衛生科學局●血庫數據疏漏
李錦松 報道
衛生科學局捐血者資料疏漏事件的舉報人相信是一名國外的“白帽黑客”,當局已同他取得聯系,並致力于確保他將曾經讀取的資料徹底銷毀。
根據當局的初步調查,衛生科學局聘用的網絡服務商Secur Solutions Group(簡稱SSG)于今年1月4日,把超過80萬名捐血者資料放在面向互聯網的網絡服務器。
這些資料爲1986年起,曾到衛生科學局捐血處登記的捐血者的姓名、身份證號碼、性別、捐血次數,最後三次捐血日期,以及在一些情況下,捐血者的血型、身高和體重。
大約九個星期後,也就是3月12日,這名相信來自國外的網絡安全專家成功登入網絡服務器讀取這批資料,他發現疏漏後立即通知本地的個人資料保護委員會。衛生科學局于隔天得知消息後,在約一個小時內,通過網絡服務商將所有資料從服務器清除。
根據初步調查,舉報人是一名頗具知名度的網安專家,撰寫過數篇關于網安疏漏的文章。當局指出,根據服務器的登入記錄,這名舉報人是唯一成功登入並讀取資料的網絡用戶。
當局目前已和這名舉報人通過電郵聯系,舉報人確認自己並不打算公開已讀取的資料。衛生科學局接下來應會和舉報人通話,盡所能確認曾經被他讀取的資料完全銷毀。
衛生科學局在2012年4月首次同SSG合作,而這家公司此次是爲了更新部分捐血中心電子系統,才向當局索取捐血者個人資料。
按照當局與SSG的合約條例,服務商有責任確保所獲得的資料受保護,外人無法讀取。
當局正在調查服務商將資料放上面向互聯網的服務器的原因,包括事件是否涉及惡意行爲或因素。
這起網安事故發生後,衛生科學局便接洽所有外包服務商,同他們合作以確認所有個人資料受到保護,同時確保服務商在任何時候都不會將資料放上面向互聯網的服務器。
衛生科學局局長莊美玲醫生昨晚在官方網站刊登一篇致捐血者的信函交代這次網安事故的經過,同時強調當局對保護捐血者資料的高度重視。
她說:“我們爲這次疏漏真誠地向所有捐血者致歉……並再次保證,衛生科學局的中央血庫系統沒有受任何影響,我們接下來也將對外包服務商加強監督與檢查,確保所有捐血者資料獲得保護。”