醫管局資料外洩前聯網總監稱不可接受
發佈時間:03:00 2026-04-07 HKT
醫管局近日發生資料外洩事件,逾5.6萬名九龍東醫院聯網病人的敏感資料被上載至暗網。前九龍東聯網總監陸志聰形容事件嚴重且不可接受,促局方盡快通知所有受影響人士,並全面檢視系統漏洞,包括承辦商在風險處理上的要求。有資訊科技安全專家質疑醫管局「事件不涉及網絡攻擊」的說法屬「語言偽術」,直言現時黑客已「睇實」香港不同機構外判營運商的工作,系統有問題立即攻擊,即使不是攻擊機構的主網,實際上都是針對其所持有的資料,強調機構有監察責任。
陸志聰昨日在電台節目直言,看到新聞後第一個反應是「好嚴重」,因涉及5萬多名病人的資料,連身份證號碼亦包括在內是「不可以接受」。他指出,當務之急是盡快通知有關病人,並清楚交代被盜竊的具體資料,「新聞稿講咗一句,但譬如有無我嘅地址、電話?呢個好似新聞稿就無講。但如果我係嗰幾萬位病人,我一定好緊張。」
對於洩漏原因,陸志聰同樣對醫管局的說法提出疑問。他留意到新聞稿提及洩漏的檔案是「原檔案」,認為情況奇怪,「如果你話一個原檔案,重要係幾萬人嘅資料,其實呢個喺任何一間公司,我想都唔會容許一個職員可以下載到。」他強調不但是下載,即使是「睇」本身已不被容許。他解釋,醫管局內部員工接觸病人資料有兩大原則,包括:「個病人係咪你照顧緊」,以及「你有無需要」,兩者須同時滿足。因此,他難以想像為何承辦商需要並可接觸整個「原檔案」。
促盡快聯絡病人交代
對於醫管局稱事件不涉網絡攻擊,軟件及應用程式安全研究員賴灼東在同一節目表示,該說法是「語言偽術」、「好悶」。他解釋,網絡攻擊不一定是指攻擊醫管局的核心網絡,有黑客組織監視香港關鍵基礎設施或重要基建、銀行等,「睇佢哋有關嘅服務供應商,一路去掃描有無漏洞,一有問題就即刻去做嘢。」換言之,攻擊者可能早已入侵了維護系統的承辦商網絡,靜待機會竊取資料。
賴灼東又解釋,「原始檔案」通常是在系統維護或備份過程中,由營運商或維護人員將資料庫整筆匯出而產生,檔案可能十分龐大。他推斷:「好明顯就係個營運商『我想備份、做啲維護工作、將資料拎出嚟做測試』,就會有個原始檔案出嚟。」問題在於,該檔案有否在承辦商的伺服器上做好保護設定,以及被誰人下載。
二人均認為,醫管局與承辦商對事件有共同責任。陸志聰指出,外判服務時,尤其涉及敏感資料,必須做好風險管理。賴灼東認為醫管局及其他政府部門應採用跳板伺服器作中介監控,所有承辦商的維護工作都必須先通過該伺服器才能接觸到主系統,有關做法能實時錄影、監察及截停可疑操作。
賴坦言,這種嚴謹的監察措施需要資源,但不排除仍有人因「貪圖方便」而放寬權限。他總結,過去已多次發生類似因第三方服務商而起的資料外洩事件,形容「呢個套路一路重複緊」,促請各部門反思,不能將責任完全外判,必須確保承辦商的監管水平符合自身標準,並作定期高密度監察。
另外,立法會議員陳凱欣擔心病人因事件對醫管局失去信心,稱病人如果收到能確定病歷的電話或電郵,可能誤以為對方是信得過的醫生,料更容易騙取病人信任;她亦關注醫管局轉交承辦商的資料上是否設權限,「這些醫管局現在全部都需要面對」,希望醫管局召開記者會交代更多詳情。
