全球生醫資安營運中斷事件頻傳,光是近兩年就發生多起事件,去年,美國最大醫療支付平台便傳出遭受勒索攻擊,造成醫療理賠系統全面停擺超過三週,波及全美數千機構;另外,也有多家醫院因為CrowdStrike軟體更新錯誤,而導致醫院系統停擺1至3天,非緊急手術與病歷系統全面中斷;今年還有Kettering Health遭網路攻擊事件,造成大量就診患者需轉院,損失仍在調查中,以及台灣的馬偕醫院與彰化基督教醫院遭受勒索軟體的攻擊事件。
多年以來,醫療院所擁有大量病患隱私資料,儼然已成為駭客眼中的大肥羊。去年美國健康保險集團UnitedHealth Group子公司Optum所收購的醫療服務供應商Change Healthcare遭受攻擊,引起全球關注。而今年(2025年)初,台灣幾家醫院也深陷在特種資料外洩的風暴中,而這些事件無疑更加突顯了資安防禦與韌性的重要性。
事實上,全球醫療院所一直面臨極高的資安風險,5月位於俄亥俄州的凱瑟琳醫療集團(Kettering Health)傳出遭受勒索軟體攻擊事件,導致全系統技術中斷,被迫取消住院和門診手術,影響到14個醫療中心。
網管人雜誌於6月25日舉辦「醫療資安防禦與韌性實務論壇」,邀請各界專家分享如何打造醫療轉型雙防線,現場學員專心聆聽。
當醫療院所遭受勒索攻擊漸成常態,如何構建資安韌性也成醫療院所亟需重視的課題。
構築醫療韌性,確保系統運行不中斷
資誠智能風險管理諮詢協理張仲元觀察,全球生醫資安營運中斷事件頻傳,光是近兩年就發生多起事件,去年,美國最大醫療支付平台便傳出遭受勒索攻擊,造成醫療理賠系統全面停擺超過三週,波及全美數千機構;另外,也有多家醫院因為CrowdStrike軟體更新錯誤,而導致醫院系統停擺1至3天,非緊急手術與病歷系統全面中斷;今年還有Kettering Health遭網路攻擊事件,造成大量就診患者需轉院,損失仍在調查中,以及台灣的馬偕醫院與彰化基督教醫院遭受勒索軟體的攻擊事件。
資誠智能風險管理諮詢協理張仲元分享2025年全球醫療資安威脅六大趨勢。
「其實,不管是從實際事件或是調查報告中都可以看出,醫療體系遭受攻擊有不斷攀升的趨勢,而其中一項原因便是醫療資料價值的飆升。」他說明,依據益博睿(Experian)發布《2023年資料外洩產業預測》調查,10年前黑市上單筆醫療記錄價格僅僅只有10美元,但兩年前單筆醫療記錄價格已至250美元,甚至有機會上看1,000美元,這樣增值的幅度甚至遠比多數股票還高,但也因為如此,反而讓駭客更有動機竊取資料或是將資料加密進行勒索。
另外,也有不少調查報告反映出攻擊增加的趨勢,例如在IBM的調查中,醫療產業已經是連續13年成為資料外洩損失最高的產業,平均每筆記錄損失500美元以上。而Sophos調查中也提到,2024年第一季,醫療產業遭受的勒索軟體攻擊較2023年同期增加46%。
張仲元分析,2025年全球醫療資安威脅會有六大趨勢,包含攻擊鏈的專業化程度日益升高、雲醫療資料架構成為新攻擊焦點、自動化釣魚與駭客工具滲透醫護社群、攻擊劇本針對「臨床實境化」進行設計,好消息則是生醫資安聯盟開始興起,以及AI將導入醫療資安防線,縮短回應時間。
他進一步說明,攻擊鏈的專業化指的是駭客會越來越重視攻擊前期的「偵察」與「武器化」,針對醫療影像系統(如PACS)、電子病歷與醫療裝置(IoMT)進行情報收集,導致攻擊更加精準;另外,攻擊的劇本也會開始挑時間,例如選在手術或是病患住院的高峰期啟動勒索軟體,除了能夠帶來較大的傷害之外,企業組織也因為沒有足夠的人力,而無法快速回應。因此,全世界有越來越多的跨機構甚至是跨產業的合作以共享情資或是各種聯合資安的攻防演練。「值得留意的是,AI可以協助醫院進行更快速、更細緻的資料分析,但是駭客也在利用大型語言模型(LLM)、ChatGPT協助生成社交工具,例如仿造醫師溝通語氣的釣魚郵件,讓詐騙的手法或社交工程的手法成功機率提高。」
面對不斷變化環境與資安威脅,韌性已成為必須追求的核心競爭優勢。在PwC的調查中,早在兩年前,便已經有高達96%的受訪者指出,他們所屬的企業在新冠疫情期間曾經歷過中斷,雖然中斷影響的程度可能不同,但是有76%組織的核心業務流程與服務受到影響。因此,有89%的組織已經認知到,韌性的優化已經成為一個關鍵的優先事項。同樣地,醫療產業也是如此,當國內外醫療機構資安事件頻傳,勒索軟體與供應鏈攻擊成為主要威脅來源,建構韌性也是醫療產業必要的優先事項。
活動現場學員互動熱烈。
對此,張仲元也分享了PwC的韌性能力整合方法論,包含準備階段、時間應對、復原以及管理。首先在準備的階段,須考量有哪些關鍵的業務服務、相應的風險、所需的資源以及可能的測試準備。第二階段則是在萬一真的遇駭時,如何識別問題,找出到底應該用什麼方法來應對,並且發動替代方案處理。第三階段則是要有還原流程以回復原本的運作模式。最後則是管理,包含日常運作跟事件發生時,需持續地監控資源狀態是否有風險,以及是不是已經準備好往下一個階段進行,而這些都是需要在平常就有一定程度的流程規劃,甚至是營運持續的規劃才有辦法達成。
DDoS的攻擊趨勢與防護需求
多年以來,分散式阻斷服務攻擊(DDoS)是醫療院所常見的資安攻擊手法之一,根據NordLayer的研究調查,2024年上半年DDoS攻擊比前一年增加了46%之多。事實上,在COVID-19期間以及2024年總統大選期間,國內便有許多DDoS攻擊發生,其主要的手法是用流量把頻寬塞爆,讓企業沒有辦法存取或是無法讓外部使用者連線使用服務。A10 Networks技術經理林坤億指出,2024年攻擊高峰期間,有超過50%都是採用DDoS攻擊,從今年的資料來看,預估也有30%是採用DDoS攻擊,顯見DDoS已是駭客經常使用的工具。
他提到,根據A10 Networks統計,2023年至2024年期間,92%的DDoS攻擊均小於5分鐘,而介於5分鐘到10分鐘的攻擊不到4%,連續攻擊1個小時以上,幾乎不到1%。顯見駭客喜歡採取短時間攻擊,「常見的情境是,駭客攻擊5分鐘後,使用者發現無法使用服務,回報給網管人員才覺察到可能被攻擊,但是因為駭客已經停止攻擊了,所以網管人員在檢查時一切正常,外部連線也沒問題,所有人都一頭霧水,不知道發生什麼事情。」
林坤億進一步說明,這種情況便曾在總統大選發生過,DNS伺服器上每秒有7,000多個查詢(Query),已經無法從外部存取到DNS,實際了解防火牆後發現有100多萬個查詢被擋住了,但也因此無法存取到後面的DNS伺服器。對於使用者而言,會覺得服務被影響,可是伺服器並沒有垮掉。「我們曾經看到很多類似這樣的攻擊發生,而且不只有一次短時間攻擊,而是採取多次短時間攻擊。例如,每小時攻擊五次,導致IT人員每隔10分鐘就會接到使用者回報應用服務出現問題,但實際檢查時這些應用服務看似又很正常,而這樣的情況會一直發生。」
就架構手法來看,一般駭客會操控大量的DDoS Bots,然後找尋目標攻擊例如針對應用程式攻擊或是針對網路層、基礎架構進行攻擊等等,甚至也可以採取混合式攻擊,讓不同的機器人做不同的事情組成一個混合式攻擊。但即使駭客沒有高超的技術能力,現今也只需要購買DDoS攻擊服務,就可以輕鬆地發動攻擊。
面對難以擺脫的DDoS夢魘,A10 Networks在去年重新將產品線整合包裝推出A10 Defend Suite,其包含了可用於偵測異常流量的A10 Defend Detector、前身為Thunder TPS的A10 Defend Mitigator、可提供DDoS攻擊情報的A10 Defend Threat Control,以及可實現智慧和自動化的DDoS防護,為無縫DDoS防禦管理和執行提供集中控制點的Defend Orchestrator與7×24小時的DDoS安全事件回應團隊(DSIRT)服務。
他強調,DDoS防禦必須搭配雲端與地端一同防禦才能有較佳的效果。舉例而言,當組織環境出現DNS伺服器每秒有兩萬多個Query時,即使企業有購買雲端流量清洗服務,可以打電話請服務供應商協助清洗,但問題是,對於服務供應商而言,兩萬多個Query才只有幾MB的流量,這樣的攻擊量根本偵測不到,這時就需要放置一台DDoS清洗設備在企業的出口端進行保護。雲端清洗的特性,主要是針對會把線路塞爆的攻擊事件才有意義。
從可見到可控,微分段築起最後防線
「永不信任、始終驗證」是零信任(Zero Trust)架構中非常重要的核心理念,其強調了不論使用者、裝置或設備來自於何處,都不應該預設為信任,而是要透過各種驗證機制來予以管控。其中,微分段(Micro-segmentation)則是實現零信任架構的最後一哩,透過將網路劃分成多個安全區域,降低駭客進一步橫向滲透的可能性。
Akamai Technologies資深技術顧問王明輝解釋,微分段的精神就是藉由縮小攻擊面來降低風險、提高企業韌性。「今年2月Crazy Hunter入侵台灣醫療院所,整個事件最重要的關鍵還是在於橫向移動,除了內部橫向移動並沒有做到很好的控制外,也因為開放太多由內對外的連線,而讓駭客有可趁之機。」
美國國家標準暨技術研究院(NIST)曾進行調查,發現組織在導入零信任相關的解決方案中,經常會面臨到資產清單和管理、可視性、資源分佈、複雜的通訊流以及用戶角色管理的挑戰。其中,在資產清單和管理方面,往往是缺乏充分的資產清單和管理,難以了解需要保護的業務應用、資產和流程以及它們的重要性;而多數企業由於對資產、應用和服務之間的交易了解有限,缺少識別這些連線及其具體流量所需的數據,因此也缺乏對連線和使用模式的可視性。
此外,隨著本地和雲端環境中通訊流和分散式IT組件的複雜性增加,一致性管理變得困難;另外,在整個組織中,對用戶角色的定義、管理和追蹤通常不足,這使得強制執行精細的、隨需授權的策略變得困難。
他提到,企業導入微分段有幾項好處,微分段可以提高連線可見性同時提高精細度,不只可以透視惡意橫向連線範圍,也能知道哪些應用程式嘗試與AD連線。不過,當企業內有幾千台、上萬台的設備時,僅只知道設備與設備之間的連線可能還不夠,這時就需要透過一些手段去協助理解設備的資訊,包含是由設備裡哪一個應用程式產生的連線、所在位置路徑、由哪個使用者開啟了這個應用程式並且連線到AD,如此一來,便能較好地判斷該連線是不是合規或合理,而管控機制也才能藉由這些訊息做出要不要放行的決定。
此外,微分段也可以提供完整東西向連線軌跡記錄包含主機、IP、執行檔、路徑以及使用者,對於有疑問的連線,也可以透過快速搜尋相關日誌來進行進一步的檢查。倘若內部服務嘗試對外做一些連線,微分段也可以針對嘗試對外連線的設備進行信譽評等分析,還有蜜罐的功能可以作為蒐集攻擊行為及證據留存。
有了可視性還要可控,平時就要做好隔離,減少破口,包含開放任何連線必須有明確的來源及目的來減少破口、Process層管控,避免攻擊工具偽裝正常流量,以及理解及評估策略影響範圍。另外也要動態調整政策,遇到緊急狀態時需要立即隔離。像是設立全域黑名單機制來快速隔離所有受影響的主機,例外開放安全人員登入等等。
量子風暴下的醫療資安新防線
近幾年AI當紅,隨著AI模型參數呈現指數型增長,算力的需求也不斷攀升,連帶也面臨到能源課題。如何運用量子運算來克服AI伺服器在效率與能源上的限制,也就成為現今業界正在醞釀發展的方向。儘管量子運用更有助於加速新藥研發、促進精準醫療的發展,卻也為傳統的加密演算法帶來新的危機,因為現行的加密機制極有可能無法抵禦其強大運算能力,而在短時間內即遭到破解。
勤晁科技副總經理薄榮鋼指出,量子風暴並非空穴來風,隨著量子位元(Qubit)不斷創新突破,破密已是指日可待。事實上,美國國家標準暨技術研究院(NIST)早已預見,並於去年正式公布三項後量子密碼(PQC)標準,且積極呼籲各界盡快轉換。他提到,傳統資安架構正面臨諸多困境,例如VPN/防火牆無法阻止內部橫向移動,而IT與OT的網域打通,也使得信任邊界模糊,無法應對動態威脅。現今的資安三道防線即是PQC、零信任架構(ZTA)以及實體隔離(Air Gap)。
勤晁科技副總經理薄榮鋼指出,量子破密風暴並非空穴來風,企業應即早部署量子安全(PQC)加解密技術,打好預防針。
隸屬於ZyXEL合勤控股集團,勤晁科技主要為機敏單位、關鍵資訊基礎設施、半導體、醫療等領域,提供符合特(軍)規等級的跨域網路及密碼資通安全解決方案;結合量子安全加解密技術(PQC)、單向閘道器防禦機制和AI能量分析引擎,以提供高效穩定的數據保護,確保機敏資訊免受各類資安威脅。
他提到,現階段部署PQC就像事先打好預防針,而不是等中毒了才想起要安裝防毒軟體,為了防止日後被破密威脅,NIST宣布推出的是FIPS 203、FIPS 204、FIPS 205,其中FIPS 203是公鑰加密,而FIPS 204、FIPS 205都是針對數位簽章,用意是萬一前一個演算法被破解,還有另外一把鑰匙可以拖延時間。
另外,企業雖然有加密,但如果駭客繞過加密,直接假冒身分登入或是因為內網漏洞被突破而讓駭客有機可趁,藉由橫向移動而大幅擴散,這時「永不信任,始終驗證」就至關重要,打造零信任架構有非常多的手段,其中微分段就像防水隔艙,目的就是不要讓惡意軟體蔓延。最後,實體隔離就像是第三道盾牌,藉由斷開網路線或是部署實體隔離的設備來達到資料防護的目的。
運用資訊架構建立醫院韌性
除了導入資安解決方案之外,從基礎架構層級來建構資安韌性更是關鍵基本功。國泰綜合醫院資訊部系統網路組組長彭文俊認為,台灣的醫療機構具有足夠的韌性,不管發生什麼情況,都會想辦法讓醫院的醫療持續營運,不會輕易倒下,之所以具有這樣的信心,是因為醫療院所不管是在基礎架構的設計、醫療韌性的管理(包含緊急應變演練)以及資料備份還原機制等等都下足了功夫。
國泰綜合醫院資訊部系統網路組組長彭文俊認為,除了堅實的基礎架構外,緊急應變演練也是建構韌性非常重要的一環。
成立於1977年,國泰綜合醫院是國內少見能跨醫學中心、區域醫院、地區醫院甚至診所的醫療機構。自成立以來,不管是在服務、教學或是研究領域均用心耕耘,已多次受到醫學中心評鑑與教學醫院評鑑肯定。不只培育教學、研究與創新的卓越人才,國泰綜合醫院也不斷強化急、重、難症醫療服務,近年來更積極導入ICT資通訊技術,朝向行動化、智慧化及電子病歷化邁進,包括電子病歷、行動智慧化療給藥等等多項系統,致力打造「以病人為中心」的全人照護。
他提到,強化資安韌性有很多面向,首先醫療資訊架構就必須要具備高效、安全以及可靠的要件,不論是伺服器、網路、儲存設備或是資安防護方案都是如此。例如,國泰綜合醫院選擇了更可靠的大型主機,同時也架構了內外防火牆、MDR、EDR以及入侵偵測等,防止未經授權的訪問與可疑連線。
其次,針對醫療資訊系統備份,國泰綜合醫院也部署了三套完整備份方式,包含同地、異地及磁帶備份,以確保資料的安全性。在作法上,運用IBM高可用性災難回復(HADR)功能,將總院資料同步至分院;而其他三院區資料也會同步回總院,確保資料安全性,且達成異地存放需求。同時也有磁帶備份,落地存放在汐止與新竹院區。「HADR是IBM DB2其中一項功能,透過此功能可即時的複製資料,確保即使主要資料庫出現故障,備用資料庫也能立即接管,減少停機時間,讓醫療作業持續運作。」
正因為有堅實的基礎架構,包含醫療服務平台、醫務管理平台、教學研究平台以及智慧醫療平台才能順利承載多項軟體服務。舉例而言,醫療服務平台就運行了醫療資訊系統(HIS)、電子病歷(EMR)、醫學影像存檔與通訊系統(PACS)、放射科資訊系統(RIS)、醫療檢驗資訊系統(LIS)、護理資訊系統(NIS)、癌症資訊、轉診醫院資訊、TOCC旅遊史、雲端藥歷查詢系統以及診間報到系統等等;又如智慧醫療平台,則運行了敗血症預測系統、AI影像判斷、多元化自助繳費、放射檢查自助排檢、護理電子白板、生理數據上傳、智慧化血液透析、智慧化療給藥等等。
彭文俊指出,緊急應變演練也是建構韌性非常重要的一環,因為訓練的次數決定熟練的程度,因此,國泰綜合醫院也常常進行緊急應變演練,除了模擬大量傷患、火災演練外,在資訊端也要努力維持核心系統的功能,例如當有事故發生的時候,如何讓醫療資訊以及醫療業務持續地運作,萬一醫療資訊完全中斷,醫生要如何繼續看診,對此國泰醫院也開發了一個單機版作業,以因應當資訊系統當機時,依然可以把原本的病人看診完畢、領藥出院。
「其實,CrazyHunter也曾攻擊國泰綜合醫院的防火牆,但是很快就被發現且防火牆自動阻擋,所以沒有順利地摸進院區。但是這也讓我們心生警惕。」他說明,今年稍早多家醫療院所被攻擊事件就是利用醫院在假日人員最少的時候摸進院區,因此國泰綜合醫院也組成了資安小組,整合LINE即時通訊機制,在跳出告警時,資安團隊就會接收到告警訊息,立即處理與回應。「不管是資安防護的建置還是醫院韌性的強化,關鍵還是需要有長官能夠大力支持,」彭文俊說明,醫學中心還是需要副院長等級以上來擔任資安長的角色,否則部門跟部門之間的協調很難跨越,更遑論實現跨部門的運作。