部桃遭駭引熱議　醫療資安不足恐害命

衛福部桃園醫院（部桃）傳出資訊系統遭駭，病患個資流出。彰化基督教醫院代表在一場論壇中指出，資安議題愈來愈受重視，但執行面問題相當多，醫院應由上而下規劃資安策略，並學習「與攻擊共存」。

《鏡週刊》報導，桃園醫院從2020年8月起，有12部電腦主機遭駭客入侵及惡意連線，對方將資料製作成壓縮檔後取走，但主管單位9月才接獲異常連線通報，甚至傳出病患點滴流速醫囑遭竄改。

桃園醫院7日發布3點聲明，否認爆料內容，強調院內未曾發生病患個資外洩相關事件，但確實曾有資安事件延遲通報問題，已懲處相關人員。有關系統涉及駭客入侵、竊取個資等問題，院方除了依據規定通報及應變外，並有報案處理。調查單位也曾至院內進行調查，迄今未回覆有具體事證。

彰基資安中心主任粘良祁7日在Fortinet活動演講中提及上述案例，表示駭客並未破壞部桃的資訊系統，而是竊取資料，但相關作為可能會危及病患生命安全。

粘良祁建議，醫院應從上而下規劃資安策略，並涵蓋採購案件資安審查。以彰基為例，其資安藍圖包含強化院內資安機制、單位導入資安認證、完成法遵事項、成立資安戰情中心、建立標竿輔導輸出5大策略。

2019年開始推動OT資安工作，建立OT獨立機房並通過ISO 27001認證，成為台灣唯一醫學中心OT系統通過此驗證者。2023年將推動ISO 27701認證。

院內單位採購設備時須填寫資安評量表，並由專責單位審查案件。評量表中的項目包括，案件標的物會否連接有線或無線網路、標的物服務中斷時會否直接影響6大核心業務（門診、急診、住院、加護病房、開刀房、心導管）、是否使用病患或員工個資、資通訊設備自檢項目等問題。

美國眾議院議長裴洛西8月訪台時，台灣的超商和交通系統的數位看板遭駭，顯示謾罵裴洛西的字樣。彰基心生警惕，開始推動數位看板資安控管，包括專責單位提供IP清單供弱點掃描、會同廠商進行修補、重複掃描再次修補等作為。

粘良祁強調，彰基也遇過資安攻擊，但因可快速偵測和阻絕，內部核心系統並未受到影響。與COVID-19（新冠肺炎）疫情共存已成普遍共識，而在資安領域，其實也要學會與攻擊並存。

有些人可能以為資安不關己事，但很難預料哪天會被駭客盯上、哪個沒想過的系統會被入侵。若是毫無資安防備，遇到攻擊時將措手不及。