醫療產業具有高度醫療專業、精密儀器設備及巨量病患隱私等特性,在日益提高的資訊化與儀器設備逐步聯結網路的趨勢下,網際安全與隱私保護已成為醫療產業面對的重大挑戰。
國內外醫療產業 資安事件的省思
2018年2月18日國內健保系統出現大當機,導致民眾看病沒辦法刷健保卡、藥單沒法列印等狀況。經查健保系統的異常主要是由於機房設備汰換後重啟時出現異常所導致,所幸在幾個小時後修復。這個案例凸顯出關鍵基礎設施業者的資安事件,除了駭客攻擊外,像是營運的異常或是服務的中斷,也會對民眾造成重大的影響。無獨有偶,2019年1月17日,加拿大醫療機構Health Sciences North證實,在安大略省北部Sudbury區域,有多項醫療系統感染零時差病毒,造成的影響包括:21家醫院的主要電子病歷系統停機、12家醫院的癌症專案系統停機及10家醫院的醫療影像系統停機。雖然該機構具有良好的資料備份,可以在大約一天的時間內復原,但也造成必須重新預約等影響診斷效率的情況。臺灣醫療體系之IT系統多以集中式的平台架構設計與運作,一旦受到類似感染,造成的影響可能非常嚴重。這也正是2019年正式施行的資安管理法將醫療業(關鍵基礎設施)納入管理的主要目的。
建議: 醫療產業關注的重點與強化
醫療產業具有高度醫療專業、精密儀器設備及巨量病患隱私等特性,在日益提高的資訊化與儀器設備逐步聯結網路的趨勢下,網際安全與隱私保護已成為醫療產業面對的重大挑戰。詳細分析醫療產業可能遭遇的風險面向,至少包含以下三點:
一. 具備聯網能力醫療器材的弱點管理
國內醫療院所配置多項新進器材,因應技術進步,其中絕大多數器材均具備聯網能力,但具備聯網能力之醫療器材,在醫療體系中多為醫學工程部門管理,而非資訊部門。觀察近年國際間已出現多項醫療器材出現漏洞之案例,部分國家亦針對醫療器材上市後之漏洞修補與管理進行規範。近期以色列研究實驗室SafetyDetective亦發現可能用於醫院的溫度控制系統存在安全漏洞,試想若病患注射的疫苗,可能因駭客攻擊導致存放設備溫度控制不當產生變化,甚至可能危及病患安全,不可不慎!醫療產業為關鍵基礎設施之一,2019資安法年施行後,在管理範圍中若能將此部分納入,應可大幅提升醫療產業整體的資訊安全狀況。
二. 病患隱私遭到內外部不當存取的威脅
醫療機構具有大量病患隱私資料與診斷紀錄,可能涉及可觀的利益,2019年預期仍會受到大量的駭客攻擊,因應行動上網的趨勢,運用手機APP上網預約甚至付費也越來越普遍,故APP安全也必須加以重視。然而除了外部威脅之外,醫療產業從業人員因為每天工作都必須接觸敏感性個資,在管理機制與人員認知上,都需要不斷的進行強化。2018年歐盟已出現醫療機構因存取隱私資訊存取帳號數量與現況不一致而遭監管單位裁罰的案例,2019年資安法施行後,醫療機構的資安管理也應該逐步提高強度,才能確保病患隱私的安全。
三. 醫療供應鏈的風險管理
醫療產業具有高度專業性,必須因應不同的需求進行整合,例如:醫療資訊系統(HIS)與醫學影像存檔與通訊系統(PACS)就具有相當大的差異。在滿足不同的醫療需求下,除了面對跨專業複雜系統的管理挑戰外,還必須建立與調整管理策略,才能因應供應鏈日益增長所帶來的風險。參考其他產業已試圖透過更嚴格的合約要求和實地訪查來推動供應商安全,也正在尋找對供應商風險進行公正評分或獨立第三方稽核的方法,來控制供應鏈相關的風險。2019資安法年施行後,像資安事故通報、系統安全需求等要求,都必須增列在合約要求供應鏈廠商遵守。
持續關注:醫療產業仍為風險熱區
在Cambridge Centre for Risk Studies近期公布的「CyRiM Report 2019」中,依據模擬不同的威脅情境推估,醫療產業的直接經濟損失與加上間接經濟損失的總和,都高居第二位。更令人吃驚的是,亞太地區醫療產業的損失預估所佔比例,更是美國與歐盟地區的三倍。由相關統計數據可以顯示,國際醫療產業在2019年仍將面臨高度的資安風險,而亞太地區更是需要特別留意。此外,醫療產業同時又具備大量病患的隱私資訊,由GDPR等隱私保護法規訂定的高額罰款,也可能驅動駭客鎖定醫療等特定產業發動攻擊,國內醫療業者必須謹慎因應,才能防範未然。
本文作者目前任職於KPMG數位科技安全(Cybersecurity)服務部/邱述琛副總經理、廖彥鈞經理