觀點

企業資安需求(四) 醫療產業-人人都是合法使用者 強化資安意識 降低風險

2012 / 05 / 25
廖珮君
企業資安需求(四)  醫療產業-人人都是合法使用者 強化資安意識 降低風險

醫療產業競爭日趨激烈,醫療業者不只要提昇專業能力,更要強化服務品質,才能獲得民眾認同,而保障病患個人隱私、避免民眾最私密的健康資料外流,則是業者提昇服務品質的重要課題。

 

威脅與控制措施

最大威脅:合法使用者多 權限管控不容易

醫療作業分工精細,院內有權接觸病歷資料的人相當多,包括醫師、藥師、護士、檢驗師、醫療研究小組、送病歷的工友等,而且都是屬於合法接觸,這樣的產業特殊性,增加了醫院在防制資料外洩上的難度。

首先是系統權限控管不夠精細的問題。早期建置的醫療資訊系統,沒有針對資安防護設計管理功能,像是沒有保留存取記錄(Log)、無法控制資料輸入/輸出的正確性等,在權限管控上也不夠精細,只依據身份別進行管控,無法防堵那些不是為了醫療目的而點閱病患資料的合法使用者。

這樣的盲點也同時出現在網路端點上,醫院並沒有針對網路端點進行身份識別,任何電腦只要接上網路線就能連上內網,最常見的就是在醫師休息室,醫生只要將桌上型電腦的網路線拔掉,再接到個人NB上,就可以進入內網、下載資料,如果遇到二位醫師共用的休息室,資訊部根本無法辨別是哪一個醫師連上內網。

再者則是醫護人員資安意識不足的問題。之前曾經發生過某醫院的實習醫師為了方便與同學討論,直接將病患資料張貼在臉書上;也有醫師將病患資料下載在隨身碟裡,卻不慎遺失USB;也或者門診醫師直接將醫事人員卡交給跟診護士,諸如此類的狀況,都是因為醫護人員資安意識不足、資料使用不夠謹慎所造成。

建議控制措施:教育訓練、強化系統資安管控功能、權限管控、網路端點身份識別

若要解決醫療業的資安威脅,應該從人員及系統面來規劃。先就人員端來看,主要是加強資安宣導及教育訓練,提昇醫護及行政人員的資安意識,以及建立保護病患個資隱私的觀念,甚至可以要求員工簽署保密切結書,明確要求員工負起保護病患資料的責任。

至於系統面則可分成AP本身及網路端點兩個層面來談:
第一、 HIS、病歷或其他相關系統,必須具備資安管控功能,其做法有: 
a.強制使用者定期變更密碼,且密碼需具備一定的長度強度; 
b.限制大量報表輸出、下載或列印; 
c.系統存取行為記錄與分析; 
d.病歷資料分科存放,限制醫師查閱病歷資料的權限; 
e.限制VIP病人資料的存取權限,只允許最高權限者有使用權; 
f. 動態權限管控:醫療資訊系統的存取權限最好能做到動態、彈性、及時更新,以配合醫療照護需求。

第二、 針對網路端點的身份識別,簡單來說,就是做好網路分流: 
a.醫院配置的電腦才能連上內部網路,醫生個人NB、民眾PC都要導至外部網路; 
b.依據作業環境屬性規劃成不同區域網路,例如:將診間、掛號櫃檯、藥局獨立成一個LAN,所有醫師休息室是一個LAN等;並限制可以連上醫療或病歷系統的作業環境。

優先順序:從教育訓練開始 落實資安防護人人有責

在預算有限的情況下,醫療業者首先要做的控制措施為教育訓練,使醫院人員瞭解資安應盡的義務、擔負責任及相關法規要求,藉此強化其對保護病患隱私的重視度;其次則是強化電子病歷或醫療資訊系統的存取控制,及建立Log留存機制,確保所有的資料存取行為皆有稽核軌跡;最後則是佈署DRM或DLP等防制資料外洩的解決方案,避免內部員工有意(或無意)洩露資料。

 

資安問題背後的原因:預算分配IT擺最後 無專業人員改善問題

然而,醫療業資源有限,預算多用於購置醫療儀器,鮮少用於IT,再加上資訊室人力普遍不足、沒有資安專職人員的配置,MIS僅能滿足資訊業務之運作,無法顧慮到資安議題,甚至有些單位是由醫務行政人員兼任資訊工作,這些人沒有IT專業背景,最多只能做到排除電腦故障,無法識別出醫院既存或潛在的資安威脅,當然更不可能有改善的能力。

 

個資法提醒:

面對個資法,醫療業者必須做好二件事,第一是避免內部員工外洩資料,醫院資訊系統多半被限制在內網存取,內部員工外洩資料的風險遠高於外部駭客攻擊;第二則是強化舉證能力,醫療資訊系統開發時間早,很多都沒有Log紀錄保存的功能,倘若未來遇到訴訟案件,不僅無法追查資料外洩的原因,更無法證明自身已善盡管理責任。 


醫療業安全小提醒
1. 系統權限管控要精細,不能只以身份別做管控依據。
2. 加強資安宣導及教育訓練,提昇醫護及行政人員的資安意識。
3. 要求員工簽署保密切結書,明確要求員工負起保護病患資料的責任。
4. 落實網路端點身份識別,限制特定區域或特定電腦才能連入內網。
5. 建立Log留存機制,確保所有的資料存取行為皆有稽核軌跡。

 

◎資安需求總表請至 資安二手市集 下載

◎相關系列文章:

企業資安需求─2011資安地圖 使用說明

企業資安需求(一) 政府及公共事業服務部門-業務流程管理有疏失 委外專案包袱多

企業資安需求(二) 金融業-表面工夫沒有用 確實運用才有效

企業資安需求(三) 高科技製造業-身分權限是基礎 制度與管理政策更重要

企業資安需求(五) 中小企業-落實權限管控與分工 避免員工掌握過多資料

企業資安需求(六) 電子商務產業-手握龐大客戶資料 Web AP是安全前哨站

企業資安需求(七) 學術機構-校園好多洞 最少應好好遵循ISMS和加密