卫生科学局●血库数据疏漏
卫生科学局捐血者资料疏漏事件的举报人相信是一名国外的“白帽黑客”,当局已同他取得联系,并致力于确保他将曾经读取的资料彻底销毁。
根据当局的初步调查,卫生科学局聘用的网络服务商secur solutions group(简称ssg)于今年1月4日,把超过80万名捐血者资料放在面向互联网的网络服务器。
这些资料为1986年起,曾到卫生科学局捐血处登记的捐血者的姓名、身份证号码、性别、捐血次数,最后三次捐血日期,以及在一些情况下,捐血者的血型、身高和体重。
大约九个星期后,也就是3月12日,这名相信来自国外的网络安全专家成功登入网络服务器读取这批资料,他发现疏漏后立即通知本地的个人资料保护委员会。卫生科学局于隔天得知消息后,在约一个小时内,通过网络服务商将所有资料从服务器清除。
根据初步调查,举报人是一名颇具知名度的网安专家,撰写过数篇关于网安疏漏的文章。当局指出,根据服务器的登入记录,这名举报人是唯一成功登入并读取资料的网络用户。
当局目前已和这名举报人通过电邮联系,举报人确认自己并不打算公开已读取的资料。卫生科学局接下来应会和举报人通话,尽所能确认曾经被他读取的资料完全销毁。
卫生科学局在2012年4月首次同ssg合作,而这家公司此次是为了更新部分捐血中心电子系统,才向当局索取捐血者个人资料。
按照当局与ssg的合约条例,服务商有责任确保所获得的资料受保护,外人无法读取。
当局正在调查服务商将资料放上面向互联网的服务器的原因,包括事件是否涉及恶意行为或因素。
这起网安事故发生后,卫生科学局便接洽所有外包服务商,同他们合作以确认所有个人资料受到保护,同时确保服务商在任何时候都不会将资料放上面向互联网的服务器。
卫生科学局局长庄美玲医生昨晚在官方网站刊登一篇致捐血者的信函交代这次网安事故的经过,同时强调当局对保护捐血者资料的高度重视。
她说:“我们为这次疏漏真诚地向所有捐血者致歉……并再次保证,卫生科学局的中央血库系统没有受任何影响,我们接下来也将对外包服务商加强监督与检查,确保所有捐血者资料获得保护。”