医管局资料外泄前联网总监称不可接受
发布时间:03:00 2026-04-07 HKT
医管局近日发生资料外泄事件,逾5.6万名九龙东医院联网病人的敏感资料被上载至暗网。前九龙东联网总监陆志聪形容事件严重且不可接受,促局方尽快通知所有受影响人士,并全面检视系统漏洞,包括承办商在风险处理上的要求。有资讯科技安全专家质疑医管局「事件不涉及网络攻击」的说法属「语言伪术」,直言现时黑客已「睇实」香港不同机构外判营运商的工作,系统有问题立即攻击,即使不是攻击机构的主网,实际上都是针对其所持有的资料,强调机构有监察责任。
陆志聪昨日在电台节目直言,看到新闻后第一个反应是「好严重」,因涉及5万多名病人的资料,连身份证号码亦包括在内是「不可以接受」。他指出,当务之急是尽快通知有关病人,并清楚交代被盗窃的具体资料,「新闻稿讲咗一句,但譬如有无我嘅地址、电话?呢个好似新闻稿就无讲。但如果我系𠮶几万位病人,我一定好紧张。」
对于泄漏原因,陆志聪同样对医管局的说法提出疑问。他留意到新闻稿提及泄漏的档案是「原档案」,认为情况奇怪,「如果你话一个原档案,重要系几万人嘅资料,其实呢个喺任何一间公司,我想都唔会容许一个职员可以下载到。」他强调不但是下载,即使是「睇」本身已不被容许。他解释,医管局内部员工接触病人资料有两大原则,包括:「个病人系咪你照顾紧」,以及「你有无需要」,两者须同时满足。因此,他难以想像为何承办商需要并可接触整个「原档案」。
促尽快联络病人交代
对于医管局称事件不涉网络攻击,软件及应用程式安全研究员赖灼东在同一节目表示,该说法是「语言伪术」、「好闷」。他解释,网络攻击不一定是指攻击医管局的核心网络,有黑客组织监视香港关键基础设施或重要基建、银行等,「睇佢哋有关嘅服务供应商,一路去扫描有无漏洞,一有问题就即刻去做嘢。」换言之,攻击者可能早已入侵了维护系统的承办商网络,静待机会窃取资料。
赖灼东又解释,「原始档案」通常是在系统维护或备份过程中,由营运商或维护人员将资料库整笔汇出而产生,档案可能十分庞大。他推断:「好明显就系个营运商『我想备份、做啲维护工作、将资料拎出嚟做测试』,就会有个原始档案出嚟。」问题在于,该档案有否在承办商的伺服器上做好保护设定,以及被谁人下载。
二人均认为,医管局与承办商对事件有共同责任。陆志聪指出,外判服务时,尤其涉及敏感资料,必须做好风险管理。赖灼东认为医管局及其他政府部门应采用跳板伺服器作中介监控,所有承办商的维护工作都必须先通过该伺服器才能接触到主系统,有关做法能实时录影、监察及截停可疑操作。
赖坦言,这种严谨的监察措施需要资源,但不排除仍有人因「贪图方便」而放宽权限。他总结,过去已多次发生类似因第三方服务商而起的资料外泄事件,形容「呢个套路一路重复紧」,促请各部门反思,不能将责任完全外判,必须确保承办商的监管水平符合自身标准,并作定期高密度监察。
另外,立法会议员陈凯欣担心病人因事件对医管局失去信心,称病人如果收到能确定病历的电话或电邮,可能误以为对方是信得过的医生,料更容易骗取病人信任;她亦关注医管局转交承办商的资料上是否设权限,「这些医管局现在全部都需要面对」,希望医管局召开记者会交代更多详情。
