醫管局外洩病人資料|事件「不涉網絡攻擊」?專家質疑「語言偽術」:外判系統維護工作也要負責任
發佈時間:10:27 2026-04-06 HKT
醫管局近日發生病人資料外洩事件,逾5.6萬名九龍東醫院聯網病人的姓名、身份證號碼、手術內容等敏感資料,被上載至暗網。醫管局前九龍東聯網總監陸志聰今早(6日)在商台節目形容事件嚴重且不可接受,促局方從速做兩件事:盡快通知所有受影響人士;全面檢視系統漏洞,包括承辦商在風險處理上的要求。
就醫管局事發後回應指,事件不涉及網絡攻擊等因素,軟件及應用程式安全研究員賴灼東在同一節目質疑說法屬「語言偽術」,直言現時黑客已「睇實」香港不同機構外判營運商的工作,系統一有問題就會立即攻擊,即使不是攻擊機構的主網,實際上都是針對機構所持有的資料。他強調機構將資料維護的責任外判給營運商,自己都有一定的監察責任。
前聯網總監陸志聰:無法接受 促盡快通知病人
曾任九龍東聯網總監的陸志聰直言,看到新聞後第一個反應是「好嚴重」,涉及5萬多個病人的資料,連身份證號碼亦包括在內,「發生這種事,我就想,不可以接受」。他指出,當務之急是處理好首當其衝的受害人,即該5萬多名病人。局方應盡快通知他們,並清楚交代被盜竊的具體資料,「新聞稿講咗一句,但譬如有無我嘅地址、電話?呢個好似新聞稿就無講。但如果我係嗰幾萬個病人,我一定好緊張。」
對於洩漏原因,陸志聰同樣對醫管局的說法提出疑問。他留意到新聞稿提及洩漏的檔案是「原檔案」,認為情況奇怪,「如果你話一個原檔案,重要係幾萬人嘅資料,其實呢個喺任何一間公司,我想都唔會容許一個職員可以去下載到。」他強調不單是下載,即使是「睇」本身已經不被容許。他解釋,醫管局內部員工接觸病人資料有兩大原則:「個病人係咪你照顧緊?」以及「你有無需要?」,兩者須同時滿足。因此,他難以想像為何承辦商需要並可以接觸整個「原檔案」。
相關新聞:
九龍東聯網5.6萬名病人資料外洩 醫管局:事件不涉網絡攻擊 已即時暫停承辦商系統維護工作 向受影響病人致歉
醫管局病人資料外洩 陳凱欣憂打擊使用醫健通、HA Go信心 田北辰:涉聯合醫院麻醉科系統
醫管局九龍東醫院聯網5.6萬病人個資外洩 李夏茵:事件疑與有人非法盜取病人資料有關
賴灼東斥醫管局「語言偽術」 黑客早已盯上承辦商
對於醫管局稱事件不涉網絡攻擊,軟件及應用程式安全研究員賴灼東認為是「語言偽術」,直斥說法「好悶」。他解釋,網絡攻擊不一定是指攻擊醫管局的主核心網絡,「我肯定自從數碼港(資料外洩事件)之後,已經有一啲組織係睇住咗香港唔同嘅關鍵基礎設施,或者重要嘅基建,或者銀行等,然後睇佢哋有關嘅vendors(服務供應商),一路去掃瞄有無漏洞,一有問題就即刻去做嘢。」換言之,攻擊者可能早已入侵了維護系統的承辦商網絡,靜待機會竊取資料。
賴灼東又解釋,「原始檔案」通常是在系統維護或備份過程中,由營運商或維護人員將資料庫整筆匯出而產生,檔案可能十分龐大。他推斷:「好明顯就係個營運商『我想備份、做啲維護工作、將資料拎出嚟做測試』,就會有個原始檔案出嚟。」問題在於,該檔案有否在承辦商的伺服器上做好保護設定,以及被誰人下載。
外判不等於免責 專家倡設「跳板伺服器」
兩位節目嘉賓均認為,醫管局與承辦商對是次事件有共同責任。陸志聰指出,外判服務時,尤其涉及敏感資料,必須做好風險管理。他質疑:「承辦商有無需要去睇呢啲資料先?如果有,佢可以睇全部定係一部分呢?佢睇嘅時候,係咪每一次睇都要醫管局方在場呢?」
賴灼東則提出更具體的技術建議,認為醫管局及其他政府部門應採用「Jump Server」(跳板伺服器)作中介監控。所有承辦商的維護工作,都必須先通過該伺服器才能接觸到主系統,「所有營運商喺個跳板伺服器做嘅任何嘢,我哋見到,就已經可以阻止,停止咗,佢連抄嘅機會都無。」他指出,這種做法能實時錄影、監察及截停可疑操作,而非事後在暗網公布才後知後覺。
賴灼東坦言,這種嚴謹的監察措施需要資源,但不排除仍有人因「貪圖方便」而放寬權限。他總結,過去已多次發生類似因第三方服務商而起的資料外洩事件,形容「呢個套路一路去重複緊」,促請各部門反思,不能將責任完全外判,必須確保承辦商的監管水平符合自身標準,並作定期高密度監察。
相關新聞:
醫管局5.6萬病人資料外洩 方保僑:或涉臨時帳號漏洞或內部員工洩密 倡加密病人資料
醫管局外洩病人資料|數字辦 : 高度重視事件 籲市民提高警覺勿輕信陌生人
