医疗中心的病人个人资料管理系统遭未获授权查阅 — 保障资料第4原则 — 个人资料的保安
背景
一间医疗中心向私隐专员公署通报,指其载有病人个人资料的伺服器遭勒索软件攻击,导致载有约100,000名病人个人资料的档案被恶意加密。黑客要求该医疗中心支付赎金,为被加密的档案解锁。受影响的个人资料包括姓名、身份证明文件号码、电话号码、出生日期、地址及医疗报告。
是次事件可能源于该医疗中心使用非最新版本的防火墙韧体,以致黑客利用防火墙未修补的漏洞透过保密插口层虚拟私有网络(SSL VPN)遥距执行命令或程式,从而窃取管理员帐户名称及密码,其后进一步安装勒索软件将载有病人个人资料的档案加密。事发时,该医疗中心并没有制订漏洞及修补程式管理政策及程序。
补救措施
在收到该医疗中心的通报后,私隐专员公署展开了循规调查,并向他们发出了执行通知。该医疗中心因应是次资料外泄事故采取了各项补救措施,包括更新防火墙韧体,修补相关的保安漏洞,以及为资料保安系统进行一系列的提升。该医疗中心亦根据公署向他们发出的执行通知制订了漏洞及修补程式管理政策及程序,并为所有远端存取个人资料的用户实施多重认证功能。
借鉴
医疗机构一般都会持有大量属敏感性质的病人资料,载有这些资料的资讯系统无可避免会成为黑客的入侵目标。是次事件反映适时更新保安装置和软体是维护资讯安全的重要一环。软体和装置的更新通常包含了修复先前版本中的漏洞和弱点,提高系统的安全性。机构应制订清晰的资讯系统保安政策及程序,并采取措施以确保员工遵循有关政策及程序行事。
上载日期:2025年2月