竟是真正的黑客,还是白帽黑客。所以警察也难以应对。"她说。
在网络安全领域,白帽黑客指的是那些出于善意,希望安全漏洞能被修补的人。
"所以据我了解,这些问题在过去曾被反映给Manage My Health,我认为一些媒体也收到过相关信息。"MacPherson说。
Liz MacPherson。 Photo: RNZ / Dom Thomas
她表示,隐私专员办公室对网络安全领域普遍性的不重视感到不满。
"让我们隐私专员办公室感到沮丧的是,我们不断看到普遍存在的懈怠--这是全行业的现象……那种'这不会发生在我身上'的心态仍在持续。"她说。
"你不得不问一句:缺乏惩罚机制是否是导致这种心态的原因之一?"
MacPherson表示,澳大利亚此前对此类情况的处罚大概在330万澳元左右,但现在已经大幅提高。
"所以对于重大数据泄露,现在可能面临超过5000万澳元的罚款,相当于数据泄露所获得收益的三倍,或者是公司营业额的30%。"
"我想说的是,即便是他们原来那么低的处罚标准--两三百万--我们都没有。"她说,"我们没有任何处罚措施,我们没有一个民事处罚的标准。"
MMH的回应
MMH在最近一次事件通报中表示,该公司再次向全社会保证,其团队成员在假期期间不眠不休地解决问题。
"其次,我们作为跨行业团队的一员,一直在制定流程,与受影响的诊所和患者开始沟通。"通报称,"我们承认这种滞后为公众造成了困扰。"
该平台表示,欢迎卫生部长发起的审查,并将全力配合。
它表示,其国际事务团队正在监控已知的数据泄露网站,并准备在任何被盗信息发布时立即发出删除通知。
它还已获得高等法院的禁令,禁止第三方访问因本次网络攻击而发布的数据。
惠灵顿高等法院已向RNZ证实收到了禁令申请。
您对我们的翻译满意吗? 如果您有任何建议,请发送电子邮件至 chinese@rnz.co.nz 。谢谢!
