局方指事件不涉网络攻击 专家疑系统未删维修后门
更新时间:03:00 2026-04-05 HKT
发布时间:03:00 2026-04-05 HKT
发布时间:03:00 2026-04-05 HKT
字体大小
对于医管局指今次资料外泄事件不涉网络攻击,并已即时暂停承办商系统维护工作,香港资讯科技商会荣誉会长方保侨接受《星岛》访问表示,第三方承办商有机会在维修过程中,于医院内部网络系统开设一些临时管理帐号,但完成维修后没有删除这些后门并被流出,「某程度上,的确不算是网络攻击,但始终是导致资料外泄的一个漏洞」,根据现阶段公布的资料,亦不排除内部员工偷出资料,仍要等待医管局公布最终调查结果。
方保侨表示,今次外泄资料虽不涉及病人电话号码,但由于涉及姓名及身份证号码,其实有机会反过来可找回受影响病人的电话号码,黑客或犯罪分子再透过这些敏感资料致电病人,告诉对方所患病情,博取信任后进行诈骗,这会是较常见的做法。
他又称,医疗系统资料外泄比一般机构外泄更敏感,例如网上购物系统外泄,除了姓名、地址及身份证号码等,可能只是购物纪录,「见到你买两卷厕纸,就算知道都没甚么大不了」;若涉病人医疗纪录,资料相对更为敏感、「比较麻烦」。
吁将资料加密减外泄风险
方保侨又提到,以往医管局人员遗失USB记忆体,也说资料会加密,但是次档案完全没有加密,怀疑联网有员工工作后把解密档案放在某些电脑,「所以只有几万个(病人资料),而不是几十万,甚至更多」。他重申,外判商和医管局内部员工的操守一样重要,例如不能将资料带离医院,如要测试系统,应采用一些没有病人私隐的资料作测试。更重要的是,所有病人资料应该要加密,如果有资料外泄,有加密的资料被解密机会较低,有助防止病人资料外泄事件出现。
