醫管局洩資料案 系統開發員落網
涉未獲聯合醫院授權 遠端非法下載病人醫護個資
九龍東醫院聯網逾5.6萬名病人的醫療紀錄,以及逾千名醫管局員工個人資料檔案包括姓名、性別、身份證號碼等,早前被人上載至「暗網」供免費下載。警方本月3日接獲醫管局通報展開調查,鎖定外洩源頭來自一間外判系統維護承辦商,前日在天水圍以涉嫌有犯罪或不誠實意圖而取用電腦罪名,拘捕30歲系統開發員,相信他未獲聯合醫院授權,透過遠端存取方式非法下載部分病人及醫護人員資料,警方將透過法理鑑證追查有否其他人涉案,以及竊取資料的動機。
警方昨公布案情指,上周接報後全面檢視醫管局內部多個資訊系統,分析日誌及存取紀錄,成功追溯資料外洩源頭,隨即到涉事外判系統維護承辦商的兩處辦公室,檢取逾60部數碼裝置,包括伺服器、電腦、手機及存儲設備進行數碼鑑證工作。最終鎖定一名系統開發員,涉透過遠端存取方式非法從醫管局資訊系統中竊取資料,據悉主要涉及聯合醫院,警方已要求相關平台移除涉案檔案。
停外判商接觸其他系統權限
醫管局策略發展總監夏敬恒指該承辦商負責九龍東聯網其中一個主要與手術室相關系統的維護工作,系統存有手術病人部分個資和手術程序等資訊,與臨床醫療管理系統(CMS)不相通,故影響範圍僅限相關手術室資訊。承辦商有為其他聯網醫院提供類似系統的維護工作,局方已即時停止其接觸系統的權限,並加強各項系統的保安監察,暫未發現異常。
九龍東醫院聯網資訊科技統籌袁家兒表示,已即時啟動應變機制,主動聯絡受影響病人,包括透過「HA Go」流動應用程式通知3.7萬多名已登記該程式病人,並設查詢熱線。至於1.8萬多未登記「HA Go」的病人,局方復活節假期已調動人手致電近9,000位病人解釋,同時寄出1.8萬多封信冀及時通知病人,並提醒警惕來歷不明電話慎防詐騙。
香港資訊科技商會榮譽會長方保僑認為,醫管局日後需加強監管,如系統所有資料要加密、避免外判公司帶走、系統升級前確保所有資料已移除,才能讓外判公司接入電腦、不准攜帶其他電子用品進入工程範圍等。
