張巧儀(左二)稱正調查疑犯的犯案動機。(鍾式明攝)
醫管局日前發生資料外洩事故,約5.6萬名病人的資料疑未經授權取走,並在第三方平台洩露。經調查後,警方於本周二以「不誠實使用電腦」罪,在天水圍拘捕一名30歲本地男子,為醫管局外判系統維護承辦商的系統開發員。警方目前正調查其犯案動機,包括是否涉及金錢利益。醫管局表示,至今暫時發現外洩的資料全屬九龍東聯網手術室相關系統;目前已暫停承辦商接觸系統。
警方網絡安全及科技罪案調查科總督察李俊岷表示,由於案件涉及敏感的病人及醫護人員個人資料,引起社會高度關注。警方在本月3日接手調查後,聯同數碼法理鑑證及事故應變隊人員,全面檢視醫管局內部多個資訊系統,並仔細分析涉案系統的日誌紀錄及存取紀錄,尋找資料外洩來源。
警方其後在屬於同一系統承辦商,位於葵涌及科學園的兩處辦公室,檢取超過60部數碼裝置,包括伺服器、電腦、手機及存儲設備,並作數碼鑑證。最終鎖定一名系統開發員,他曾在資料外洩前,在未獲得聯合醫院授權下,非法下載病人資料。警方遂於本周二,在天水圍拘捕該名涉案的30歲系統開發員。警方將透過法理鑑證,檢視有否其他涉案人士;其犯案動機則仍在調查中。
承辦商涉其他聯網工作 已禁其接觸系統
醫管局策略發展總監夏敬恒表示,該承辦商負責九龍東聯網其中一個主要和手術室運作相關的系統的維護工作,系統載有需要進行手術的病人的個人資料,以及手術程序等資料,由於系統與臨床醫療管理系統並不相通,而系統和承辦商沒有讀取病人完整醫療紀錄的權限,故今次外洩的資料僅限與手術室相關的資料。
夏敬恒續指,局方已即時實行多項跟進措施,包括檢視內部網絡系統等;事後亦已即時加強各項系統的保安監察,全面素描所有系統,暫未見異常。他續指,涉事承辦商亦有為其他醫院聯網進行同類系統維護工作,已終止他們接觸系統;醫管局未來亦會加強監察承辦商。
九龍東醫院聯網資訊科技統籌袁家兒表示,至今已向3.7萬名已登記HA Go的病人發送信息;而未有登記的1.8萬人,已在復活節致電近9,000名病人,餘下的會繼續聯絡。
網絡安全及科技罪案調查科警司張巧儀表示,目前正調查疑犯的犯案動機,包括有否收受金錢利益等。她又指,已要求相關平台將檔案移除。
香港資訊科技商會榮譽會長方保僑表示,醫管局日後須加強監管,例如系統所有資料需要加密、避免讓外判公司帶走任何資料、系統升級前確保所有資料已經移除,才能讓外判公司接入電腦、不准攜帶其他電子用品進入工程範圍等。
ADVERTISEMENT
送健之堂舒壓好眠足湯 x 石墨烯足浴袋
