明報社論｜外泄影響大　資料安全要做好｜全文

已複製連結

醫院管理局近日發生資料外泄嚴重事件，5.6萬名病人的敏感資料遭人放上暗網，局方聲稱不涉「網絡攻擊等因素」，並暫停了外判承辦商的系統維護工作，但事件無疑再次敲響了公營機構數據保安的警鐘。醫管局作為全港最大的醫療服務提供者，掌握百萬計市民最私密最敏感的臨牀紀錄，好好保護這些資料不僅是基本要求，更直接關乎醫患信任的維繫。今次資料外泄，究竟是技術失誤還是涉及刑事成分，有待調查，然而就算真的錯在外判商，醫管局方面對事件依然有不可推卸的責任。當局必須全面檢視漏洞所在，加強保護病人敏感資料，給公眾一個合理交代。

根據醫管局說法，局方恆常監察系統上周五凌晨發現一宗懷疑未經授權將病人資料取走並於第三方平台泄漏個案，並於早上報警及通報私隱公署；另一邊廂，有網絡安全專家同日在暗網上發現有醫管局資料外泄。當局初步了解後表示，外泄資料包括病人姓名、身分證號碼、性別、出生日期、醫院檔案編號、預約日期，以及手術內容等個人健康資料，受影響者超過5.6萬人。以往病人資料外泄，通常涉及遺失硬盤或手提電腦，但今次是醫管局網絡內部資料外泄，性質不同兼且資料數量龐大，病人資料的深入及詳細程度，更屬罕見。

醫院是很重要的關鍵基礎建設，處理大量敏感資料，資訊保安必須做到滴水不漏。事實上，《保護關鍵基礎設施（電腦系統）條例》今年1月起生效，受規管的八大界別，便包括了醫療保健，政府期望今年中分階段指定受規管的「關鍵基礎設施營運者」及其「關鍵電腦系統」，預料名單將涵蓋約百機構。雖然當局基於保安原因，不會對外公布具體名單，然而相信一般人都會認為，醫管局沒理由不在名單之上。今次資料外泄事態嚴重，倘若資料落入不法之徒手中，有可能成為詐騙病人的材料。局方有責任盡快通知所有受影響的病人，公眾也要特別提高驚覺，提防有人假冒醫院職員行騙。

這次外泄的病人資料，屬於九龍東醫院聯網，而在事發前兩天，據報有外判商曾為聯合醫院一套網絡系統進行升級維護。由於醫管局方面表示，發現資料外泄當天，已即時檢視了內部網絡系統，確認「運作安全正常」，意味事件不涉及黑客直接攻擊局方「主網」盜取相關資料；醫管局方面宣布，即時暫停外判承辦商的系統維護工作，更令外界關注外判承辦商會否是資料外泄的源頭。當然，事件真相為何，仍然有待警方等相關部門深入調查，現階段不宜過早下定論。就算外泄源頭真是外判商，亦不代表醫管局方面全無責任。

資料外泄事件，其中一個最常見的原因，是員工不慎點擊帶有病毒、木馬或釣魚病毒的電子郵件，導致整體系統出現安全漏洞，讓黑客得以入侵，然而更多時候其實都是一些低級人為錯誤，例如遺失手提電腦、發錯電郵等，又或員工沒有跟從公司政策處理資料，導致資料意外泄漏。私隱專員去年接獲246宗資料外泄事故通報，按年上升逾兩成，當中只有三成多涉及黑客入侵，六成多屬人為疏忽或錯誤。今次事故涉及原始檔案外泄，問題究竟出在技術失誤，還是有人不誠實取用並出售資料，固然是一個重點調查方向，然而另一關鍵問題是局方有否做好把關工夫，確保相關原始檔案不會遭人不當轉移。

任何公私營機構都不會隨便讓員工接觸敏感資料。根據醫管局規定，局方人員如要閱覽病人檔案，必須符合兩原則，即病人目前由查閱者照顧，以及有實際需要閱覽其病歷等資料。就算要讓外判商進行系統升級維護，局方亦有責任小心保護病人的個人檔案，例如採取多重認證程序，確保原始檔案不會被人隨便亂動甚或複製備份。醫管局將內部系統維護工作外判，不等於責任也可以外判。局方須確保外判商有能力及經驗處理病人敏感資料，並有做好風險管理措施，此外亦須設有足夠的制度保障和「技術圍欄」，以防外判商人員不當處理敏感資料，令它們有機會輾轉落入黑客手中。

保護關鍵基礎設施條例規定，指定營運者須在獲悉嚴重電腦系統保安事故12小時內通報。不管醫管局是否在指定營運者名單之上，局方確有在半天內報警並通報私隱公署，至於可否更早向公眾主動交代事件、毋須在大半天後回覆傳媒查詢時才確認，局方強調由於事件疑涉刑事成分，對外公布時間及內容必須符合刑事調查相關法例。局方若是出於配合執法部門而未有在通報後馬上公開事件，不能說是隱瞞；當然，從公眾角度，今次事故牽涉這麼多人，希望盡早知悉，亦屬人之常情，分寸如何拿揑，值得政府思考。近年政府宣傳常常提醒市民注意網絡安全，可是公營機構及政府部門卻一再發生資料外泄事故，難免令人覺得當局自己也要提高安全意識。醫健通及HA Go等數碼平台正持續擴展，為免影響市民使用這些數碼平台的信心，當局實有必要在網絡安全方面多下工夫。