企業資安需求(四) 醫療產業-人人都是合法使用者 強化資安意識 降低風險

醫療產業競爭日趨激烈，醫療業者不只要提昇專業能力，更要強化服務品質，才能獲得民眾認同，而保障病患個人隱私、避免民眾最私密的健康資料外流，則是業者提昇服務品質的重要課題。

威脅與控制措施

最大威脅：合法使用者多 權限管控不容易

醫療作業分工精細，院內有權接觸病歷資料的人相當多，包括醫師、藥師、護士、檢驗師、醫療研究小組、送病歷的工友等，而且都是屬於合法接觸，這樣的產業特殊性，增加了醫院在防制資料外洩上的難度。

首先是系統權限控管不夠精細的問題。早期建置的醫療資訊系統，沒有針對資安防護設計管理功能，像是沒有保留存取記錄(Log)、無法控制資料輸入/輸出的正確性等，在權限管控上也不夠精細，只依據身份別進行管控，無法防堵那些不是為了醫療目的而點閱病患資料的合法使用者。

這樣的盲點也同時出現在網路端點上，醫院並沒有針對網路端點進行身份識別，任何電腦只要接上網路線就能連上內網，最常見的就是在醫師休息室，醫生只要將桌上型電腦的網路線拔掉，再接到個人NB上，就可以進入內網、下載資料，如果遇到二位醫師共用的休息室，資訊部根本無法辨別是哪一個醫師連上內網。

再者則是醫護人員資安意識不足的問題。之前曾經發生過某醫院的實習醫師為了方便與同學討論，直接將病患資料張貼在臉書上；也有醫師將病患資料下載在隨身碟裡，卻不慎遺失USB；也或者門診醫師直接將醫事人員卡交給跟診護士，諸如此類的狀況，都是因為醫護人員資安意識不足、資料使用不夠謹慎所造成。

建議控制措施：教育訓練、強化系統資安管控功能、權限管控、網路端點身份識別

若要解決醫療業的資安威脅，應該從人員及系統面來規劃。先就人員端來看，主要是加強資安宣導及教育訓練，提昇醫護及行政人員的資安意識，以及建立保護病患個資隱私的觀念，甚至可以要求員工簽署保密切結書，明確要求員工負起保護病患資料的責任。

至於系統面則可分成AP本身及網路端點兩個層面來談：
第一、 HIS、病歷或其他相關系統，必須具備資安管控功能，其做法有： 
a.強制使用者定期變更密碼，且密碼需具備一定的長度強度； 
b.限制大量報表輸出、下載或列印； 
c.系統存取行為記錄與分析； 
d.病歷資料分科存放，限制醫師查閱病歷資料的權限； 
e.限制VIP病人資料的存取權限，只允許最高權限者有使用權； 
f. 動態權限管控：醫療資訊系統的存取權限最好能做到動態、彈性、及時更新，以配合醫療照護需求。

第二、 針對網路端點的身份識別，簡單來說，就是做好網路分流： 
a.醫院配置的電腦才能連上內部網路，醫生個人NB、民眾PC都要導至外部網路； 
b.依據作業環境屬性規劃成不同區域網路，例如：將診間、掛號櫃檯、藥局獨立成一個LAN，所有醫師休息室是一個LAN等；並限制可以連上醫療或病歷系統的作業環境。

優先順序：從教育訓練開始 落實資安防護人人有責

在預算有限的情況下，醫療業者首先要做的控制措施為教育訓練，使醫院人員瞭解資安應盡的義務、擔負責任及相關法規要求，藉此強化其對保護病患隱私的重視度；其次則是強化電子病歷或醫療資訊系統的存取控制，及建立Log留存機制，確保所有的資料存取行為皆有稽核軌跡；最後則是佈署DRM或DLP等防制資料外洩的解決方案，避免內部員工有意（或無意）洩露資料。

資安問題背後的原因：預算分配IT擺最後 無專業人員改善問題

然而，醫療業資源有限，預算多用於購置醫療儀器，鮮少用於IT，再加上資訊室人力普遍不足、沒有資安專職人員的配置，MIS僅能滿足資訊業務之運作，無法顧慮到資安議題，甚至有些單位是由醫務行政人員兼任資訊工作，這些人沒有IT專業背景，最多只能做到排除電腦故障，無法識別出醫院既存或潛在的資安威脅，當然更不可能有改善的能力。

個資法提醒：

面對個資法，醫療業者必須做好二件事，第一是避免內部員工外洩資料，醫院資訊系統多半被限制在內網存取，內部員工外洩資料的風險遠高於外部駭客攻擊；第二則是強化舉證能力，醫療資訊系統開發時間早，很多都沒有Log紀錄保存的功能，倘若未來遇到訴訟案件，不僅無法追查資料外洩的原因，更無法證明自身已善盡管理責任。