仁安醫院網絡系統遭黑客攻擊,至今未發現病人資料外洩或被盜用,衞生署要求院方四星期內提交詳細報告。仁安醫院表示,周一發現系統遭黑客攻擊,即時委託網絡保安專家團隊,為檢查系統及修復,成功堵塞漏洞,院方至今未有與黑客有任何形式接觸,亦沒有收到贖金要求。

醫院指,所有病人資料一向有加密,事件後院方啟動緊急應變機制,維持病人服務及日常運作,並就事件通知衞生署、個人資料私隱專員公署及警方 。

仁安醫院嚴厲譴責任何形式的網絡攻擊行為,又指所有涉及病人資料的檔案均已適當加密及以密碼保護,直至目前為止,院方並未發現有任何病人資料洩漏或被盜用。

傳院方遭勒索軟件攻擊 黑客要求1000萬美元贖金

據了解,院方遭到「LockBit」勒索軟件攻擊,大量檔案被黑客加密進行勒索,當中涉及化驗室電腦系統。黑客要求院方不要報警,亦不要嘗試刪除或改動被加密的檔案,並要求院方用指定瀏覽器接洽,並提出1000萬美元贖金,折合約7800萬港元,院方未有支付。

衛生署要求四周內交報告

衛生署表示,於星期一接獲通報事件,並即時作出跟進。據署方初步了解,事件未有涉及病人資料或影響醫院服務安全,已要求院方於四星期內提交詳細報告,調查仍在進行中。

私隱專員公署回覆查詢時指,公署在事發翌日接獲通報,已建議仁安醫院盡快通知受影響人士,並已根據既定程序展開循規審查。

警方指,周一接獲仁安醫院職員報案,指發現醫院網絡系統異常,部分電腦檔案消失,但未有涉及個人資料,院方正修復系統,遂向警方備案,案件列作「雜項」處理,由沙田警區刑事部跟進調查。警方指已主動聯絡院方進一步了解事件,並提供協助。

彭鴻昌:人手處理醫療紀錄或增誤診風險

據了解,醫院電腦系統未恢復正常運作,須改用人手處理醫療紀錄,及編排醫護當值。仁安醫院在聲明中指,繼續維持病人服務及日常運作。關注病人權益的社區組織協會幹事彭鴻昌擔心會增加誤診風險,認為若電腦系統上的病歷資料受影響,醫生可能無法精準對症下藥,而醫護轉用紙筆記錄病人資料,可能有手民之誤,或者手寫字體太潦草,影響日後跟進和治療。他說以往較少出現醫療機構系統被攻擊,認為今次事件提醒全港公私營機構,有必要提升和維護系統保安。

專家認為事件或涉及系統未更新

香港資訊科技商會榮譽會長方保僑認為,事件起因可能是醫院軟件或硬件未有升級,又或者員工不慎開啟釣魚電郵,造成保安漏洞,相信黑客已操控部分檔案進行勒索。他指,「LockBit」勒索軟件攻擊算是普遍,機構應為系統安裝防毒和防入侵的軟件,經常更新系統,提醒員工提防釣魚網站。

電腦安全研究員賴灼東指,醫療機構往往是黑客主要目標之一,因為將病人資料上鎖,可能會對病人生命安全構成危險,醫療機構往往需要被迫繳交贖金,形容醫療機構在外國受黑客攻擊或勒索情況普遍。他又指,公立醫院的資訊保安跟循政府標準,有足夠資源和人手,網絡設計相對較完善,亦會定期進行滲透性測試,但難言私家醫院是否同樣有意識跟從政府的資訊保安的標準,可能較易出事。 

賴灼東又指,醫院使用的軟件很多涉及物聯網,系統更新可能涉及龐大成本,而部份有漏洞的系統亦有可能已經連接上互聯網,容易被黑客入侵。