九龙东联网外泄事件 医管局暂停供应商权限
发布时间:03:00 2026-04-17 HKT
医院管理局逾5.6万名九龙东医院联网的病人资料、逾千名员工资料外泄至「暗网」供人下载的事件于本月4日曝光后,警方3日后拘捕一名负责系统维护的外判承办商系统开发员。医管局昨表示,已即时暂停供应商的系统存取权限,同时加强监察紧急维修工作,会派职员在场检查承办商的维修系统。
加强监察紧急维修
医管局总系统经理(资讯科技策略与企业架构)王昱表示,涉事资料来自周边系统,为用作支援手术的文书系统,由承办商开发并需定期维护,只包含有限个人识别资料,不包括联络资料。医管局已即时采取措施,包括收紧存取控制,暂停供应商系统存取权限;紧急维修工作须在加强监察下进行;又即时展开紧急保安检查,包括保安扫描及检视,确保没有其他漏洞;保安运作中心持续全天候监察内外异常情况及敏感资料外泄风险,并就异常情况立即升级跟进。
医管局资讯科技主管张淑英补充,紧急维修工作进行期间,将会有职员在场检查承办商的维修系统。医管局资讯科技服务委员会主席、科技创新界议员邱达根指出,会禁止相关承办商参与医管局的投标。
对于本次事件披露了病人姓名、身份证号码等,承办商日后是否仍有机会接触相关资讯,医管局举例指,如病人需要进行电脑断层扫描及磁力共振扫描时,为了保障病人安全,必须以小量资料核实病人身份,并在医疗仪器中存取,故承办商可以接触,不过局方会在承办商进行维修前,要求签署保密协议。
香港资讯科技商会荣誉会长方保侨接受《星岛》访问时表示,发生外判承办商员工偷走病人资料事件后,最简单杜绝的方法是以后只允许对方进行系统维护,不允许存取病人及员工资料,有关个人资料的资料库只由医管局员工自行升级,「例如找人upgrade(升级)iPhone后,顺便叫人up(加入)埋啲(病人)资料,对方下载入自己电脑后再up完啲资料,又无删除,咁就攞埋资料走咗」。
方保侨指出,若真有需要外判承办商人员存取病人资料才可加入系统,就要认真监察,确保对方完成工作后在自己的装置中「永久删除」有关资料,并非只按delete(删除),因为删除了也可以recover(复原),要想方法令对方不可复原,例如换一些其他资料放入对方硬盘的同一位置,而有关做法有程式可以做到,难度并不高。
另外,方说如果能将病人资料加密是最理想,但一些医疗仪器的系统可能不能兼容,故此技术上未必可行。他强调,每一次进行监察工作均要认真及仔细,「要当完全唔信外判商」。 实政圆桌召集人田北辰在社交媒体表示,医管局仍未交代涉事开发员有否带电脑到场,如有,「咁有冇边个部门需要问责?」
