根據Fortified Health Security發布的2025年醫療資安前瞻報告,醫療產業面臨更複雜的資安威脅,特別是在第三方風險管理和醫療物聯網(IoMT)、人工智慧應用方面帶來新的挑戰。
報告顯示,2024年雖然資安事件數量減少7%,但受影響的病患數量卻增加超過1,500萬人,資料外洩記錄總數更是年增9%,達到1.83億筆。特別值得注意的是,健康資訊交換中心的資料外洩事件較前年大幅增加2453%,顯示資安威脅正在轉向醫療產業的關鍵資訊基礎設施。
2023 vs. 2024: 醫療院所資料外洩來源
第三方風險管理成熟度框架 TPRM
第三方供應商風險管理已成為醫療資安的重要課題。報告中特別提出第三方風險管理成熟度框架(TPRM Maturity Framework),將組織的風險管理能力分為五個等級:
- 第一級:缺乏可靠的第三方供應商清單,組織對重要合作夥伴僅有非正式的識別,缺乏系統性的紀錄。建議優先進行全面的業務影響分析(BIA),建立準確的供應商清單。
- 第二級:已能識別關鍵供應商但缺乏風險洞察,組織需要將這些供應商納入結構化的風險管理流程,取得獨立稽核報告並審查其控制環境。
- 第三級:採購前評估不一致,組織開始建立問卷調查機制,但僅能提供有限的風險洞察。建議將TPRM評估標準化,作為新供應商的必要程序。
- 第四級:採購流程與TPRM流程整合,風險評估成為採購決策的必要考量,有效降低引入高風險供應商的機會,並促進跨部門合作。
- 第五級:全面且成熟的TPRM計畫,包括定期評估現有供應商關係、持續監控,以及完整的風險接受流程,能有效管理整個供應商生命週期的風險。
根據台灣衛福部類,台灣醫療院所目前分為「醫學中心」、「區域醫院」、「地區醫院」及「基層診所」等四級。
為了協助醫療院所提升風險管理能力,報告建議各醫療級別院所的改進方向。對於初級階段的組織,應從建立完整的業務影響分析(Business Impact Analysis)開始;中級組織則需要將關鍵供應商納入風險管理流程,並標準化評估程序;而高級組織則應致力於識別替代供應商以降低營運中斷風險,同時實施持續性監控。
在技術層面,人工智慧已成為攻防雙方的新戰場。攻擊者正在運用AI技術進行更精密的網路釣魚和自動化攻擊,特別是利用生成式AI工具增強網路釣魚攻擊的效果,使其更難被偵測。防守方面,醫療機構也開始運用AI進行即時威脅偵測與應變,但同時需要在推動AI創新與維護資安之間取得平衡。
醫療物聯網(IoMT)的安全挑戰
報告特別指出醫療物聯網(IoMT)的安全挑戰與發展趨勢。IoMT市場預計從2022年的487億美元大幅成長至2032年的3,709億美元,顯示醫療機構對IoMT設備的依賴將持續增加。
報告強調,2024年由Forescout Research發布的研究已經指出藥物配發系統存在顯著的資安漏洞。目前醫療機構普遍認知到IoMT安全的重要性,根據2024年8月至9月間的調查顯示,有60%的醫療系統主管計劃在2025年將資安列為重點項目。
報告分析醫療物聯網所面臨的三大主要挑戰:
- 安全解決方案的複雜性
報告指出,IoMT安全解決方案的複雜性主要來自於設備本身的特性。醫療物聯網包含了各種不同類型的設備,從藥物配發系統到病患監控設備,每種設備都有其獨特的安全需求和潛在漏洞。這種多樣性使得開發和實施統一的安全解決方案變得極為困難。
- 資源限制
醫療機構在實施IoMT安全措施時常面臨資源限制的問題。這些限制不僅包括財務資源,還包括人力資源,特別是具備醫療領域專業知識的資安人才。報告顯示,醫療機構需要在有限的預算內平衡各項資安需求,這使得全面性IoMT安全解決方案的實施變得更具挑戰性。
- 任務優先順序競爭
在醫療環境中,臨床服務和病患照護始終是最優先的任務。IoMT安全措施的實施必須與這些核心任務協調,確保不會影響到日常醫療服務的運作。這種優先順序的權衡常導致安全措施的實施進度延緩。
在法規遵循方面,美國紐約州已於2024年10月實施更嚴格的醫療資安要求,要求醫院在遭受網路攻擊後72小時內通報,並在一年內完成全面的安全措施部署。這項法規涵蓋超過200家醫院,預期將引領其他州跟進制定類似法規。
醫療資安未來展望:平衡創新與防護
根據報告最終結論指出,AI正在改變醫療產業,為病患照護和營運帶來巨大潛力,但同時也帶來顯著的資安風險。
面對這樣的發展趨勢,醫療機構必須採取主動且適應性強的資安策略,以保護敏感資料和確保病患安全。隨著AI技術持續發展,醫療服務提供者需要在創新與安全之間取得平衡,持續關注新興威脅,並與監管機構保持密切合作。
報告強調,透過這樣的方式,醫療機構才能安全地運用AI的力量,同時確保其系統安全,並履行對病患照護的使命。
醫療資安不再只是合規性要求,而是確保整個醫療生態系統持續運作的關鍵要素。
建立安全且具韌性的醫療資安生態系統需要所有利害關係人的共同努力。從大型醫療系統到小型診所,每個組織都在預防網路攻擊、保護病患安全和長期資料隱私方面扮演重要角色。透過公私部門的合作和真實的協作,才能建立更安全的醫療產業。