在8月據媒體報導國內有50多家醫療院所遭受駭客攻擊,當中包含衛福部所屬的臺北醫院與彰化醫院,有達二佰多萬筆病歷資料被駭客加密勒索,威脅需支付虛擬貨幣來保存資料。這次事件,衛福部證實在29日即接獲情資,並於30日電子病例交換中心平臺已發出EEC GATEWAY故障排除建議程序的公告,後續證實已有22間醫院受害,所幸各院所工作電腦主機已復原,並不影響醫療業務運作,目前也沒有傳出個資外洩的狀況。這次攻擊事件突顯現有醫療系統存在的資安弱點,必須清查出原因及找出因應之道,避免再受同樣的威脅。
這並不是醫療機構首次被攻擊的案例,事實在2017年勒索病毒WannaCry就曾造成一百五十個國家、二十萬台以上電腦中毒,當時英國的醫療系統(NHS)也遭受了嚴峻考驗,據CNN報導,大約有25家醫院遭到大範圍攻擊而無法正常運轉,這些被攻擊的醫院,醫院的內網被攻陷、電腦被鎖定、電話不通,黑客勒索要求每家醫院需支付一定數量的比特幣作為贖金,否則將刪除所有資料。造成當時受害醫院手術被取消,救護車被迫轉向其他醫院。
對醫療機構而言,為了更有效打擊疾病及照顧病人,醫院間常需要進行病歷資料分享。當然醫療機構對病人有病歷保密義務,但醫療機構的行政管理重心往往放在如何分享,在醫院資訊化的過程中,往往只注意到提高醫療技術和服務品質,而忽略了資安的重要性。許多遭駭的醫院,事後發現資安設施相對落後,甚至仍使用已不再受更新支援的過時作業系統。醫療機構在資安投資上普遍不足,因此而淪為駭客眼中的肥羊。
而近年國內積極推動發展智慧醫療,許多醫院投入大量資源發展醫療上的智慧化,的確是有不錯的成績,卻少有人注意到資安的重要性。在建構智慧的醫療系統,前提是更大量、完整的資料需要互享。尤其是醫療物聯網的自動化資料交換性質,更易遭駭客鎖定。資安問題重在預防,目前醫療物聯網產業尚在發展之初,應及時正視此問題,避免未來災難性的事件發生。
歐盟的個資保護規則GDPR,就提出兩個重要系統性資安觀念:Privacy by Design(將隱私原則納入設計)及Data Protection Impact Assessment(隱私保護影響評估)。智慧醫療軟硬體及系統,在設計階段就應該注意個資隱私保護,且應進行系統性的評估。美國衛福部及FDA,對於醫療機構應具備的資安標準、管理流程及醫材資安設計,也有清楚的行政指引。目前衛福部於去年已完成醫療資安資訊分享及分析中心(H-ISAC),透過這中心跟醫療機構合作進行資安聯防,鼓勵醫院加入聯防彼此分享資安資訊,未來還將再建立通報應變中心(CERT)及監控中心(SOC),也將訂定資安防護基準(baseline),供基層醫療機構(約2萬餘家診所)強化資安防禦。但國內在醫療行政管理及醫材研發標準尚有待政府推動建立。
面對智慧醫療時代,國內醫療機構將會面臨更迫切、大規模的資安威脅,除了依靠政府及衛福部外,各醫療機構在資安建設上也需投入更多的資源來因應。