面對今年初上路的資安新法,臺大醫院、中國附醫和北市聯醫各有不同作法來因應。從左至右依序為臺大醫院資訊室協理尚榮基(左一)、中國附醫資訊室主任楊榮林(右二)、北市聯醫資安長許世欣(右一)。

圖片來源: 

iThome

今年元旦資安法正式上路,面對更嚴謹的資安規範,醫院也採取不同作法來因應。臺大醫院資訊室協理尚榮基表示,面對醫療資安威脅,資訊室能做的、能擋的都已處理了,「真正的問題,是那些看不到的、未知的威脅。」他坦言,這也是為什麼每次被問及醫院資安落實的程度時,他的回答總是「不知道。」

他舉例,就好比防毒軟體每天偵測出的問題,究竟是越多越好,還是越少越安全?「這其實沒有標準答案。」他指出,重點是那些沒被揪出的問題,所以難以衡量安全程度。對他來說,最困難的挑戰莫過於「先知先覺」。

尚榮基指出,現有的資安防護,大都在於系統介面,比如Email或防火牆。而要實際從各個系統和設備中尋找資安問題,挑戰性非常高,他比喻,這種難度就好比在玩「尋找威利」這個遊戲一樣,在各個身穿花襯衫、人滿為患的沙灘上,尋找同樣穿著花襯衫的「威利」。

即便困難重重,他還是提出了醫院資安防護的因應方法。第一是必須執行ISO27001的PDCA流程,包括了計畫、執行、檢查、評估等4個步驟,而他特別強調,其中的「檢查尤為重要,必須詳細定義出受檢項目,」才能確保資安落實的程度。

再來則是執行資安防護的流程,包括了防護、監控、分析、排除、復原等5個步驟。尚榮基表示,監控和分析為最重要但也最困難的2個環節,因為要抓出潛在的資安威脅,就得靠監控與分析。

為何這兩個環節格外困難?第一,「資料太多,但資訊太少。」他解釋,要做到監控,必須靠大量記錄(Log)來分析,而全院高達數百臺伺服器、數千臺電腦,產生龐大的資料量,要從中找出有用的資訊來監控,就是一個問題。

第2個困難,則是「缺乏整合。」他指出,資訊部門建置、安裝到醫院的每個系統,都視為一個獨立的單位,但「最後都是靠人來整合,」比如在A系統發現問題,必須進入B系統來查詢,「這部分廠商很難整合。」

第3個困難則是「Top Event V.S. Rare Event。」尚榮基表示,在醫院所有設備中,防毒系統報告顯示的往往是發生次數最多、流量最高的事件,也就是常見事件(Top event)。「但實務經驗告訴我,真正有問題的往往不是常見事件,而是Rare event,也就是罕見事件。」他指出,到目前為止,還未見到任何能夠匯報罕見事件的設備。

舉例來說,異常連線(Unusual connection)、多重連線(Multi-connection)和異常來源(Unusual source)屬於罕見事件,比如一臺POS機在某個時間點連線到管理員個人電腦,「這件事沒道理,但有沒有設備可以偵測到這個資訊、告訴管理員?」或是一個高權限使用者,比如系統管理員,在半夜3點從美國連線至電腦系統。「這種訊息,才是資安管理要來檢查的。」

他表示,雖然目前還難以定義「異常」,但他希望藉助機器學習技術,從歷史活動中學習異常的罕見事件,可望能自動抓出罕見事件,而不需要靠人力一一檢測。

醫療資安範圍不再只是IT,還包括OT

中國醫藥大學附設醫院資訊室主任楊榮林也提到,每當醫院長官問及資安落實程度時,他也不敢拍胸脯回答100%沒問題。

他進一步解釋,單就中國附醫臺中總部來說,就有多棟大樓,比如兒童醫療大樓、第一醫療大樓,光是伺服器就有上百臺,再加上各式設備更達上萬臺,光是管理這些設備,就耗費許多力氣;而在網路架構方面,則包括了院區網路、無線網路、聯外網路、終端網路和體系VPN,要如何把關這些網路的資安,就是個挑戰。而最基本的處理,楊榮林指出,不外乎是防火防駭、Email防護、網路流量監測和活動監控,以及網路簽入管理等。

不過,醫院該注重的資安範圍不只是IT,還包括操作型技術(Operation Technology,OT)的安全,也就是醫療儀器。楊榮林提到,近年來各家醫院紛紛發展智慧醫療4.0,利用大數據、AI、雲端和IoT技術來分析醫療資料、開發新服務,中國附醫也不例外,甚至發展遠距照護和個人化基因分析。

但為了推動智慧醫療、加速醫療資料的傳輸與分析,醫院勢必採用可連線的醫療儀器,但這也成為資安隱憂。楊榮林更強調,這2年來,醫療資安防護不只要把個人電腦和伺服器管理好,還要注重醫療儀器的資安檢測,比如護理工作車、電腦斷層掃描設備、醫療檢測儀器等。

他指出,衛福部自去年開始推動醫療OT資安檢測,將醫療儀器依風險程度分為17類,而中國附醫也已根據這些類別,完成了醫院OT盤點與風險評鑑,包括麻醉機、呼吸機、心電圖儀器、數位X光攝影、核子醫學設備、透析機等。

楊榮林以過來人經驗建議,雖然一些醫療儀器的廠商認為,具中央站架構的OT不需安裝防毒軟體,但他指出,具連線功能的OT中毒風險高,還是得安裝防毒軟體,並定期監測活動狀況,才能確保醫療資訊安全。「這對我們醫院來說,是當務之急。」

落實醫療資安,北市聯醫從組織改造開始

資通安全管理法自今年元旦上路,對醫院來說,資安把關不再是整體資訊(IT)範圍,而是擴大為整體資通範圍,除了原有的資訊機房、骨幹網路和醫療資訊系統的管理外,還涵蓋了事務機、醫療儀器、工程電腦等OT設備,也就是說,資通法監管的是「整個醫療機構」。

為因應資安新法,臺北市立聯合醫院先從組織下手。去年11月,北市聯醫成立了資通安全管理委員會和資通安全諮詢委員會,其下更設置了資安長職位,由原資訊室副資訊長許世欣擔任臺北市立聯合醫院資安長,掌管全院資安事宜。

許世欣提到,北市聯醫資安長之下設置了3大單位,包括負責訂定資安計畫的資通安全管理中心、負責執行資安計畫的執行單位,以及機動小組(如情資因應小組、緊急應變小組和稽核小組)。

而執行單位除了把關IT安全,也掌管了醫院各種OT檢驗。許世欣指出,北市聯醫將OT定義為「所有連接到網路的設備,」除了醫工OT、工務OT,北市聯醫也將人資、總務和秘書列入OT檢查單位,「因為這3個單位管理了監視器、影印機和卡鐘。」另外,由於執行單位負責檢核IT系統和OT設備,也因此需要把關這些設備的使用單位、保管單位,甚至是供應商;許世欣指出,北市聯醫更打算朝第三方資安認證發展,更嚴格地控管供應設備。

而資通安全管理中心,負責了資安預防作業和管理作業,比如辦理資通系統防護分級、資通事件通報及應變管理,以及擬訂資安政策與目標、辦理內部稽核等。要是發生資安事件,該中心也將向衛生局和資訊局報告。

另一方面,北市聯醫也訂立了資通安全維護計畫書,以「全機關」為中心,作為今年執行重點。

該計畫書分為3個層面,包括了管理面、技術面、認知與訓練層面。在管理層面,除了分級資通系統和設立防護基準,還有一個重要工作,也就是將資訊安全管理系統導入全數的核心資通系統,而且要在3年內完成第三方驗證。另一方面,北市聯醫也要聘請4名資通安全專職人員,來執行資安管理。

在技術層面,則包括了資通安全健診(如網路架構檢視、網路惡意活動檢視)、資安防護(如安裝及更新防毒軟體、網路防火牆、APT攻擊防禦等),以及完成政府組態基準導入作業。

至於認知與訓練層面,北市聯醫聚焦於資安教育訓練、頒發資安專業證照和職能訓練證書。許世欣指出,資安教育訓練對象為資安專員和一般使用者,分別要接受12小時的專業課程,以及3小時的一般資安教育訓練課程。而資安專業證照和職能訓練證書,則是北市聯醫資安專員必須持有的,以維持專業程度。北市聯醫計畫透過這些做法,來全面強化醫療資安管理。文◎王若樸


Advertisement

更多 iThome相關內容