医管局5.6万病人资料外泄 方保侨：或涉临时帐号漏洞或内部员工泄密 倡加密病人资料

医管局发生病人资料外泄事件，5.6万九龙东医院联网病人受影响。对于医管局指事件不涉网络攻击，并已即时暂停承办商系统维护工作，香港资讯科技商会荣誉会长方保侨今（4日）接受《星岛》访问表示，第三方承办商有机会在维修过程中，于医院内部网络系统开设一些临时管理帐号，但完成维修后没有删除被流出，“某程度上，的确不算是网络攻击，但始终是导致资料外泄的一个漏洞”。他称，看现阶段公布资料，亦不排除可能是有内部员工偷出资料，仍要等待医管局公布最终调查结果。

医疗系统资料外泄比一般机构外泄更敏感

方保侨表示，今次外泄资料不涉及病人电话，但由于涉及人名及身份证号码，其实有机会反过来找回受影响病人的电话号码，黑客或犯罪分子再透过这些敏感资料致电病人，告诉对方所患的病博取信任进行诈骗，会是较常见做法。他又称，医疗系统资料外泄比一般机构外泄更敏感，举例网上购物系统外泄，除了人名、地址、身份证等，可能也只是购物纪录，“见到你买两卷厕纸，就算知道都没什么大不了”，但事涉病人医疗纪录，资料相对更为敏感、“比较麻烦”。

方保侨又提到，以往医管局人员遗失USB时候也说资料会加密，但是次档案完全没有加密，怀疑联网有员工工作后把解密档案放在某些电脑，“所以只有几万个（病人资料），而不是几十万，甚至更多”。他重申，外判商和医管局内部员工的操守一样重要，例如不能将资料带去医院，如要测试系统，应采用一些没有病人私隐的资料作测试。更重要的是，所有病人资料应该要加密，如果有资料外泄，有加密的资料被解密机会较低，防止病人资料外泄事件出现。