香港醫療機構通報病人資料遭未經授權取走及洩漏 逾5.6萬人受影響 HKCERT籲加強防護主動應對風險

(香港,2026年4月4日)香港網絡安全事故協調中心(HKCERT)就近日一宗涉及本地醫療機構的資料泄漏事故發出資訊保安警示。醫院管理局(醫管局)表示,其恆常監察系統於4月3日凌晨約2時發現一宗懷疑未經授權將病人資料取走並於第三方平台洩漏的個案,並於同日上午報警及通報個人資料私隱專員公署。事件涉及九龍東醫院聯網超過56,000名病人,外洩資料包括病人姓名、性別、身份證號碼、醫院檔案號碼及手術內容等。醫管局強調,事件不涉及網絡攻擊,並已即時暫停承辦商的系統維護工作。醫管局將全面配合警方調查,並透過「HA Go」應用程式、郵寄及電話方式通知受影響病人。

HKCERT提醒,外洩資料可能被不法分子用於身份盜竊、釣魚攻擊、社交工程詐騙及勒索等網絡罪行。鑑於此類事故對個人及機構可能帶來持續風險,HKCERT強烈建議機構與市民及早採取主動防禦策略,提升整體安全水平:

個人層面

  1. 警惕釣魚及社交工程攻擊:小心處理可疑電郵、訊息及來電,切勿輕易提供個人或登入資料,提防不法分子利用外洩資料作出釣魚及社交工程攻擊。
  2. 監察個人身份及財務活動:定期檢查銀行帳戶、信用卡及醫療紀錄,留意有否不明登入紀錄、異常存取、不明交易紀錄等。
  3. 啟用多重認證(MFA)功能:為所有重要網上帳戶(包括醫療平台、銀行、公共服務)啟用多重認證功能。
  4. 定期更改密碼:為重要帳戶設定高強度和獨一無二的密碼,避免多個帳戶共用同一組密碼。
     
  5. 檢查裝置安全:為電腦及手機進行安裝防毒軟件,定期進行掃描,移除潛在威脅。
  6. 緊貼資訊保安消息:關注 HKCERT 最新保安警報及建議,獲取即時威脅通報。
  7. 尋求協助:如發現個人資料被外洩,可以向 HKCERT 和香港個人資料私隱專員公署報告和尋求協助。
     

機構層面

  1. 加強監管承辦商及供應商的網絡保安措施:建立針對供應商的網絡安全政策及標準,並將網絡安全要求加入對供應商質素評估項目及合約條款內,要求供應商嚴格執行;定期審核第三方系統的安全風險及資料處理流程,以確保外判商持續符合安全標準及合約規定,以降低外部風險;對於第三方系統的接入存取權限,應採用最少權限原則,如採用特權存取管理及限時訪問權限等方案,來加強保護敏感資料與核心系統。
  2. 嚴格資料存取管理:限制敏感資料(如醫療紀錄、身份資料)的存取權限,定期檢視及更新權限設定,並確保第三方存取受到監控。
  3. 資料加密與保護:在資料儲存及傳輸時使用高強度加密技術,防止資料被截取或洩露。
  4. 建立資料外洩應變計劃:包括事故通報、風險評估、通知受影響人士及補救措施,並與供應商協調應變。
  5. 定期審核及監察第三方活動:部署監察系統,檢查異常資料存取行為,並保留完整審計記錄。
  6. 全體員工及承辦商培訓:提供網絡安全、資料保護及合規培訓,減低因人為疏忽導致資料外洩的風險。
  7. 定期備份資料:確保備份資料安全儲存並加密,以便在事故發生後能快速恢復系統運作。
  8. 持續提升安全意識:包括定期檢討安全政策、更新防護措施及留意HKCERT 有關最新的網絡安全資訊及建議。
  9. 多重認證(MFA)及帳戶安全:雖然本事件非網絡攻擊,但仍建議為系統管理帳戶及資料庫啟用MFA,防止未經授權登入。
  10. 通報網絡安全事故:如發現機構系統被入侵,可以向 HKCERT 報告和尋求協助,如事故涉及個人資料應立即向個人資料私隱專員公署報告。
     

企業或公眾如欲向 HKCERT 報告與資訊保安相關的事故,可以填寫網上表格:https://www.hkcert.org/zh/incident-reporting或致電24小時熱線電話:(852)8105 6060。如有其他疑問,歡迎發電郵至hkcert@hkcert.org 與HKCERT聯絡。

-完-

紧贴我们
订阅香港生产力促进局电子报

透过电邮取得本局的最新资讯

请即注册

服务

支援和资源

创科录

关于香港生产力促进局

私隐声明 使用本网站表示你接受有关的使用条款 职业健康及安全政策 (PDF版) 恶劣天气下的服务安排 网站指南 联络我们

© 香港生产力促进局 版权所有,不得转载

首页 线上对话 联络我们 职位空缺
招标资料 订阅