部桃遭駭引熱議 醫療資安不足恐害命
衛福部桃園醫院(部桃)傳出資訊系統遭駭,病患個資流出。彰化基督教醫院代表在一場論壇中指出,資安議題愈來愈受重視,但執行面問題相當多,醫院應由上而下規劃資安策略,並學習「與攻擊共存」。
《鏡週刊》報導,桃園醫院從2020年8月起,有12部電腦主機遭駭客入侵及惡意連線,對方將資料製作成壓縮檔後取走,但主管單位9月才接獲異常連線通報,甚至傳出病患點滴流速醫囑遭竄改。
桃園醫院7日發布3點聲明,否認爆料內容,強調院內未曾發生病患個資外洩相關事件,但確實曾有資安事件延遲通報問題,已懲處相關人員。有關系統涉及駭客入侵、竊取個資等問題,院方除了依據規定通報及應變外,並有報案處理。調查單位也曾至院內進行調查,迄今未回覆有具體事證。
彰基資安中心主任粘良祁7日在Fortinet活動演講中提及上述案例,表示駭客並未破壞部桃的資訊系統,而是竊取資料,但相關作為可能會危及病患生命安全。
粘良祁建議,醫院應從上而下規劃資安策略,並涵蓋採購案件資安審查。以彰基為例,其資安藍圖包含強化院內資安機制、單位導入資安認證、完成法遵事項、成立資安戰情中心、建立標竿輔導輸出5大策略。
2019年開始推動OT資安工作,建立OT獨立機房並通過ISO 27001認證,成為台灣唯一醫學中心OT系統通過此驗證者。2023年將推動ISO 27701認證。
院內單位採購設備時須填寫資安評量表,並由專責單位審查案件。評量表中的項目包括,案件標的物會否連接有線或無線網路、標的物服務中斷時會否直接影響6大核心業務(門診、急診、住院、加護病房、開刀房、心導管)、是否使用病患或員工個資、資通訊設備自檢項目等問題。
美國眾議院議長裴洛西8月訪台時,台灣的超商和交通系統的數位看板遭駭,顯示謾罵裴洛西的字樣。彰基心生警惕,開始推動數位看板資安控管,包括專責單位提供IP清單供弱點掃描、會同廠商進行修補、重複掃描再次修補等作為。
粘良祁強調,彰基也遇過資安攻擊,但因可快速偵測和阻絕,內部核心系統並未受到影響。與COVID-19(新冠肺炎)疫情共存已成普遍共識,而在資安領域,其實也要學會與攻擊並存。
有些人可能以為資安不關己事,但很難預料哪天會被駭客盯上、哪個沒想過的系統會被入侵。若是毫無資安防備,遇到攻擊時將措手不及。