在8月據媒體報導國內有50多家醫療院所遭受駭客攻擊,當中包含衛福部所屬的臺北醫院與彰化醫院,有達二佰多萬筆病歷資料被駭客加密勒索,威脅需支付虛擬貨幣來保存資料。這次事件,衛福部證實在29日即接獲情資,並於30日電子病例交換中心平臺已發出EEC GATEWAY故障排除建議程序的公告,後續證實已有22間醫院受害,所幸各院所工作電腦主機已復原,並不影響醫療業務運作,目前也沒有傳出個資外洩的狀況。這次攻擊事件突顯現有醫療系統存在的資安弱點,必須清查出原因及找出因應之道,避免再受同樣的威脅。
這並不是醫療機構首次被攻擊的案例,事實在2017年勒索病毒WannaCry就曾造成一百五十個國家、二十萬台以上電腦中毒,當時英國的醫療系統(NHS)也遭受了嚴峻考驗,據CNN報導,大約有25家醫院遭到大範圍攻擊而無法正常運轉,這些被攻擊的醫院,醫院的內網被攻陷、電腦被鎖定、電話不通,黑客勒索要求每家醫院需支付一定數量的比特幣作為贖金,否則將刪除所有資料。造成當時受害醫院手術被取消,救護車被迫轉向其他醫院。
對醫療機構而言,為了更有效打擊疾病及照顧病人,醫院間常需要進行病歷資料分享。當然醫療機構對病人有病歷保密義務,但醫療機構的行政管理重心往往放在如何分享,在醫院資訊化的過程中,往往只注意到提高醫療技術和服務品質,而忽略了資安的重要性。許多遭駭的醫院,事後發現資安設施相對落後,甚至仍使用已不再受更新支援的過時作業系統。醫療機構在資安投資上普遍不足,因此而淪為駭客眼中的肥羊。
而近年國內積極推動發展智慧醫療,許多醫院投入大量資源發展醫療上的智慧化,的確是有不錯的成績,卻少有人注意到資安的重要性。在建構智慧的醫療系統,前提是更大量、完整的資料需要互享。尤其是醫療物聯網的自動化資料交換性質,更易遭駭客鎖定。資安問題重在預防,目前醫療物聯網產業尚在發展之初,應及時正視此問題,避免未來災難性的事件發生。
歐盟的個資保護規則GDPR,就提出兩個重要系統性資安觀念:Privacy by Design(將隱私原則納入設計)及Data Protection Impact Assessment(隱私保護影響評估)。智慧醫療軟硬體及系統,在設計階段就應該注意個資隱私保護,且應進行系統性的評估。美國衛福部及FDA,對於醫療機構應具備的資安標準、管理流程及醫材資安設計,也有清楚的行政指引。目前衛福部於去年已完成醫療資安資訊分享及分析中心(H-ISAC),透過這中心跟醫療機構合作進行資安聯防,鼓勵醫院加入聯防彼此分享資安資訊,未來還將再建立通報應變中心(CERT)及監控中心(SOC),也將訂定資安防護基準(baseline),供基層醫療機構(約2萬餘家診所)強化資安防禦。但國內在醫療行政管理及醫材研發標準尚有待政府推動建立。
面對智慧醫療時代,國內醫療機構將會面臨更迫切、大規模的資安威脅,除了依靠政府及衛福部外,各醫療機構在資安建設上也需投入更多的資源來因應。

相 關 產 品

智慧醫療智慧醫療

09 Oct, 2020

BU4美編專用 AI應用
Read More
智慧教室智慧教室

16 Oct, 2020

BU4美編專用 AI應用
Read More
工廠設備預知保養工廠設備預知保養

17 Sep, 2020

BU4美編專用 AI應用
Read More
生產製程優化生產製程優化

17 Sep, 2020

BU4美編專用 AI應用
Read More