有鑑於醫療業數位轉型已成大勢所趨,衛福部資訊處處長龐一鳴宣佈衛福部將電子病歷交換中心(EEC)架構改為FHIR 交換架構,以符合國際醫療資料交換標準,並降低眾多接口產生的資安風險。Impactio-國際學術影響力分析平台,聯合國立台灣大學、國立成功大學以及臺北醫學院所屬的大型醫療研究 機構,共同舉辦【醫療數位轉型路上的資安挑戰與威脅】趨勢論壇,由科技部人工智慧生技醫療創新研究中心的張丹菁副執行長、科技部補助台大人工智 慧技術與全幅健康照護聯合研究中心的曾柏元共同執行長,以及台大醫院內科部暨健康管理中心的林鴻儒主治醫師擔任主講人。
疫情時代帶動數位轉型需求,加速促成新型互動模式
過去這幾10年來,台灣都一直在談「數位轉型」這件事情,而且不限於醫療業,各行各業包括像是製造業、服務業都在談也在嘗試數位轉型,但是我們的世界中仍保有許多傳統、實體的產物與習慣,但是一次嚴重的疫情Covid-19 來襲,所有的方面都在加速運轉。數位轉型其實通常都會是來自於一個「事件」進來帶來「一些需求」產生。
數位轉型其中一個帶來的變化:連續式的演進 → 產生連續數據 → 量化資料回饋至質化方面的演進
我們所經歷的數位轉型,從生活中來看,現在只要進到每一個商店、學校場所等,每一個地方都有台機器量體溫,從早期的只能量體溫,到後來可以測 量臉部、手部單個部位的體溫,到後來即便帶著口罩都可以精準量測,同時 也可以消毒,其實就是健康管理的一個演進。
連續式演進,背後就 會產生連續數據,而連續數據的量化也會提升醫療質量本身,帶動醫療服務的即時性、有效性和安全性全方位的演進。舉例來說,糖尿病一直都是全世界的十大死因之一,近三年還持續飆升,而糖尿病一開始醫療相關的裝置, 也從尿糖、單次的血糖、飯前、飯後的血糖,到現在其實在國外已經有裝置可以遠距式偵測血糖。
此外,針對病情服用藥物過程中,也可根據連續數據而去做一些醫療方針調整,國外也有一些所謂針對胰島素的幫浦,如果於評估過程中發現異常狀況,就可以根據數據自動計算,並提供適當的劑量。而醫院端如何去好好地處理大量的連續性的數據,並提供即時的診斷、照護、提醒與警示,這是醫療業本身正在致力轉型和努力的部分。
醫療業的五大資安破口一次看
近年來政府頒布資通安全法,原本技術門檻就十分高深的醫療業,再加上困難的資安議題,讓醫療資安成為許多臨床界、業界的痛點。目前醫療產業正面的危機可分為五大資安破口:
● 健保 VPN:勒索病毒入侵與擴散
● 端點設備:Windows 檔案共享、遠端桌面服務
● 伺服器主機/OT 設備:作業系統老舊無法更新、防毒無法支援等等
● 內部網路:容易破解的密碼
● 護理推車:資料傳輸安全、週邊設備如 USB、藍芽等存取控制
資安即國安,其實資安也即為病安,當面對這些危機時,如何做到完善的資料備份?醫院系統與設備老舊的狀態下,弱密碼(像是大家很喜歡用 0000 或 1234、自己的生日等作為萬用密碼)與打工兼職人員的權限等都是值得我們深思的話題。
如何在臨床上取得資安和醫療效能的平衡?
醫院系統上分為軟體與硬體的應用,還有醫院內部系統如 PIS 病理資訊系統、RIS 放射線報告系統,以及架構外部系統如生理裝置、醫療儀器、醫療設備甚至到用手機或是平板用的 APP 等。像是資訊安全管理標準 ISO 27001,這些規範是否會造成過度重視資安,反而造成臨床執行的困難,而本末倒置?
例如:當醫師、護理人員在醫院遇到特殊疾病案例,需要查閱必要文獻,或者是查詢國際的guidance,因而需要連網,但如果在 ISO 27001 架構之下,可能我們要輸入病歷的電腦,不能連接對外網路,必須使用內部系統、網路,或者是必須向資訊室申請,造成明明是很簡單的一件事, 卻必須要透過非常繁瑣的方式。所以資安的實際落地,其實困難點不一定是技術,而是配合以人為本的宗旨時,能達到資訊安全防護目的的同時,也不過度影響本身業務。
資安很花錢?沒有做好資安防護,以後會花更多錢!
資安、環保、永續聽起來都很花錢,但是如果真的發生勒索事件,需要花更多錢,而目前的網路世界中,網路攻擊幾乎是來自全世界且無時無刻都在發生,所以資安在現代社會看來是一種必要投資,甚至可以說是份必要保險,任何與網路有相關的事業、機構都需要具備的資訊安全風險意識,未來遇到挑戰時,才能夠不花冤枉錢又賠掉重要資料。
此外,資安也是與我們每個人息息相關,而不只政府、公司、機構需要煩惱, 舉例來說,今天有個厲害的駭客,經過戴有心臟節律器的患者時,只要經過你身邊,可以讀取心律數據並操縱之,在以往的世界資安大會上,現場就直 接運用假人做實驗展示駭客攻擊心臟節律器,現場假人原地爆炸,令與會者 都震驚不已。現今駭客已經不是在網路上攻擊網站這麼簡單,甚至能達到操 縱你我生命的地步,所以資安即人身安全並非誇大其辭的電影情節,更是與 我們每個人都息息相關的議題。