透視鏡/家賊難防\蔡樹文
九龍東醫院聯網超過5.6萬名病人資料外洩,被捕30歲男子是醫管局外判系統承辦商的工作人員,涉嫌以不誠實意圖取用電腦,透過遠端存取方式,非法下載病人和醫護人員資料。
本案並非黑客入侵,不涉及醫管局電腦保安系統問題,但此刻安全並不意味高枕無憂。黑客發動攻勢前不會有預警,有人不斷策動網絡攻擊,尋找各大機構網絡安全漏洞盜竊敏感資料,藉此勒索;有些懷着政治目的犯案,當然亦有些是惡作劇損人不利己,千奇百怪,難以預計,上策便是自己做好防範。
今次事件顯示「最堅固的堡壘,往往從內部攻破」。外判系統承辦商有機會接觸到敏感資料,如何從機制上避免有人趁機下載相關資料,需要在系統設計及授權方面着手,加強規範。例如,一旦發現有人下載大量資料時,系統能否發出預警?特別是應否對遠端存取方式實施多重監控及預警通報措施?甚至規限只能在醫管局範疇內的電腦進行,或必須有第三方人員在場監察及授權。
