【強化健保VPN管理成衛福部首要目標】在今年8月臺灣多家醫院發生勒索軟體攻擊事件後,衛福部已經指出是經由VPN網路進行攻擊,在今年10月舉行的全國醫院資訊主管會議上,衛生福利部資訊處處長龐一鳴也強調,將強化健保VPN管理,並公布相關改善措施。(iThome檔案照)

關於8月的勒索軟體攻擊事件,導致多間醫院遇害,讓醫院本身的資安防護問題成為焦點,成為惡意軟體主要散播管道的健保VPN,以及電子病歷交換中心的EEC Gateway,在這次事件下,也完全暴露其安全隱憂。不僅如此,這是事件的遇害醫院統計,相關通報問題也成為我們關注的焦點。

衛福部已針對健保VPN啟動稽查,健保署將著手改善

對於近期醫院資安事件的發生,目前衛福部已提出改善建議,強化健保VPN管理就是首要目標。由於距離事件發生,已經過了兩個月,因此我們也詢問衛生福利部資訊處處長龐一鳴,確認相關進度。他表示,由於VPN的管理涉及健保署與電信商的合約,他們已經根據資通安全法啓動一次稽查,確實發現一些問題。雖然健保VPN的營運模式,是比照政府網際服務網GSN,但資安管理方面是相對薄弱。因此,衛生部在提供稽核報告後,衛生署也在著手改善中,至於其他細節,則不便揭露。

到底,這個VPN環境的問題是什麼?我們這次也從資安業者的角度來分析,根據安碁資訊在處理國內醫院資安服務的經驗中,他們指出健保VPN的最大問題在於架構。舉例來說,在健保VPN架構下,將醫療院所串成一個大內網的環境,各醫院除了透過健保VPN與健保局往來,可是,各醫療院所之間竟然也能相通。例如,他們就發現,如果設備用了醫療體系IP位置,可以直接連線各醫院內部IP位置的遠端桌面(RDP)。

對此,他認為,這樣的狀況是VPN、SSLVPN的防火牆設定所致,建議各醫院對於資料交換的防火牆政策,需要確認IP資料來源,只開放對應的連接埠,而非所有的連接埠皆可存取。

這是因為,由於各醫療院所可以透過VPN橫向聯繫,等於攻擊者在入侵這個VPN網路後,可以在各醫院間相互發動攻擊。而且,在這條VPN的路徑上,幾乎沒有特規的資安設備去防禦。

EEC的管理成討論焦點,另外小診所不受此次攻擊事件影響

在健保VPN的管理之外,另一個更大問題點,是在電子病歷交換中心系統(EEC)。基本上,EEC資料傳輸也是透過健保VPN,採分散式架構建置,因此,各醫院均裝設有EEC Gateway。在這次勒索軟體事件下,由於EEC Gateway也成主要攻擊來源,相關管理問題也引起醫療業界討論,並衍生出EEC存廢的議題。

對此,龐一鳴表示,EEC Gateway最早確實是由衛福部在10年前建置,請醫院提供設備,由當時衛生署的包商安裝系統,並輔導醫院導入ISO27001並且做完財產移轉。對於有部分醫院認為不是自己的設備,他認為,可能是衛福部一直提供維運的服務,致使其認為這不是自己的設備。而這樣的情形,卻也造成該設備可能沒人維護,引起安全問題。

另一方面,由於EEC的功能與健保醫療資訊的雲端系統有所重疊,因此也引發不同意見,而且後者無須在醫院端安裝Gateway。龐一鳴坦承,就資訊共享的立場,兩者功能確實有重復,且健保的系統普及性更高。但他也強調,EEC上交換的病歷是經過的電子簽章,具有不可否認性,有法律上的效果。

就現況來看,近期衛生部正推動電子病歷多元化,希望增加其價值,但他也坦承,由於EEC的架構已是10年前,現在其實是要檢討更新的時間點,他並說明他們在一年前就向醫院溝通這件事。

在政府主導的EEC電子病例交換系統之外,事實上,近年我們也看到有部分醫院提出新的計畫,以解決EEC無法滿足各種醫療照護情境的需求。像是臺北市立聯合醫院,去年已經聯合了幾家北部醫院與馬公醫院,開始採用區塊練創新授權,在衛福部的健康福祉整合照護示範場域推動計畫之下,就打造一個跨機構的「照護資訊整合平臺」。

再從EEC相關的問題來看,由於EEC串連了全臺400多家醫院,以及近6千家診所,那麼這次是否也有診所遇害?從衛福部、醫院與系統業者的回應來看,應該沒有太大影響。

據瞭解,小診所的資訊服務主要由幾家業者負責,大部分採取雲端作業,因此在架構上不見得會被感染到。對此,我們也詢問到展望亞洲科技,他們推測,是因為診所大多沒再使用EEC,所以EEC gateway都沒有開機,因此躲過此次勒索病毒感染。龐一鳴也表示,診所的架構和醫院不一樣,部署的是EEC Lite Gateway,診所現在是很少用,因為健保雲端系統即可滿足大多數需求。

醫院通報問題浮上檯面,主管機關將不容易統計非CI醫院的資安事件

在這次事件中,關於實際受害醫院的家數,也引起大家好奇。例如,全國醫療的最高主管機關行政院衛生福利部,最早公布初步調查結果有22間,事隔兩個月,我們再次詢問最新統計數字,衛福部資訊處長龐一鳴表示,確認到的有36間。不過,坊間部分醫院與業者相互參照的說法則是66家。

對於這樣的問題,龐一鳴表示,這次影響的系統在EEC gateway,因此這個部分他們能夠充分掌握,但如果影響的是自有的系統,而且平時不負責對外交換資料,衛福部就很難查的到。還有像是如果醫院沒有公開,也就可能出現大家各自統計上的差異。

另外,由於今年資通安全管理法正式施行,當中對於通報方面將會有法規上的要求,到底現在的執行情況如何?因為,我們也聽聞北部一家醫院,在大規模爆發的前兩天,就疑似傳出發現勒索軟體的消息,如果能夠及早通報並分享情資,是否也就不會那麼嚴重。

由於在資安法施行後,以現行通報體制來看,能掌握全局的可能是行政院資通安全處,因此我們也詢問他們相關狀況。不過,他們沒有具體回應,但坦承醫療領域的棘手。資安處表示,像是醫療體系有其固有文化,非單就資安甚或資訊能一窺究理,加上涉關鍵基礎設施,因此層面更為多元。

對於醫療領域的通報現況,衛福部龐一鳴則說明他們的進度。畢竟,衛福部身為全國醫療的最高主管機關,關於醫療體系的問題,或是當有醫療相關事件發生,社會上往往會向衛福部要求說明,這也都是不爭的事實。

他表示,目前CI醫院有64家,在資安法實施後,衛福部依資安處的指示辦理指定工作,對於非公家的私人醫院,他們預定將在11月底前,完成非公務機關的CI醫院指定作業。

以這次事件而言,由於衛福部尚未完成資安法的指定,因此只有部立醫院必需向衛福部通報。假如有其它公立醫院也發生事件需要通報,依照法規,將通報各自的上級單位。例如,榮民醫院是通報退輔會,台大、成大等是通報教育部,軍醫院則不適用資安法。因此,不是所有醫院都向衛福部通報。

而在CI醫院範圍之外的管理議題,龐一鳴指出,國內還有300家左右的醫院,以及數萬家的診所與藥局,由於非屬CI範圍,但也希望由衛福部管理的聲音。對於這樣的現象,他認為,法遵事項的釐清,以及政府資源的支持,會是當下的重點。

國內醫院期盼政府能協助強化資安防護,提供更實質幫助

由於國內醫院現況,多是頭痛醫頭、腳痛醫腳,在這次事件後,政府是否也能透過落實資安稽核,或是提供更多推動醫院做好資安的資源。例如,有醫院認為,由於衛福部是政策單位,但在資安面向上,體系下可能缺乏執行單位,這會造成政策與執行上很大的落差。因此,他們建議,若是衛福部能建立相關資安技術團隊,或許可以帶來更實質的幫助。例如,能定期派專門的5到7人資訊團隊,到醫院實際駐點,透過資安稽核與資安健檢等方式,來幫助醫院落實資安工作,而駐點天數可依醫院規模大小而有不同。

另外,龐一鳴提到在資通安全法下將辦理相關演練與測試,並提供中小型醫院防護指引。對於這個防護指引,他表示,之前已經提出初稿,目前(2019年11月初)退回改寫中,在具體內容上,將以輔導和指導的立場,希望業者做為依循以保護資訊財產及個人隱私。

目前政府鼓勵醫院加入資訊資安分享與分析平臺H-ISAC,是一種作法,並將連結醫院評鑑與資通安全法,同時,衛福部也調查了64家CI醫院的SOC建置情形,目前有一半比例的CI醫院建置,其中3家是自行建置,其餘則是委外監控,但相對來說,也有一半醫院沒有建置;而對於中小型醫院,龐一鳴在10月的全國醫療資訊主管會議上,也提到他們將辦理中小型醫院防護指引

 相關報導  2019國家級資安事件:勒索軟體侵襲臺灣醫院


Advertisement

更多 iThome相關內容