評鑑促A級院所帶頭升級　強化資安納管聯網設備

資安攻擊儼然已成為醫療產業的頭號隱憂。近期，PwC Global公布2024全球數位信任洞察報告指出，過去一年全球網路攻擊更為猖獗，因資料外洩而遭受逾百萬美元財損的受訪企業佔比，已從前一年的27%攀升至今年的36%。就個別產業來看，醫療相關產業受網路攻擊的衝擊程度最大：過去一年全球企業因網路攻擊而導致的財務損失平均為440萬美元，但醫療相關產業平均為530萬美元，較所有產業平均高出25%。

台灣醫療產業也曾在2019年遭遇大規模勒索病毒攻擊，台灣學術網路危機處理中心團隊（TACERT）在其撰述的《勒索病毒GlobeImposter攻擊事件分析報告》中提到，此次大規模攻擊共計有22家醫療機構受害，駭客將中毒電腦作為跳板，利用密碼管理與RDP漏洞竄入衛福部電子病歷交換系統（EEC）專屬EEC Gateway VPN網路並開始擴散，所幸受病毒影響之醫院皆已陸續清除病毒，並復原工作主機，未影響醫療業務運作，亦未發現個資外洩情事。但經此事件，衛福部也積極強化健保VPN管理、提供中小型醫院防護指引，同時也連結醫院評鑑與資通安全管理法，如今，公立醫院以及特定關鍵基礎設施（CI）指定醫院均須合規資通安全管理法的要求。

顯然，具有大量病歷與機敏資料的醫療院所已成駭客覬覦的目標。在全人照護的醫療發展趨勢下，大幅運用科技將有助於病患照護，更容易存取、更新、紀錄與交換病患資料，但大量的數位病歷與個資也加劇資料外洩、惡意軟體、加密勒索和其他惡意攻擊的風險。如何在提升醫療服務品質的同時，還能有效防範資安攻擊，妥善保護病歷與機敏資料將是醫療院所的一大課題。

醫療資安五大風險

資誠智能風險管理諮詢公司董事長張晉瑞指出，2019年醫療院所遭遇勒索病毒攻擊確實敲響一記警鐘，也促成衛福部後續一連串的政策與變革，包含強化醫療資安、成立資安資訊分享與分析平台（H-ISAC）、提升資訊管理系統，引領醫療轉型，以及引進並建立以FHIR做為資料交換之基礎格式等等。近期更針對資通安全管理法未納管的基層醫療院所，訂定了基層醫療院所資安防護參考指引，以作為強化資安防護之參考。

事實上，醫療資安已成全球課題，美國政府在今年10月發布的醫療產業資訊安全實作指引（Health Industry Cybersecurity Practices: Managing Threats and Protecting Patients，HICP 2023 Edition），針對醫療產業最常面臨的前五大風險，包含社交工程、勒索軟體、裝置遺失或被盜、內部意外或惡意資料遺失、針對聯網設備的攻擊等，提出最佳實踐。尤其是聯網設備攻擊，一旦駭客攻擊或控制了聯網設備，如加護病房中的心臟監視器，病患將因此而面臨更高的風險。

他提到，在醫療智慧化、數位化的過程中，醫療設備的安全也至關重要。隨著越來越多的醫療機構採用連接網路的智慧設備，從病床到注射器，如果遭受網路攻擊，可能對病人的照護有所延誤、喪失隱私，甚至有生命威脅，因此應更關注的是這些聯網設備，在部署前，有沒有把資安風險都識別出來，並且做好評估。舉例而言，醫療設備採購時，除了要在乎設備本身能不能符合醫療所需、判讀是否精準、效能表現外，也要加入資安評估，對於醫療器材供應商的簽約採購以及相關責任條款，最好都能寫清楚說明白，諸如定期更新系統安全、萬一事故發生多久時間之內可以修補、責任怎麼釐清，有沒有驗證的框架，甚至於如何賠償、報廢的機制，都應有相關的規劃。

有別ISMS制度框架　資安法方向更明確

目前國內醫療院所可分為醫學中心、區域醫院、地區醫院及基層診所，各級醫院負有不同的照護任務與角色，在資安責任分級上也有所不同。依據資通安全責任等級分級辦法，公務機關（包含中央與地方機關、公法人）以及特定非公務機關（包含關鍵基礎設施提供者、公營事業、政府捐助之財團法人）的資安責任等級共分為ABCDE等5級，其中A級機關要求最為嚴謹，包含公立醫學中心以及部分特定非公務機關的指定醫院都屬於此一範圍之內。而公立區域醫院或地區醫院則屬於B級，另外，C級與D級的差別則在於是否有維運自行或委外設置開發之資通系統，若有則是C級，若無則是D級。最後E級則是無資通系統且未提供資通服務。

以資安責任等級最高的A級特定非公務機關來說，雖然沒有像公務機關強制要求設置資通安全長，但為使資通安全相關業務得以順利推動，也必須仿照公務機關設置資通安全管理代表，由具有足夠權責、資源、權限、相當資歷、經驗及資安專業之人員擔任。此外，也應配置4名資通安全專責人員，每年辦理一次業務持續運作演練。

針對安全性檢測，每年應有兩次弱點掃描以及一次的滲透測試，資通安全健診也須每年辦理一次。另外，包含防毒軟體、網路防火牆、郵件伺服器、入侵偵測及防禦機制、應用程式防火牆，以及進階持續性威脅攻擊防禦等措施，啟用後也應適時進行軟、硬體必要的更新與升級。

長庚醫療財團法人行政中心總執行長潘延健直指，在網路的駭客或者是不當人士的眼中，醫療機構就是一隻超級大肥羊，由於醫療機構人員過去並不那麼重視資安，但資料含金量又特別高，所以駭客很容易得逞，可獲得的利益也很大，因此醫療機構受到網路攻擊或是資料竊取的案件也層出不窮，而且平均每一起案件的損失甚至遠高於一般資安事件。而這也成為醫療機構共同面臨的挑戰。也因為如此，衛福部才會擬定相關法令規範來強化醫療機構的資安能力。

「其實，醫療評鑑改以資通安全管理法為基準，對於資安落實更有好處，方向更明確。」他提到，ISO 27001是一套資訊安全管理國際標準，在這個框架下，主要是從機密性、可用性以及完整性這三個角度出發，多數都是告知一些原則。但是在資通安全管理法中，要求會更為明確，例如必須有資安組織，甚至還規定必須由副院長層級來擔任資安長，才能把醫院的方向確定下來。「將評鑑的基準從原先的ISO 27001改為資通安全管理法可謂是與時俱進的作法，以半強迫地讓醫療機構跟上資安要求，也是推動往前邁進的好開始，尤其是國內大型醫療機構也會因此而將資安防護機制提升到一定的水準。」

流程變動困擾也須因應

儘管如此，不少醫療院所在強化資安防護以及落實資通安全法規範中仍面臨不小挑戰。人員的人力與能力不足是問題之一，目前醫療院所的資安長大多由行政、醫療或是資訊部門的高階主管兼任，多數並沒有獨立設置資安長；且資通安全專責人員很可能是由原本資訊部門人員專人負責（亦即無全職投入人力之要求），換言之，擔任資訊管理跟資訊安全的人員很可能是同一單位，甚至是同一位。另外，導入新世代的防毒軟體、網路防火牆、郵件伺服器、入侵偵測及防禦機制、應用程式防火牆，以及進階持續性威脅攻擊防禦等措施，也需要一筆不小的經費。更不用說，隨著資安防範措施越來越嚴謹，醫療流程也可能因此而產生變革，如何讓相關醫護人員接受流程改變，甚至運用新科技來簡化流程，也是過程中需面對的難題之一。

國泰綜合醫院資訊部部主任曾景平指出，自個資法公布後，由於醫院基本上都是接收特種個人資料，包含病歷、醫療、健康檢查等等，因此醫院對於個資保護都已經具備了相當的認知，而且也有應對的措施，在個資保護推動上，醫院內的工作人員其實都已經具有一定程度的資料安全意識。因此在落實資通安全法規範的資安應辦事項過程中，挑戰並不在於人員的資安意識不足，而是在流程上造成的困擾。

舉例來說，早期醫院的密碼管理原則較為寬鬆，改採為比較嚴謹的密碼設定策略後，也常常會遇到醫護人員在變更密碼後打電話到資訊部請求支援，而且醫生不只在總院看診，偶而也會分院看診，如果到分院的頻率不是那麼頻繁，就更容易忘記密碼，為了解決這個問題，資訊部還開發了一套變更密碼需求流程，醫護人員若是忘記密碼，只要輸入帳號按下忘記密碼，系統就會發出簡訊讓使用者可以自助登入並重新設定密碼。

他提到，諸如此類的情況就會經常發生，隨著資安管控的措施越來越嚴格，現場的醫護人員過去的使用習慣也會被迫改變，對於資訊部來說，因應流程改變而延伸出來的問題，就要想辦法加以克服。

醫療儀器也該納入資安管理

全球重大醫療資安事件頻傳，近期美國醫療集團Prospect Medical Holdings也因遭到駭客攻擊，使得集團的網路系統完全癱瘓，而無法提供正常的醫療服務。Prospect Medical Holdings在美國南加州、康乃迪克州、紐澤西州、賓州與羅德島共經營16家醫院，在遭受到網路攻擊後，有些醫院的門診抽血以及影像診斷服務遭到中斷，有些醫院則改用紙本記錄的模式，醫院運作大受影響。不只是醫療服務無法正常提供，此次的資安事件也有員工及其家屬的敏感訊息遭到外洩。

「資安即病安」，加強網路安全防護，提高安全意識，以確保病患和醫療服務的安全性已成醫療體系亟須重視的課題。Fortinet技術顧問夏克強觀察，台灣醫療院所常見幾種資安破口，包含為了工作方便而使用Windows RDP、AnyDesk、TeamViewer、VNC等遠端桌面工具，種類繁多卻未適當控管，另外也常見網路芳鄰並未嚴加管控。而在醫療設備互聯帶來的風險方面，也常見許多醫療設備的作業系統老舊無法更新、漏洞無法修補，設備無法安裝防毒等等情況，其次網段沒有隔離，醫療物聯網（IoMT）／物聯網（IoT）網路與IT網路混在一起，也容易產生破口相互感染。

他提到，隨著醫療設備聯網程度越來越高，建議要將醫療儀器生命週期納入資安管理，醫療院所也可以參考五個防護準則來保護醫療物聯設備的安全，包含將IT/IoMT設備的網路分段微切分（Segmentation），把網段區隔開；另外應提高可視性，先讓網路上的所有設備都能辨識才能進行管理；而IT設備供應商與醫材商也要定期對漏洞進行修補與主動告知漏洞，韌體也要進行評估升級；此外要建立明確的連線存取規則，類似零信任的最小權限概念，有必要才放行；最後也要檢視是否有異常行為，最好有SIEM平台持續監控IT/IoMT設備連線，偵測連線有無異常。

「此外，也要留意行動辦公安全與遠距醫療問題。」夏克強認為，因應COVID-19與智慧醫療，新型資通訊技術大量被使用，資料傳輸及聯網行為將更頻繁，攻擊管道與手法更多樣化，被攻擊面也可能大幅增加。