智慧城市与数字政府办公室(SNDGO)周三(11月11日)发布消息称,政府内部报告了更多数据事件。
2019财年(FY)共报告了75起数据事件,比2018财年的51起事件增加了47%。截至9月30日,2020财年上半年共报告了37起事件,与上一财年同期相似。
SNDGO表示,报告的大部分事件是由于人为错误造成的,包括无意中将敏感数据通过电子邮件发送给错误的收件人,以及错误地放置包含敏感数据的IT设备。
SNDGO表示,事件的另一个主要原因是没有遵循既定的流程来保护数据安全,包括为了节省时间而部署含有bug的软件,这可能会导致数据泄露。
"大多数事件被评估为不会对受影响的机构或个人产生重大影响,因为已经采取了保护措施来减轻数据泄露的风险,"它说。
"例如,放错位置的IT设备已经加密;其中包含的敏感数据不会被试图从这些设备中提取数据的未经授权用户使用。"
此前,SNDGO表示,它已经实施了公共部门数据审查委员会在去年11月公布的调查结果中建议的24项关键举措中的18项。
该委员会对94个公共部门机构的336个系统进行了检查,发现约四分之三的机构至少有一项不符合政府数据政策和标准手册的发现。
实施的举措包括改进审计和第三方管理框架,加强及时应对数据事件的流程,以及加强各级数据安全责任。
"我们正在按计划实施剩余的技术措施--到2021年底将覆盖80%的系统,到2023年底覆盖所有系统,"SNDGO说。
这些措施包括防止政府系统和设备中敏感数据丢失的工具,以及自动化的用户账户管理,以确保定期和及时审查对包含敏感数据的IT系统的访问。
报告数据事件的增加与全球趋势一致
全国性别平等办公室说,报告事件的增加与私营部门和全球的趋势 "同步",数据事件 "普遍增加"。
"报告的数据事件数量的增加可以部分归因于公职人员对什么是数据事件的认识、警惕和理解的提高,"它补充说。
"公职人员定期参与数据安全措施,以建立一种学习和提高认识的文化"。
SNDGO说,政府将继续投资于技术工具,作为防止数据泄露的第一道防线。
这包括一个全政府数据丢失预防方案(DLP),该方案将被纳入信息和通信技术系统和用户设备,并将在明年年底前完成。
信息和通信技术系统包括硬件、软件、数据和使用这些系统的人员。
DLP方案将解决公共部门数据事故的常见原因,如在批量数据传输过程中无意中传输含有敏感数据的文件。
该方案将采用技术和程序控制相结合的方式,检测可能导致数据丢失的危险用户行为,并指导用户采取适当行动。
例如,当一名公职人员试图使用授权的存储介质从其工作的笔记本电脑中提取敏感数据时,DLP工具将突出显示这一风险活动,并要求该公职人员在继续之前确认该行动。
必须做更多的工作来解决人为错误。
尽管如此,SNDGO在其关于政府今年个人数据保护工作的最新报告中表示,"还必须做更多工作来解决人为错误的根源"。
"虽然处理敏感数据的政策和程序总体上是健全的,但许多数据事件的发生是因为官员没有遵循这些既定的程序和协议,"它说。
"被发现对这些数据事故负有责任的人员已受到应有的纪律处分,惩罚措施从辅导和正式谴责到经济处罚不等。"
在2019年6月至10月发生的一起无意数据泄露事件中,新加坡会计委员会(SAC)的官员和主管人员受到了正式警告信或最高半个月工资的经济处罚。
SNDGO表示,一名SAC官员在不知情的情况下,在发给22个机构41人的电子邮件中附上了一个包含6541人的个人信息的文件,包括联系信息和考试成绩。
2019年10月实施的电子邮件数据保护工具曾提醒发件人,电子邮件中包含敏感数据。
"SAC立即纠正了错误,并防止了数据的进一步未经授权的披露,"SNDGO报告说。
"SAC还召集了一个委员会来调查该事件,并提出建议,以改善该组织的个人数据保护实践。"
惩戒行动不力
尽管如此,国家统计局在报告中表示,纪律处分还不够,还需要确保公职人员更好地了解数据安全的重要性。
明年,政府将加大力度提高公职人员的数据安全意识和知识,包括展开 "更密集 "的运动,让官员参与数据安全,并在通讯和研讨会上分享从过去的数据事件中吸取的教训。
"从2021年开始,政府将定期为公共机构和公职人员进行信息通信技术和数据事件管理演习,以练习和改进他们的事件管理流程,"SNDGO说。
"这些是灌输安全分享和使用数据的卓越文化的第一步,这将需要机构各级多年的持续努力。"