醫療中心的客戶個人資料管理系統遭未獲授權查閱 — 保障資料第4原則 — 個人資料的保安
背景
一間醫療中心向私隱公署通報,指其載有病人檔案的客戶個人資料系統被勒索軟件攻擊,導致約115,000名病人的個人資料,包括姓名、性別、出生日期、香港身份證號碼、聯絡號碼及地址、電郵地址、職業、家族歷史及病人緊急聯絡人的資料外洩。是次事故源於該醫療中心使用過時的操作系統及軟件,導致其系統容易遭受攻擊。
補救措施
在收到該醫療中心的通報後,私隱公署展開了循規審查,並向該醫療中心提供以遵從《私隱條例》相關規定的建議。該醫療中心為其系統進行保安漏洞掃瞄、更新相關的軟件及操作系統,以及每週定期為有關系統進行檢查,以確保所有安裝的軟件均是最新版本。與此同時,該醫療中心承諾每年聘請獨立網絡安全公司為其系統進行保安審計。
借鑑
資料使用者使用過時的軟件及操作系統可引致嚴重的安全漏洞。醫療機構持有大量屬敏感性質的病人資料,因此應採取切實可行的措施,確保其系統沒有安裝過時或不受技術支援的軟件,以減低遭受網絡攻擊的風險。醫療機構應定期進行漏洞掃瞄以識辨系統內潛在的保安漏洞,及適時進行修補。
上載日期:2023年2月