醫院管理局九龍東醫院聯網發生大規模個人資料外洩事故,涉及逾5.6萬名病人及員工資料。警方和醫管局今日(8日)開記者會,表示昨日於天水圍拘捕一名30歲本地男子,報稱為外判系統維護承辦商之系統開發員,他涉嫌「不誠實使用電腦」被扣留調查。醫管局強調,涉事系統與核心的「臨床醫療管理系統」(CMS)並無直接相通,病人的詳細醫療記錄未有流出。
警方網絡安全及科技罪案調查科(網罪科)警司張巧儀表示,4月3日醫管局發現有不明人士將涉及5萬6千多名病人的個人資料,包括姓名、性別、香港身份證等,及少量醫管局員工姓名上傳到網絡論壇供人下載。監管局即時向警方通報,並配合警方調查。
網罪科總督察李俊岷表示,網罪科接報後,聯同數碼法理鑑證及事故應變隊人員全面檢視醫管局多個系統,透過分析日誌及存取紀錄,發現外洩源頭涉及一名承辦商員工,在未獲授權下透過遠端存取非法下載敏感資料。
李俊岷又說,警方隨即突擊搜查承辦商位於葵涌及科學園的辦公室,檢走超過60部數碼裝置,包括伺服器、電腦及存儲設備進行數碼鑑證,並於昨日以「不誠實使用電腦」罪拘捕涉案男子,他正被扣留調查。警方目前正深入調查疑犯的犯案動機、是否涉及金錢利益,以及是否有其他涉案人士。
醫管局策略發展總監夏敬恒表示,醫管局恆常監察系統於上周五(3日)凌晨2時許發現,當局隨即通知相關執法及監管機構,並即時採取多項措施跟進,包括檢視內部網絡系統,確認系統運作安全正常。
夏敬恒說,醫管局發現有承辦商員工違反守則及合約規定,將病人資料下載至非醫管局電腦。該承辦商負責九龍東醫院聯網其中一個主要與手術室運作相關的系統,與維護工作有關。系統載有需要做手術病人的個人資料、手術程序等相關資訊。夏敬恒補充,涉及的系統與臨床醫療管理系統並不相通,因此涉及外洩的資料僅限手術室相關的資訊,系統承辦商沒有讀取病人完整醫療紀錄的權限。
醫管局已暫停所有承辦商接觸系統權限
他重申,醫管局非常重視網絡安全及病人私隱,當局已即時暫停所有承辦商接觸局方系統的權限。若需進行緊急維護,承辦商必須在醫管局人員的審批及全程監督下始能運作,並正全面檢視監管流程。
針對受影響的5.6萬名病人,九龍東醫院聯網資訊科技統籌袁家兒表示,醫管局已透過「HA Go」程式向約3.7萬名登記用戶發放訊息;至於剩餘1.8萬名未登記病人,當局已增派人手逐一撥打電話,目前已成功聯絡約9,000人,並寄出1.8萬多封掛號信。九龍東聯網亦已設立熱線5215 7326供市民查詢,至今處理300宗查詢。
被記者問到資料外洩會否涉及其它醫管局聯網,張巧儀回應,警方仍在調查,因警方檢取了大量電腦系統設施,需時作數碼化監證,不排除可能性。
夏敬恒補充,該承辦商亦有負責其它聯網的系統維護。醫管局檢視了整個系統和承辦商的系統,至今未有發現類似的情況發生,或資料洩漏,當局已加強監察。
至於當局會否中止與承辦商的合約。夏敬恒說,當局正根據合約條款,及法律意見審視,保留一切追究及跟進權利,包括相關合約和法律行動。
警方強調,外洩檔案曾被上載至網上論壇供人免費下載,呼籲市民切勿隨意下載或轉載相關敏感資料,以免觸犯「起底」等刑事罪行;同時提醒受影響人士警惕針對性的詐騙電話,如有懷疑可致電「防騙易」熱線18222求助。警方亦正要求相關平台移除資料。
翻查資料,外洩資料主要來自聯合醫院手術室運作及維護相關系統,涵蓋病人姓名、性別、身份證號碼、出生日期、醫院檔案號碼及手術內容等,另涉及小量員工的姓名與職級。醫管局行政總裁李夏茵早前向員工發信,重申內部網絡目前運作正常,不涉及網絡攻擊。@
-------------------
局勢持續演變
與您見證世界格局重塑
-------------------
🔔下載大紀元App 接收即時新聞通知:
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand
📰周末版實體報銷售點👇🏻
http://epochtimeshk.org/stores
