新冠肺炎爆發至今已走向流感化,但對醫療產業卻帶來諸多影響與變革,尤其是在創新科技、政策法規以及病患對照護期待的加速推展下,醫療服務也開始走出醫院科室,藉由人工智慧、5G、雲端運算、物聯網(IoT)等技術協助,以遠距醫療、視訊診療照護模式打破時間與空間的限制,讓醫護服務進入到居家場域,並藉此擴大服務範圍,提供非接觸式的就醫體驗。
然而,隨著新興科技大幅運用、遠距醫療模式崛起,資安風險也隨之攀升,根據PwC去年針對美國醫療產業進行相關調查,在疫情期間,醫療服務機構與支付體系的資安事故顯著增加,此外,醫療數據外洩事件發生的頻率,與醫療體系在疫情期間採取的科技導向、遠距醫療服務之客戶體驗以及營運模式轉型的程度成正比。
資誠智能風險管理諮詢公司董事長張晉瑞指出,這份調查報告點出了當數位科技運用得越多,伴隨的資安與資料外洩事件也會同比增加的現況,「而這將成為醫療資安長的新課題。」他提到,具有聯網功能的醫療器材設備不斷進駐,同時還要運用大數據來分析、收集資料,並且進一步運用AI來輔助以實現精準醫療,同時又面對法令法規要求日益嚴謹,未來,資安管理勢必變得日益複雜,連帶也將加深醫療院所的資安防護挑戰。
聯網設備安全應納入評估
對於醫療院所而言,首要的資安挑戰當屬外部威脅,對此,美國政府已在今年10月發布醫療產業資訊安全實作指引(Health Industry Cybersecurity Practices: Managing Threats and Protecting Patients,HICP 2023 Edition),針對醫療產業最常面臨的社交工程、勒索軟體、裝置遺失或被盜、內部意外或惡意資料遺失、針對聯網設備的攻擊等前五大風險,提出最佳網路安全實踐。這五大風險看似老生常談,卻影響甚鉅,甚至會危及病患生命。舉例而言,許多聯網設備都被用來監測和追蹤生命體徵,藉以了解病患的健康狀態,試想若是聯網設備(如加護病房中的心臟監控設備)遭遇駭客攻擊或控制,並且任意地關閉電源或隨意重新啟動,醫護人員就沒有辦法對病患提供即時、準確的照護,病患的安全也因而受到了影響。
張晉瑞指出,隨著越來越多的醫療機構,採用連接網路的智慧設備,相關的資安威脅也與日俱增。從病床、注射器到生命徵象測量,萬一遭受網路攻擊,很可能對病人的照護有所延誤、喪失隱私,甚至導致生命受到威脅,因此聯網設備的安全也應受到重視,在部署前,是否已把資安風險都加以識別,並且做好相關評估,例如有無定期更新系統安全、萬一事故發生多久時間之內可以修補、責任怎麼釐清,都應寫清楚說明白。
而且設備聯網後,但凡使用到系統或網路,就可能產生漏洞,有沒有緊急修補漏洞的程序也至關重要,同時還必須把對病人的照護或是醫療干擾降到最低,試想若是一個更新就要停機三天,醫院服務勢必會受到影響,如何在不影響現行作業的情況下快速更新就很重要。思考的面向還必須涵蓋全生命週期,當醫療設備除役或是報廢時,裡面會不會有醫療院所的資料,例如像無線網路的密碼,或者是受保護的健康資訊(PHI)這些隱私的資料,都需要經過適當的刪除。「光是聯網設備的資安防護就有這麼多的考量面向,更不用說要面臨這麼多的外部威脅,」他提到,在善用科技的同時,資安要求也應同步往上提升才行。
資訊、資安領域不同應分開配置
而除了外部攻擊與威脅之外,在資安防護上,醫療院所自身就面臨著人才缺乏與能力不足的挑戰。根據法令規範,資安責任等級為A級的特定CI指定醫院,除了應比照公務機關設置資通安全管理代表外,也應設置4名資通安全專責人員。
「人才缺乏是現今各行各業普遍都在面對的課題,但是醫療院所還須面對另一項困境,亦即在人力有限的情況下,許多醫療院所的資訊管理與資訊安全其實是同一單位,舉例而言,資訊部原本就負責所有的資訊開發與維運,但在法令的要求下,資訊同仁又兼任資安防護工作。」張晉瑞認為,這樣的配置或許已經是現行環境中最好的作法,而且也踏出了第一步,不過由於資訊與資安是兩個不同的觀念與領域,資訊人員講求系統要順暢、穩定有效率、讓內外部使用者都能有良好的體驗,而資安人員的考量卻是如何鞏固好堡壘,讓系統不要被攻破,萬一出事,該如何藉由網路區隔來限縮受災範圍,如果讓同樣的一群人來兼任兩者,往往很難面面俱到,只能做中學。
他認為,在條件許可的情況下,不妨效法金融業,讓負責資訊與資安的人員各自切開,因為網路區隔只是資安防護的手段之一,還有資訊安全監控中心、情資分析,就算委外交由業者服務,也需要有人或單位能夠好好把關,當然醫療院所的資源有限,資安人員的編制可以循序漸進。「想要維持醫療服務營運暢通,又要兼顧資訊安全確保病安,還要滿足醫護人員希望正確精準,有效率、有效果的醫療品質,如何達到平衡確實是現今醫療院所面臨的一大課題,但是人才的問題還是需要克服,總不能把資安寄託在有良心的駭客上,期待他們免費提供解密金鑰,這並不切實際。」
資誠智能風險管理諮詢公司董事長張晉瑞指出,平時習以為常的流程,可能潛藏資安風險而不自知,藉由獨立機構進行安全性檢測,可強化資安防護力。
而另一項困境則來自於醫療院所對供應鏈的資安掌握度不夠,在人力有限的情況下,委外尋求合作廠商可能是個好的作法,但同時也帶出供應商管理的議題。如果供應商本身並不重視資安,委託開發系統的安全性,也會令人存疑。事實上,供應鏈安全風險管理已經開始在金融業推動,金管會主要參考的是美國國家標準暨技術研究院(NIST)2022年5月改版的SP 800-161r1文件,針對網路安全供應鏈風險管理的指南。國際發展趨勢如此,醫療業當然也不會置身事外,如何強化供應鏈資安的掌握度也是醫療院所亟須面對的挑戰。
「第三個困境是醫療產業目前並沒有外部的獨立評估機制,」張晉瑞說明,醫療院所的機制或策略往往都是基於法令規範或是評鑑要求,該如何認定其安全性成效,這肯定是不能由開發人員或委外廠商自己評估。因此最好的方式是找來獨立機構進行安全性檢測,例如密碼沒有要求複雜性、是否有定期變更,或是運用工具進行弱點掃描,看看有沒有應修補而未修補的漏洞,或者進行紅藍隊演練,「我們平時習以為常的流程,可能潛藏資安風險而不自知,或是根本沒想到駭客會這樣攻擊,這麼做的目的是要找到改進的地方,從而強化防護力。只是目前不少醫療院所仍缺乏獨立評估機制,也是現今面臨的挑戰之一。」