医管局周五（3日）发现有病人资料外泄，网传该批资料已被上传至暗网“Dark forums”，受影响人数超过5.6万。社区组织协会干事彭鸿昌今日（4日）表示，医管局目前最重要是联络受影响病人，提醒他们提防一些诈骗电话。他又认为，事件反映出当局网络保安有漏洞，必须尽快堵塞。另有网络安全专家促当局立刻厘清外泄源头。

彭鸿昌认为医管局昨日凌晨发现事件，其实可以更早一点公布。他认为当局目前最重要是尽快联络受影响病人，通知并提醒他们在未来如接获一些可疑来电时，务必提高警觉。他又指，今次事件反映出当局网络保安有漏洞，必须尽快堵塞。

立法会议员陈凯欣亦形容今次事态严重，指医管局未有主动公布事件，亦没有第一时间公开外泄资料涉及哪个系统，或哪一个医院联网，情况并不理想。她批评，医管局应在发现事件后，第一时间主动向市民发布详情并发出警示，提醒受影响市民留意可疑电话或索取个人资料的诈骗行为，而不是待传媒查问才回应，影响观感及公信力。

另外，陈凯欣回顾立法会就医健通及扩展医管局病人资料系统批准拨款时，当局曾声称系统安全并定期进行风险评估。现时资料外泄，令人质疑当时的保障措施是否足够及有否漏洞，尤其在医疗系统长期成为黑客攻击目标的情况下，更需严阵以待。她认为，虽然应给予当局时间找出问题根源，但同时要求尽快采取防范措施，减低进一步风险，并妥善安排补救措施，与向受害者支援。

香港资讯科技商会荣誉会长方保侨则指，一般而言，医院、非政府组织（NGO）等相对容易发生资料外泄情况，因他们使用的电脑型号比较旧，“有好多地方都有漏洞”。他又指，如病人资料有加密，不应该会被看见。

方保侨建议医管局及其他公营机构，应定期进行资讯安全审计（Security Audit），至少每半年进行一次，全面盘点系统漏洞并核查员工是否遵守操作规程，而且要落实审计后的补救工作，“如果做完审计发现有漏洞又不去处理，咁审计都冇用”。他亦指不排除资料外泄可能涉及外判商维修期间的漏洞，认为当局需厘清外判流程中的保安责任。

软件及应用程式安全研究员赖灼东认为，今次事件可能是第三方营运商或备份服务供应商被入侵，若外泄源头涉及关键基础设施，恐影响手术、血液样本等医疗系统，直接威胁病人的人身安全。他又指，公营机构过于依赖“价低者得”的投标方式，招标机制往往偏向符合基本证书、价格最低的承办商，导致技术缺乏突破性，难以发现深层漏洞。

赖灼东又认为目前局方首要任务不是报案或通报私隐专员公署，而是立刻厘清外泄源头。此外，他建议医管局改善现行的外判审计模式，可同时聘用两至三间外判商进行测试，互相补足盲点，并淘汰表现欠佳的服务商，形成健康的竞争环境。

翻查资料，医管局于2019年曾侦测到持续性网络渗透攻击威胁，局方当时澄清没有病人资料外泄，又指已采取适当措施阻截入侵。另外，医管局于2020年亦拦截了共5,000万封钓鱼电邮及约5宗勒索软体攻击，局方当时指会投放更多资源加强网络安全，并培训员工提高防范意识。