醫院管理局被揭發懷疑大型病人資料外洩事故,恆常監察系統於凌晨時分首先「響警」,發現有未經授權存取病人資料的可疑活動,其後追查發現相關資料已被上載至第三方平台,部分更流傳至暗網,涉及人數逾5.6萬人。醫管局形容事件嚴重,已即時報警,並通報個人資料私隱專員公署,全力配合刑事調查及跟進行動。
網上早前流傳,聲稱有約27萬則屬於醫管局的病歷紀錄,被人打包放上暗網「Dark forums」,引起社交平台熱議。醫管局其後回覆傳媒查詢時確認,監察系統在昨日凌晨偵測到一宗懷疑未經授權將病人資料取走並外洩的個案,但暫時只確認超過5.6萬名病人受影響,強調目前內部網絡及臨床系統運作「安全正常」,未見服務被入侵或癱瘓情況,會繼續深入檢視系統日誌及相關軌跡。
按醫管局向私隱公署提交的通報,今次懷疑被竊取及外洩的資料種類廣泛,包括病人姓名、身份證號碼、性別、出生日期、醫院編號、預約日期,以至部分健康資訊,當中涉及醫療紀錄內容,被形容為「相當敏感」。私隱專員公署回覆查詢時指出,初步估計受影響人數超過5.6萬人,已根據既定機制立案調查,會要求醫管局提供詳細技術報告、風險評估及補救措施,亦不排除日後按《私隱條例》採取執法行動。
醫管局表示已經啟動應變機制,包括即時封鎖懷疑被利用的存取渠道、加強相關伺服器的保安設定,以及請第三方網絡保安專家協助檢視系統。局方強調,現階段未有跡象顯示醫管局整體臨床系統被黑客控制或加密勒索,並無發現病人服務因此中斷,但會密切留意有沒有異常登入或大量下載紀錄,強調不會輕視任何一個可疑訊號。
私隱專員公署就事件向公眾發出提醒,指有關資料一旦落入不法之徒手上,極有可能被用作詐騙、釣魚訊息或身份盜用,呼籲懷疑受影響人士近期對陌生來電、短訊及電郵保持高度警覺,切勿隨便點擊連結、下載附件或透露銀行及登入資料。公署建議市民定期更改網上帳戶密碼、開啟雙重認證功能,並不時檢查銀行及電子支付紀錄,如發現可疑交易應盡快通知相關機構及報警備案。
醫管局表示,已經陸續聯絡受影響病人,按情況提供解釋和協助,亦會在網頁及社交平台發布最新消息,交代後續安排。有關代表強調,會從技術和管理兩方面檢討,包括數據加密、系統分段、外判商管理及內部審批流程等,並會配合政府就關鍵資訊基礎設施的保安要求,適時加碼投放資源。局方重申,保障市民醫療私隱是首要責任,今次事故「絕不可以當小事」,承諾在調查完成後向公眾公布結果,交代問責及補救方向。
記者:Ceci
閱讀更多: