醫管局被揭管控不足 醫療器材網絡安全堪憂

醫管局被揭管控不足醫療器材網絡安全堪憂

[2021.02.10] 發表

【明報專訊】卑詩審計長周二(9日)公布審核本省醫護服務管理局(PHSA，下稱醫管局)是否有效管理醫療器材網絡安全的報告，但發現當局沒評估相關威脅及其對病人的潛在危害，指當局未能管理儀器的網絡安全風險。

卑詩審計長皮卡普(Michael Pickup)於報告指，審查結論是醫管局未能有效管理其醫療設備的網絡安全風險，「我們發現醫管局沒有評估網絡安全威脅及其對病人的潛在危害，其醫療器材缺乏網絡安全控制措施。這令人擔憂因為它可導致醫管局未能察覺到網絡攻擊，可能置病人於險境。」

就醫療儀器網絡如何易被攻擊的可能情況，報告以保安為由沒有披露詳情，但給醫管局提交了一份詳細的技術報告。

皮卡普解釋，醫管局沒有適當監控所有系統或器材的安全，有可能發生的情況是，當醫療設備的網絡遭受攻擊時，可能會失去那些儀器所得的資料或其完整性受破壞，導致需要的治療未能進行，或者甚至提供錯誤的治療。他昨日亦對傳媒說，甚至當資料被外泄時，當局也不知道，「很不幸地，有很多人以許多理由會去做這些事，正因此為何強健的管理是那麼重要。」

報告指，已向PHSA提出4項建議，主要是改善網絡安全風險管理，如評估風險等，又建議辨別出所有用於醫療網絡上的硬件、軟件及其設定，並需監察所有在醫療網網絡上的系統和器材，對可進入系統的行政權限亦需控制。審計長辦公室指PHSA已接納那些建議，承諾會改善其網絡安全問題。

是次審核的範圍包括所有可接駁到醫療系統及網絡的儀器，全省有逾3.6萬部器材是具備聯網功能，當中逾1.8萬部儀器在低陸平原；所有資訊科技(IT)及支援那些儀器的系統基建組件，亦在檢討範圍內。審查期間曾向IT管控及網絡安全有關的重要職員查問、檢討相關政策及程序和向外部機構的專業諮詢等。

更多要聞一