九龍東聯網外洩事件 醫管局暫停供應商權限
發佈時間:03:00 2026-04-17 HKT
醫院管理局逾5.6萬名九龍東醫院聯網的病人資料、逾千名員工資料外洩至「暗網」供人下載的事件於本月4日曝光後,警方3日後拘捕一名負責系統維護的外判承辦商系統開發員。醫管局昨表示,已即時暫停供應商的系統存取權限,同時加強監察緊急維修工作,會派職員在場檢查承辦商的維修系統。
加強監察緊急維修
醫管局總系統經理(資訊科技策略與企業架構)王昱表示,涉事資料來自周邊系統,為用作支援手術的文書系統,由承辦商開發並需定期維護,只包含有限個人識別資料,不包括聯絡資料。醫管局已即時採取措施,包括收緊存取控制,暫停供應商系統存取權限;緊急維修工作須在加強監察下進行;又即時展開緊急保安檢查,包括保安掃描及檢視,確保沒有其他漏洞;保安運作中心持續全天候監察內外異常情況及敏感資料外洩風險,並就異常情況立即升級跟進。
醫管局資訊科技主管張淑英補充,緊急維修工作進行期間,將會有職員在場檢查承辦商的維修系統。醫管局資訊科技服務委員會主席、科技創新界議員邱達根指出,會禁止相關承辦商參與醫管局的投標。
對於本次事件披露了病人姓名、身份證號碼等,承辦商日後是否仍有機會接觸相關資訊,醫管局舉例指,如病人需要進行電腦斷層掃描及磁力共振掃描時,為了保障病人安全,必須以小量資料核實病人身份,並在醫療儀器中存取,故承辦商可以接觸,不過局方會在承辦商進行維修前,要求簽署保密協議。
香港資訊科技商會榮譽會長方保僑接受《星島》訪問時表示,發生外判承辦商員工偷走病人資料事件後,最簡單杜絕的方法是以後只允許對方進行系統維護,不允許存取病人及員工資料,有關個人資料的資料庫只由醫管局員工自行升級,「例如找人upgrade(升級)iPhone後,順便叫人up(加入)埋啲(病人)資料,對方下載入自己電腦後再up完啲資料,又無刪除,咁就攞埋資料走咗」。
方保僑指出,若真有需要外判承辦商人員存取病人資料才可加入系統,就要認真監察,確保對方完成工作後在自己的裝置中「永久刪除」有關資料,並非只按delete(刪除),因為刪除了也可以recover(復原),要想方法令對方不可復原,例如換一些其他資料放入對方硬盤的同一位置,而有關做法有程式可以做到,難度並不高。
另外,方說如果能將病人資料加密是最理想,但一些醫療儀器的系統可能不能兼容,故此技術上未必可行。他強調,每一次進行監察工作均要認真及仔細,「要當完全唔信外判商」。 實政圓桌召集人田北辰在社交媒體表示,醫管局仍未交代涉事開發員有否帶電腦到場,如有,「咁有冇邊個部門需要問責?」
