文 / 邱詩琁
單就健保IC卡本身之安全性,可分做三個部份來檢視:卡片本體、晶片與外界通訊的介面。健保IC卡的卡片外觀所放的顯性資料,也就是肉眼可見的為保險對象的基本資料,包括姓名、身份證號、出生日期、卡片號碼及照片,民眾日後持貼有照片的健保IC卡就醫時,便無需再攜帶身份證明文件。該部份沒有隱私外洩的疑慮,只是健保卡因具有個人身份辨試之用途,如同駕照般可用作身證明文件之用,個人都應盡妥善保管之責,以免遺失被冒用人頭,這無分紙卡或IC卡之別。
至於卡片的防偽機制,擁有國內最大製卡中心的宏通數碼科技電子商務部協理鄭嘉信表示,IC卡的偽造技術難度本來就蠻高的。目前銀行金融所積極推動的IC金融卡、信用卡,亦是希望能夠防堵越來越多的偽卡及磁條遭盜錄的問題。晶片卡可能遇到的攻擊方式有:電力分析(Power Analysis)、時間分析(Timing Analysis)、錯誤歸納(Fault Induction)及瞬間的電磁脈衝放射標準(Transient Electro-Magnetic Pulse Emanation Standard , TEMPEST)等,健保局表示針對這些攻擊的防護在規畫和製造卡片前皆以考量進去,因此健保卡上的IC晶片足以抵抗這些攻擊。
除了偽造IC不易外,健保IC卡在塑膠卡片上也做了許多防偽的機制。包括彩虹紋印刷、扭索狀設計、細微字印刷、光學變色油墨等以增加偽造的難度。
卡片內資料卡片上IC所儲存的資料則稱為隱性資料,目前健保局規畫區分為個人基本資料段、健保資料段、醫療專區、衛生行政專區四個資料段,將分階段上線,而非一次上線。根據健保局所規畫的三個上線階段,到今年年底為第一階段輔導期,只寫入基本資料及健保資料段,而健保資料段的重大傷病代碼,將於明年開始的第二階段適應期才增列進去。醫療專區、衛生行政專區在第一階段都未實施。
因此在此階段健保卡遺失或遭竊,並不需擔心個人機密資料外洩。另一令人困惑的是卡片內的資料是否如此輕易就能被讀取?要讀取卡片的資料需要可支援的讀取設備如讀卡機等。
讀卡機設備根據健保局的設計,目前有三款讀卡機可供健保IC卡使用。而每一台被健保局授權認可的讀卡機中皆鎖有一安全模組卡(SAM)卡,藉由模組卡做插入的IC卡及醫事人員卡的認證。關於存有私密金鑰的SAM卡的安全控管程序為:申請核准發放均在總局SAM卡製卡室、RSA Key Pair由金鑰伺服器硬體模組產生、私密金鑰存在卡片內、公開金鑰存健保局金鑰室。
SAM卡除採RSA之公開金鑰演算法,其作用主要是做健保IC卡、醫事人員卡與讀卡機、IDC間之認證,原則上卡片存放內容之讀寫均須透過SAM卡,另外敏感資料則需同時須搭配醫師卡或PIN CODE之設定,以增加其隱私性。但為方便未來實際作業所需,包括基本資料段(顯性資料已顯示者)、健保資料內之就醫可用次數及最近一次就醫序號等欄位,也就是無關個人隱私部份,開放可使用不須搭配SAM卡使用一般讀卡設備讀取。
每當讀卡機關閉電源重開時,都必須連線至高雄IDC認證,藉由SAM卡做該機器合法性之檢查,並與IDC的主機對時,以確保上傳資料的時序,並做軟體版本的更新檢核。
對民眾而言,讀卡機最主要是供查詢及更新健保卡資料,其查詢的權限包括查詢健保IC卡的剩餘就醫次數、2年內已就醫的累計次數、最近6次及2年內的就醫費用、健保IC卡的有效期限及卡片的資料內容(目前僅有第一階段的開放內容),更新的需求則是在就醫滿六次後,再更新另一個六次的就醫可用次數,此時未再保或積欠保費者便無法更新。另外健保卡的有效期限為一年,以個人的生日為計算基準點。因此讀卡機可更新卡片的有效期至次年之生日。
而僅有相關的醫事人員才具有寫入訊息的資格,負責健保IC卡專案中讀卡機的生產、佈建的瑛茂電子市場及行銷部資深副總經理李長煌表示,此時便需要同時插入醫事人員卡、健保IC卡和卡機內的SAM卡做認證,相當於三個認證步驟,安全性也相對增強。且卡片內所儲存的資料均會自動做加密處理。
為了讓安全更多一分保障,持卡人可選擇是否再加入個人密碼(Pin code),以個人密碼優於醫師卡之讀寫授權,需經過民眾輸入密碼才得以開啟資料。
網路安全機制根據健保局所提供的資料,健保局網路採用三道防火牆,並會不定期模擬駭客入侵狀況。且資料是在一封閉性的專屬網路跑,並不與網際網路相連,因此不會有外部駭客入侵的問題。但需注意的是,各院所的電腦設備亦有可能因與別台電腦相連或做資料分享而遭受病毒感染,若該台電腦與健保局相連仍有可能在內部網路中造成病毒的流竄。健保局表示,會和防毒公司建立隨時更新病毒碼的閘道(Gateway),並由主機端提供使用端更新程式。
IC卡資料中心建置於高雄,為對所有醫療院所業務之網路交換中心(IDC),建於台北的健保總局則為網路備援中心,和各醫療院所端的連線方式採用ADSL固接、專線及視需要提供少量電話撥接服務。並建立專屬網路架構,使用Private IP,未來包括各醫療院所費用的申報、院際之間電子病歷、轉診轉檢資料的交換,及提供提供藥局診所查詢的藥品交互作用資料庫皆是透過此一私有網路傳輸。
另外包括系統、資料的備援機制、UPS不斷電系統、使用記錄log存檔等,皆在安全機制的考量當中。並設有危機應變小組,研訂危機處理應變計畫,明定危機種類、等級、認定與啟動程序,作為緊急應變及危機處理機制之事前防範措施,若遇緊急危機(如天災、停電),則立即採取擬定好的事後應變機制。
上傳資料之安全醫療院所每日需上傳資料至高雄IDC,傳輸的資料如何確保其安全?除了是在一外部駭客無法入侵的內部網路傳送外,傳送的資料都會經過加密處理,即使被截取,亦難以破解。上傳上去的檔案會做其完整性及合法性的檢查,彙總資料解密後,針對資料再查檢其合法性才加以儲存。使用者做卡片資料更新時,從透過讀卡機進入IC卡內部網路,需經過IC卡網路伺服器、卡片更新處理應用伺服器、加密伺服器等重重關卡,其間並有三道防火牆的保護機制。
最大挑戰:人為疏失、惡意破壞健保IC卡在推動之初,面臨倉促上路的質疑,關於隱私權的爭議,健保局表示,健保IC卡現階段開放使用之欄位內容,僅限於取代紙卡原有功能,並不涉及隱私。而對於侵犯個人隱私權之問題,健保局也已積極與各相關人權及病友團體開拓對談平台,持續溝通,以利未來存放用藥、檢驗、檢查等資料,保障民眾對醫療知的權益與自主管理權。且健保IC卡之記憶容量僅有32K位元之空間,大家所關切之個人就醫隱私資料,係記錄並存放在各醫療院所製作之病歷中,無法存放病人於各醫療院所就診之所有病歷資料及檢驗檢查的影像資料,設計之存放欄位內容僅止於健保業務中有利於民眾就診作業的資訊。
各醫療院所應做好資訊安全管理
如同金融卡大筆客戶資料外流多半為內神通外鬼之情況,以健保局的安全機制來看,能夠讀寫到病患隱私資料的僅有醫師人員,針對醫師人員的權限控管格外重要。除了民眾可決定是否先自行輸入密碼通過後,才進而讓醫師人員進行病歷之讀寫。電子病歷間的資料在院際間的交換、儲存、管理,所遇到的最大挑戰非僅技術或駭客之問題,如同多數資安事件調查結果,「人」為疏失或惡意破壞,尤其是組織內部人員,大多數資安事件皆是因其而起。
因此建議各醫療院所應遵循BS7799資訊安全管理規範,導入ISMS資安管理系統,或是參考BS7799內的控制目標和方法,做好資訊安全的管理。健保局資訊處處長李菱菱表示,健保局有考慮導入BS7799,但之前在詢問顧問費用時,發現金額過高而暫緩了腳步。除了健保局本身應率先導入做為表率,建議可效法研考會補助政府機關資訊人員上BS7799之相關課程,可以和相關的開課單位、講師合作,教育各醫療院所的資訊人員,豈碼對此規範有基本的認識,成為種子人員去推動整個院所的資安觀念。
導入PKI、身份認證,對內部人員做嚴密控管
醫療憑證管理中心(HCA)從今年年初開始陸續發放醫事人員及執業機構憑證。該憑證主要可做為醫事人員身份之確認及傳輸資料之保密,以利未來院際間醫療資訊、電子病歷交換認證,並結合國民健保IC卡,可讀寫重大傷病、過敏藥物、處方箋、器官捐贈同意與否等相關欄位權限。
該憑證主要做為醫事人員身份之確認及跨院際的使用,但醫院內除了電子病歷外,相關的行政、業務資料等都應保密,因此針對院內員工及上下游廠商和配合之藥商間,可考慮導入院內的CA發放憑證,做為院內員工權限控管之用。院內自建CA憑證中心,可依據醫院自行的需求、政策來規畫,因此憑證政策若有修正,也可立即更改與發佈,包括憑證有效期限、金鑰用途、不同用途的憑證,都可自行定義、發放。針對醫事人員,可將其院內及HCA憑證匯入院內目錄伺服器做統一授權管理,並將兩者憑證未來之整合預做考量。
提升各醫療院所資安品質
電子醫療資訊雖能提升醫療資訊品質、改善醫療資訊管理效率,但電子資料傳遞、複製之方便、快速,都是醫院資訊管理要面臨的另一波挑戰。如何確保員工都具有充份的安全觀念,以保障民眾的機密隱私資料,例如不會為求一時之便,便將自身的卡片和密碼輕易交給他人等,都需更多相關的教育訓練來推廣。
許多中小型醫療院所e化程度偏低、甚至尚未e化,能否在e化的同時便同時將安全考量進去?相關的人員是否有足夠的資安體認,都是滋事體大之事。健保局表示,當初澎湖試辦計畫中所發生的內部網路病毒感染事件,是因其中某單位的電腦和該院內其他電腦相連而染毒,由此可見,任何一連網單位的任一小節皆不容輕忽,整個醫療體系的資安體質都應進一步提升。(參考資料:健保IC卡宣導網站 http://www.enhi.com.tw/,醫事憑證IC卡 專屬網站 http://hca.doh.gov.tw/HCA/main.jsp)