醫療資安並不能只看資通安全管理法,在此之外,還要合併評估醫療法以及電子病歷,亦即在考量資安防護時,有些會偏重資料保護、有些則是傾向於網路架構,也有些則是要藉由改變醫療執行流程才能達到,必須從總體面向來考量,資安防護才能更完備。
智慧化已成醫療轉型的現在進行式,運用科技來提供更好的服務品質,打造以病人為中心的全人照護,更是目前醫療院所著重的趨勢走向。然而,醫療產業具有大量病患隱私資料的特性也受到駭客覬覦,資安攻擊事件時有所聞。面對日益激增的駭客與惡意軟體攻擊,衛福部為了提高國內醫療院所資安防護概念、強化資安韌性,2018年已完成醫療資安資訊分享及分析中心(H-ISAC)建置,以資安聯防概念即時分享醫療情資;2019年更將醫院評鑑連結到資通安全管理法,從原本依據資訊安全管理ISO 27001,改為要求合規資通安全管理法。
長庚醫療財團法人行政中心總執行長潘延健認為,醫療評鑑改以資通安全管理法為基準,對於落實資安防護更有好處,方向也更明確。他提到,ISO 27001是一套資訊安全管理國際標準,在這個框架下,主要是從機密性、可用性以及完整性這三個角度出發,多數都是告知一些原則。但是在資通安全管理法中,明確規定必須有資安組織,甚至還規定必須由副院長層級來擔任資安長,才能把醫院的方向確定下來。「這是與時俱進的作法,以半強迫的方式讓醫療機構跟上資安要求,也是推動往前邁進的好開始,尤其是國內大型醫療機構也會因此而將資安防護機制提升到一定的水準。」
然而他也提醒,醫療資安並不能只看資通安全管理法,在此之外,還要合併評估醫療法以及電子病歷,亦即在考量資安防護時,有些會偏重資料保護、有些則是傾向於網路架構,也有些則是要藉由改變醫療執行流程才能達到,必須從總體面向來考量,資安防護才能更完備。
舉例而言,在醫學中心的醫院評鑑基準及評量項目,經營管理第1.4章病歷、資訊與溝通管理中,就有提到,病歷應按內容類別編排有序,檔案排列整齊易於調閱;病歷調出與歸檔有做出入庫管理與遞送時效管控;有切實追蹤查核制度,防止遺失;以及病歷經刪改,其刪改部分應予保留,嚴防病歷遭竄改、損毀及不當取得或使用,電子病歷置有備份防止滅失,且有確保系統故障回復及緊急應變之機制等等。甚至要在法定保存年限內完整呈現病歷紀錄等等,資安考量其實已經融合於其中。
建立聯防機制 快速掌握情資提早因應
目前長庚醫療體系的各院區都設有資安長,由於整個長庚醫療體系有200多名資訊相關人員,一半以上集中在行政中心,主要專注在程式開發、系統維運以及資料庫管理等面向,其餘的資訊人員則分散在各院區,在合規每院區至少要有四名專責資安人員的要求方面,基本上都能滿足,甚至不只四名專精資安人員。
與其他醫療院所較為不同的是,長庚醫院並不是由行政或資訊主管來兼任資安長,而是由醫療主管來擔任。「資訊科技只是落實資安防護最基本的條件,資通安全應該像保密防諜,人人有責。如果醫療團隊能夠更重視與了解資安,那麼資安的推動就會更徹底。因此,長庚醫療體系的各個院區都會由一位醫療副院長,來擔任該醫院的資安長,與醫護人員的溝通可以更直覺。」他說。
不只是院區的資安防護,包含林口長庚紀念醫院與高雄長庚紀念醫院也都分別與法務部調查局簽定資安合作備忘錄,未來雙方將透過資安交流、協防應變及經驗分享等方式,建立資安聯防機制,共同守護醫療資訊安全。潘延健指出,長庚醫院的各個院區幾乎都有與在地的調查站簽定協防的合作備忘錄,這個合作案其實能夠讓醫院獲得更多的網路攻擊情資,進而達到互提互通。由於法務部調查局的案件不會只有醫療機構,也可能是某電子廠、百貨公司或是政府機關,隨著搜集到的情資越來越多,就等於建立了醫院的千里眼與順風耳,可以很快地掌握訊息,提早因應。
技術、預算與策略制定都是挑戰
由行政中心負責統籌總體資安架構規劃,潘延健認為醫療院所落實資安防護的過程中,主要會面臨幾項挑戰,首先是駭客入侵的手法不斷進步,醫院也必須不斷地跟進,與時俱進學習,而且新技術不只IT會運用,駭客也會推陳出新,當駭客手上握有更強大的工具時,醫院原本建構的防護力就會不足,這時就必須仰賴升級或採購軟硬體來補強,這對醫療機構將是一筆不小的負擔,即便是像長庚這類大型的醫療機構,也是如此。
其次是資安防範面向非常廣泛,而且軟硬體解決方案也有成千上萬,如何挑選到對的方案或是對的策略方向,也考驗著高階主管的智慧。
「資安到底要防守什麼?駭客或惡意軟體會透過什麼途徑?必須要有清楚的認知才能從中挑出該有的防護作法。」他引用先前衛生福利部資訊處副處長王復中曾在一場簡報中分享的觀點,指出資安的架構可以分為兩個維度,一是從管理控制的維度來看,任何事件都有事先預防、事中處理,以及事後還原。每一階段都有相對應的解決方案,如果要加強事先的預防,可以從對駭客識別或是導入防火牆來強化,而事中處理對應的是萬一遭受攻擊,有沒有辦法很快地偵測到,抑或是在攻擊初期就能很快地找到,並且可快速地回應或處理。最後是亡羊補牢,當資安事件已經發生了,就能想辦法很快地復原。
而另一個維度是從受保護的個體項目來看,從硬體設備、系統、應用程式到網路、資料、使用者,都可能是要保護的標的,以往這些標的全部都交錯在一起,一旦把它梳理開了之後,就很容易地找到定位,得知現在要加強的部分,或是原先有哪裡不足。
長庚醫療財團法人行政中心總執行長潘延健指出,醫療評鑑改以資通安全管理法為基準,對於資安落實更有好處,方向更明確。
潘延健認為,在整個資安部署與架構中,每一個區塊都可以從這個兩個維度找到角色,有時候並不單純屬於其中一個,可能是事前的預防卻又帶一點偵測,或者是在硬體與網路之間有融合重疊在一起,但是最終還是可以拆分出來,若是對照到解決方案,就可以知道彼此之間有沒有重複,如果有重複,就從中找出當前對醫院幫助比較大的方案,不要重複投資。
他強調,有時候不能夠單靠自己的能力,還是要大家一起來聯防,透過第三方機構就是一項很好的方法,例如流量清洗就可以委由專業的業者合作,把資安做得更完整。另外,針對OT設備也要想辦法克服,否則還是有可能成為漏洞。「過去的資安防護思維很像一座萬里長城,想要在哪裡防止別人進入,就在哪裡築一道牆,不管是架設幾台不同的網路資安設備以協助偵測、阻擋,或是採取白名單、黑名單的作法,或者提供一些內容過濾的功能,目的就是把威脅阻絕在外,但現在的趨勢已經走向軟體化,透過軟體做網路的微分割可以區隔得非常細緻,在管控上就可以做到更完善。」