醫管局被揭管控不足 醫療器材網絡安全堪憂
【明報專訊】卑詩審計長周二(9日)公布審核本省醫護服務管理局(PHSA,下稱醫管局)是否有效管理醫療器材網絡安全的報告,但發現當局沒評估相關威脅及其對病人的潛在危害,指當局未能管理儀器的網絡安全風險。
卑詩審計長皮卡普(Michael Pickup)於報告指,審查結論是醫管局未能有效管理其醫療設備的網絡安全風險,「我們發現醫管局沒有評估網絡安全威脅及其對病人的潛在危害,其醫療器材缺乏網絡安全控制措施。這令人擔憂因為它可導致醫管局未能察覺到網絡攻擊,可能置病人於險境。」
就醫療儀器網絡如何易被攻擊的可能情況,報告以保安為由沒有披露詳情,但給醫管局提交了一份詳細的技術報告。
皮卡普解釋,醫管局沒有適當監控所有系統或器材的安全,有可能發生的情況是,當醫療設備的網絡遭受攻擊時,可能會失去那些儀器所得的資料或其完整性受破壞,導致需要的治療未能進行,或者甚至提供錯誤的治療。他昨日亦對傳媒說,甚至當資料被外泄時,當局也不知道,「很不幸地,有很多人以許多理由會去做這些事,正因此為何強健的管理是那麼重要。」
報告指,已向PHSA提出4項建議,主要是改善網絡安全風險管理,如評估風險等,又建議辨別出所有用於醫療網絡上的硬件、軟件及其設定,並需監察所有在醫療網網絡上的系統和器材,對可進入系統的行政權限亦需控制。審計長辦公室指PHSA已接納那些建議,承諾會改善其網絡安全問題。
是次審核的範圍包括所有可接駁到醫療系統及網絡的儀器,全省有逾3.6萬部器材是具備聯網功能,當中逾1.8萬部儀器在低陸平原;所有資訊科技(IT)及支援那些儀器的系統基建組件,亦在檢討範圍內。審查期間曾向IT管控及網絡安全有關的重要職員查問、檢討相關政策及程序和向外部機構的專業諮詢等。