上海隧道新加坡子公司发生数据泄露，甲方暂停数字系统访问权限

前言

上海隧道工程股份（新加坡）有限公司在承建裕廊区域线（JRL）地铁站及樟宜第三座新生水厂期间发生网络安全事件，导致与项目相关的‌招标文件‌泄露。

新加坡陆路交通管理局（LTA）和公用事业局（PUB）已确认事件，并作为预防措施暂停了该公司对数字系统的访问权限。




事件描述
值得注意的是，泄露的数据为可通过政府采购门户“政府电子商务中心”（GeBIZ）公开获取的招标文件，未涉及敏感客户数据或关键工程信息。目前，该公司正与外部网络安全专家合作调查事件，并配合相关主管机构处理。


新加坡主管部门称工程未受影响，暂停了承包商数字访问权限

新加坡陆路交通管理局（LTA）在回应询问时表示，已知悉该事件，并称事件已上报警方及相关主管机构。

陆路交通管理局指出，该事件未对地铁线路在建工程造成影响。不过作为预防措施，已暂时暂停该建筑公司访问该局数字系统的权限。

新加坡国家水务机构公用事务局（PUB）也表示，上海隧道工程股份（新加坡）有限公司目前无法访问其数字系统。

调查结果显示，与樟宜第三座新生水厂相关的敏感数据未被窃取，泄露的数据为项目招标文件。

公用事业局发言人表示，这些文件可通过政府采购门户“政府电子商务中心”（GeBIZ）公开获取，并强调该机构“高度重视”网络安全，已提醒承包商审查其安全措施。

当地媒体海峡时报核查了一些发布被盗数据的勒索软件门户及黑客论坛，未发现相关信息。

上海隧道回应已采取控制措施，与安全专家合作调查事件

4月28日，上海隧道工程股份（新加坡）有限公司向海峡时报表示，近期发现一起网络安全事件，并已立即采取措施加以控制。

该公司未说明事件发生的具体时间。

公司补充称，正与外部网络安全专家合作，以支持调查工作。

该公司表示：“我们正全力配合相关主管机构，并恳请各方允许调查在不受干扰的情况下进行。”

上海隧道工程股份（新加坡）有限公司成立于1996年，曾参与新加坡多个地铁项目，包括环线、滨海市区线和汤申-东海岸线的多座车站建设。

2019年，该公司中标负责设计和建造裕廊区域线的蔡厝港、蔡厝港西和登加车站，以及连接这些车站的一条长4.3公里的高架桥。

此外，该公司还负责樟宜第三座新生水厂的土木、结构、建筑、结构钢及外部工程。该工厂预计将于2028年建成，用于替代勿洛现有工厂，届时每日可生产多达5000万加仑的新生水。


由于该事件未造成工程中断或敏感数据外泄，且影响范围有限，因此尚未引发国际性媒体的广泛关注或发布专门的英文报道。



新加坡政府对承包商数据安全事件的应对机制和政策要求

根据新加坡的监管框架，政府对承包商引发的数据安全事件有一套系统性的应对机制，主要依托《个人数据保护法》（PDPA）、《网络安全法》（Cybersecurity Act 2018）及行业专项指引构建多层防御体系。

一、核心法律义务与报告机制
数据泄露通知义务（PDPA）‌
若数据泄露可能造成重大损害或影响至少 ‌500名个人‌，企业须在确认后 ‌3个日历日内‌ 向个人数据保护委员会（PDPC）报告，并视情况通知受影响个体。
虽然本次事件泄露的是公开招标文件，不涉及个人数据，但若未来发生敏感信息外泄，此机制将立即启动。

关键信息基础设施（CII）事件报告‌
对于交通、水务等关键项目承包商，若其系统被认定为CII或临时高风险系统（STCC），发生网络安全事件后必须在 ‌2小时内‌ 向网络安全局（CSA）提交初步报告，14日内补充详情。

执法与处罚‌

违反PDPA的企业最高可被处以 ‌年度营业额10%或100万新元罚款‌（以较高者为准）。
CII所有者未履行报告义务，最高可罚 ‌10万新元‌ 或面临 ‌2年监禁‌；服务提供商违规则最高可罚 ‌20万新元‌ 或营业额10%。
二、承包商安全管理实践
第三方风险管控‌：政府项目发包方（如LTA、PUB）通常在合同中嵌入网络安全条款，要求承包商遵守《网络安全卫生通知》（TSR），定期修复漏洞、实施访问控制，并接受安全审计。
事件响应支持‌：新加坡计算机应急响应团队（SingCERT）为承包商提供技术援助，协助调查攻击路径、恢复系统并防止二次攻击。
行业专项标准‌：医疗、交通等行业有额外合规要求。例如，医疗IT承包商需遵循《医疗网络安全要点》，而交通项目承包商则需符合IMDA《电信网络安全业务守则》。

三、预防性合规建议
企业应采取以下措施降低风险：

建立‌数据分类分级制度‌，明确哪些数据属于敏感或高影响类别；
与母公司或集团签署‌数据处理协议‌，明确跨境传输与保护责任链条；
参考《东盟跨境数据流动示范合同条款》（ASEAN MCCs）规范第三方数据共享行为；
购买‌网络保险‌以覆盖数据泄露、业务中断等潜在损失。