醫管局承辦商員工涉盜取病人資料 邱達根：核心系統採用最高標準防護

醫管局日前發生資料外洩事件，5.6萬多名來自九龍東醫院聯網的病人及少量員工的資料受影響。醫管局資訊科技服務委員會主席邱達根今(17日)在電台節目表示，事件被定性為「盜取」，起因是一名外判系統承辦商的開發人員，違反守則及合約規定，將病人資料非法下載至不屬於醫管局的電腦。局方已就事件報警，並採取多項高規格措施加強資訊保安。

事件定性為盜竊 暫停供應商權限

邱達根透露，事件的調查仍在進行中，但已明確將其定義為一宗「盜取事件」。周邊系統的供應商管理出現漏洞，有個別人員非法下載資料。就此，醫管局暫停所有供應商對系統的存取權限，同時，涉事的承辦商將被禁止參與醫管局未來的投標，直至釐清其內部責任為止。

醫管局資訊科技服務委員會主席邱達根。資料圖片

「周邊系統」成漏洞核心

邱達根再三澄清，是次資料被盜取的系統並非醫管局的核心企業資訊科技系統（CMS）他解釋，醫管局內有大量連接不同醫療單位及地區機構的系統，例如眼科使用的驗眼機亦有機會儲存病人的數據。此類系統運作時，需要從中央系統讀取病人數據以核對身份。他指出，醫管局對核心系統採用了最高標準的防護，但周邊系統的維修保養，無可避免地需要第三方供應商接觸硬件或數據，要依靠合約約章釐清所屬權限。

緊急維修須在加強監察下進行

邱達根表示所有緊急維修工作，都必須在醫管局的加強監察下進行。他闡述，以往外判商或可根據合約自行檢查系統，但在此段非常時期，供應商必須先提出緊急維修申請。獲批後，局方會考慮派員親身監察，或對維修過程進行錄影，確保過程中沒有任何資料外洩的風險。他形容這是目前的權宜之計，接下來將會全面審視現行制度，包括與外判商簽訂的合約條款，確保當中清晰列明接觸數據時的守則與責任。