醫療中心的病人個人資料管理系統遭未獲授權查閱 — 保障資料第4原則 — 個人資料的保安
背景
一間醫療中心向私隱專員公署通報,指其載有病人個人資料的伺服器遭勒索軟件攻擊,導致載有約100,000名病人個人資料的檔案被惡意加密。黑客要求該醫療中心支付贖金,為被加密的檔案解鎖。受影響的個人資料包括姓名、身份證明文件號碼、電話號碼、出生日期、地址及醫療報告。
是次事件可能源於該醫療中心使用非最新版本的防火牆韌體,以致黑客利用防火牆未修補的漏洞透過保密插口層虛擬私有網絡(SSL VPN)遙距執行命令或程式,從而竊取管理員帳戶名稱及密碼,其後進一步安裝勒索軟件將載有病人個人資料的檔案加密。事發時,該醫療中心並沒有制訂漏洞及修補程式管理政策及程序。
補救措施
在收到該醫療中心的通報後,私隱專員公署展開了循規調查,並向他們發出了執行通知。該醫療中心因應是次資料外洩事故採取了各項補救措施,包括更新防火牆韌體,修補相關的保安漏洞,以及為資料保安系統進行一系列的提升。該醫療中心亦根據公署向他們發出的執行通知制訂了漏洞及修補程式管理政策及程序,並為所有遠端存取個人資料的用戶實施多重認證功能。
借鑑
醫療機構一般都會持有大量屬敏感性質的病人資料,載有這些資料的資訊系統無可避免會成為黑客的入侵目標。是次事件反映適時更新保安裝置和軟體是維護資訊安全的重要一環。軟體和裝置的更新通常包含了修復先前版本中的漏洞和弱點,提高系統的安全性。機構應制訂清晰的資訊系統保安政策及程序,並採取措施以確保員工遵循有關政策及程序行事。
上載日期:2025年2月