【醫療院所遭勒索軟體攻擊後的未來展望】在共通架構下，更要注意資安細部管控與通報

關於8月的勒索軟體攻擊事件，導致多間醫院遇害，讓醫院本身的資安防護問題成為焦點，成為惡意軟體主要散播管道的健保VPN，以及電子病歷交換中心的EEC Gateway，在這次事件下，也完全暴露其安全隱憂。不僅如此，這是事件的遇害醫院統計，相關通報問題也成為我們關注的焦點。

衛福部已針對健保VPN啟動稽查，健保署將著手改善

對於近期醫院資安事件的發生，目前衛福部已提出改善建議，強化健保VPN管理就是首要目標。由於距離事件發生，已經過了兩個月，因此我們也詢問衛生福利部資訊處處長龐一鳴，確認相關進度。他表示，由於VPN的管理涉及健保署與電信商的合約，他們已經根據資通安全法啓動一次稽查，確實發現一些問題。雖然健保VPN的營運模式，是比照政府網際服務網GSN，但資安管理方面是相對薄弱。因此，衛生部在提供稽核報告後，衛生署也在著手改善中，至於其他細節，則不便揭露。

到底，這個VPN環境的問題是什麼？我們這次也從資安業者的角度來分析，根據安碁資訊在處理國內醫院資安服務的經驗中，他們指出健保VPN的最大問題在於架構。舉例來說，在健保VPN架構下，將醫療院所串成一個大內網的環境，各醫院除了透過健保VPN與健保局往來，可是，各醫療院所之間竟然也能相通。例如，他們就發現，如果設備用了醫療體系IP位置，可以直接連線各醫院內部IP位置的遠端桌面（RDP）。

對此，他認為，這樣的狀況是VPN、SSLVPN的防火牆設定所致，建議各醫院對於資料交換的防火牆政策，需要確認IP資料來源，只開放對應的連接埠，而非所有的連接埠皆可存取。

這是因為，由於各醫療院所可以透過VPN橫向聯繫，等於攻擊者在入侵這個VPN網路後，可以在各醫院間相互發動攻擊。而且，在這條VPN的路徑上，幾乎沒有特規的資安設備去防禦。

EEC的管理成討論焦點，另外小診所不受此次攻擊事件影響

在健保VPN的管理之外，另一個更大問題點，是在電子病歷交換中心系統（EEC）。基本上，EEC資料傳輸也是透過健保VPN，採分散式架構建置，因此，各醫院均裝設有EEC Gateway。在這次勒索軟體事件下，由於EEC Gateway也成主要攻擊來源，相關管理問題也引起醫療業界討論，並衍生出EEC存廢的議題。

對此，龐一鳴表示，EEC Gateway最早確實是由衛福部在10年前建置，請醫院提供設備，由當時衛生署的包商安裝系統，並輔導醫院導入ISO27001並且做完財產移轉。對於有部分醫院認為不是自己的設備，他認為，可能是衛福部一直提供維運的服務，致使其認為這不是自己的設備。而這樣的情形，卻也造成該設備可能沒人維護，引起安全問題。

另一方面，由於EEC的功能與健保醫療資訊的雲端系統有所重疊，因此也引發不同意見，而且後者無須在醫院端安裝Gateway。龐一鳴坦承，就資訊共享的立場，兩者功能確實有重復，且健保的系統普及性更高。但他也強調，EEC上交換的病歷是經過的電子簽章，具有不可否認性，有法律上的效果。

就現況來看，近期衛生部正推動電子病歷多元化，希望增加其價值，但他也坦承，由於EEC的架構已是10年前，現在其實是要檢討更新的時間點，他並說明他們在一年前就向醫院溝通這件事。

在政府主導的EEC電子病例交換系統之外，事實上，近年我們也看到有部分醫院提出新的計畫，以解決EEC無法滿足各種醫療照護情境的需求。像是臺北市立聯合醫院，去年已經聯合了幾家北部醫院與馬公醫院，開始採用區塊練創新授權，在衛福部的健康福祉整合照護示範場域推動計畫之下，就打造一個跨機構的「照護資訊整合平臺」。

再從EEC相關的問題來看，由於EEC串連了全臺400多家醫院，以及近6千家診所，那麼這次是否也有診所遇害？從衛福部、醫院與系統業者的回應來看，應該沒有太大影響。

據瞭解，小診所的資訊服務主要由幾家業者負責，大部分採取雲端作業，因此在架構上不見得會被感染到。對此，我們也詢問到展望亞洲科技，他們推測，是因為診所大多沒再使用EEC，所以EEC gateway都沒有開機，因此躲過此次勒索病毒感染。龐一鳴也表示，診所的架構和醫院不一樣，部署的是EEC Lite Gateway，診所現在是很少用，因為健保雲端系統即可滿足大多數需求。

醫院通報問題浮上檯面，主管機關將不容易統計非CI醫院的資安事件

在這次事件中，關於實際受害醫院的家數，也引起大家好奇。例如，全國醫療的最高主管機關行政院衛生福利部，最早公布初步調查結果有22間，事隔兩個月，我們再次詢問最新統計數字，衛福部資訊處長龐一鳴表示，確認到的有36間。不過，坊間部分醫院與業者相互參照的說法則是66家。

對於這樣的問題，龐一鳴表示，這次影響的系統在EEC gateway，因此這個部分他們能夠充分掌握，但如果影響的是自有的系統，而且平時不負責對外交換資料，衛福部就很難查的到。還有像是如果醫院沒有公開，也就可能出現大家各自統計上的差異。

另外，由於今年資通安全管理法正式施行，當中對於通報方面將會有法規上的要求，到底現在的執行情況如何？因為，我們也聽聞北部一家醫院，在大規模爆發的前兩天，就疑似傳出發現勒索軟體的消息，如果能夠及早通報並分享情資，是否也就不會那麼嚴重。

由於在資安法施行後，以現行通報體制來看，能掌握全局的可能是行政院資通安全處，因此我們也詢問他們相關狀況。不過，他們沒有具體回應，但坦承醫療領域的棘手。資安處表示，像是醫療體系有其固有文化，非單就資安甚或資訊能一窺究理，加上涉關鍵基礎設施，因此層面更為多元。

對於醫療領域的通報現況，衛福部龐一鳴則說明他們的進度。畢竟，衛福部身為全國醫療的最高主管機關，關於醫療體系的問題，或是當有醫療相關事件發生，社會上往往會向衛福部要求說明，這也都是不爭的事實。

他表示，目前CI醫院有64家，在資安法實施後，衛福部依資安處的指示辦理指定工作，對於非公家的私人醫院，他們預定將在11月底前，完成非公務機關的CI醫院指定作業。

以這次事件而言，由於衛福部尚未完成資安法的指定，因此只有部立醫院必需向衛福部通報。假如有其它公立醫院也發生事件需要通報，依照法規，將通報各自的上級單位。例如，榮民醫院是通報退輔會，台大、成大等是通報教育部，軍醫院則不適用資安法。因此，不是所有醫院都向衛福部通報。

而在CI醫院範圍之外的管理議題，龐一鳴指出，國內還有300家左右的醫院，以及數萬家的診所與藥局，由於非屬CI範圍，但也希望由衛福部管理的聲音。對於這樣的現象，他認為，法遵事項的釐清，以及政府資源的支持，會是當下的重點。

國內醫院期盼政府能協助強化資安防護，提供更實質幫助

由於國內醫院現況，多是頭痛醫頭、腳痛醫腳，在這次事件後，政府是否也能透過落實資安稽核，或是提供更多推動醫院做好資安的資源。例如，有醫院認為，由於衛福部是政策單位，但在資安面向上，體系下可能缺乏執行單位，這會造成政策與執行上很大的落差。因此，他們建議，若是衛福部能建立相關資安技術團隊，或許可以帶來更實質的幫助。例如，能定期派專門的5到7人資訊團隊，到醫院實際駐點，透過資安稽核與資安健檢等方式，來幫助醫院落實資安工作，而駐點天數可依醫院規模大小而有不同。

另外，龐一鳴提到在資通安全法下將辦理相關演練與測試，並提供中小型醫院防護指引。對於這個防護指引，他表示，之前已經提出初稿，目前（2019年11月初）退回改寫中，在具體內容上，將以輔導和指導的立場，希望業者做為依循以保護資訊財產及個人隱私。

目前政府鼓勵醫院加入資訊資安分享與分析平臺H-ISAC，是一種作法，並將連結醫院評鑑與資通安全法，同時，衛福部也調查了64家CI醫院的SOC建置情形，目前有一半比例的CI醫院建置，其中3家是自行建置，其餘則是委外監控，但相對來說，也有一半醫院沒有建置；而對於中小型醫院，龐一鳴在10月的全國醫療資訊主管會議上，也提到他們將辦理中小型醫院防護指引。

 相關報導  2019國家級資安事件：勒索軟體侵襲臺灣醫院