病人資料外洩｜醫管局稱不涉網絡攻擊　專家質疑屬語言偽術

逾 5.6 萬名九龍東醫院聯網病人資料外洩！當中疑包括病人姓名、身分證號碼、性別、出生日期、醫院編號、預約日期和健康資訊。消息指，事件疑與聯合醫院麻醉科外判承辦商進行的系統升級有關。醫管局向受影響病人致歉，指事件不涉網絡攻擊等因素。有專家質疑屬「語言偽術」，因即使黑客沒有攻擊局方的核心網絡，惟外判營運商被攻擊，也是針對醫管局資料。

軟件及應用程式安全研究員賴灼東在商台節目《在晴朗的一天出發》中指出，醫管局稱不涉及網絡攻擊的說法屬語言偽術。他相信，自 2023 年數碼港資料外泄事件後，已有組織一直緊盯香港不同關鍵基礎設及不同主要機構的外判營運商，即使機構將資料維護責任外判營運商，自己都有一定的監察責任。他建議醫管局及各政府部門，應實時監控承辦商的維護工作，一旦發現異常便可立刻攔截，而非後知後覺。

據了解，今次資料外洩事件，最先在暗網中的黑客論壇被發現。醫管局向受影響病人致歉，初步相信不涉網絡攻擊，並稱將採取一切可行措施，務求將對病人的影響減到最低。警方則表示，已交網絡安全及科技罪案調查科跟進，暫無人被捕。數字辦稱高度重視事件，已聯絡醫管局緊密跟進情況，持續進行情報監察。

醫管局行政總裁李夏茵向員工發信，指外洩資料以電腦原始檔案形式顯示，包含病人姓名、性別、身分證號碼、醫院檔案號碼及手術內容等資料，當中包括一個聯網小量員工姓名及職級，但未有發現員工身分證號碼或其他個人資料在當中。

李指，醫管局高度重視並嚴肅處理此事，已採取多項措施加強醫療系統以防止資料外洩；事件疑與有人非法盜取病人資料有關。

實政圓桌召集人田北辰在社交平台發文透露，此次事故疑涉及聯合醫院麻醉科的系統，該系統曾於 4 月 1 日由外判承辦商進行升級，其後便發生資料外洩。　

HKCERT 提醒，外洩資料可能被不法分子用於身分盜竊、釣魚攻擊、社交工程詐騙及勒索等網絡罪行，強烈建議市民及早採取主動防禦策略，包括要小心處理可疑電郵、訊息及來電；定期檢查銀行帳戶、信用卡及醫療紀錄，留意有否不明登入紀錄、異常存取、不明交易紀錄等。如發現個人資料外洩，可向 HKCERT 和香港個人資料私隱專員公署報告和尋求協助。

醫管局將盡快透過 HA Go 應用程式及電話短訊通知受影響病人，九龍東醫院聯網亦已設立熱線 5215 7326，供病人就事件查詢。