【臺灣資安大會直擊】38家醫院遭勒索攻擊情資共享200家提高警覺，衛福部下一步要用醫院評鑑帶動更多醫院加入資安聯防

「去年8月29日，臺灣有38家醫院受到WannaCry勒索病毒威脅。」衛福部關鍵基礎設施資安工作推動專案辦公室主任范仲玫指出，當時，受到攻擊的醫院即時通報威脅狀況，這關鍵的一步讓衛福部和其他醫院掌握情資，才能在短時間內控制，未造成太大的影響。這個資安情資共享的機制，還可歸功於衛福部3年前開始推動的醫療資安政策。

醫療資安首要任務：聯防機制建立情資共享

這項政策可分為五大面向，首要就是強化聯防機制。聯防機制指的是情資分享（ISAC）、緊急應變處理（CERT）和聯合監控（SOC），透過醫院在訊資安分享與分析平臺（H-ISAC）上通報資安事件，來給OT風險評估輔助系統、情資及弱點資料庫等分析，再回饋給醫院。

最初，衛福部先要求關鍵基礎設施（Critical Infrastructure，簡稱CI）醫院加入衛福部建置的H-ISAC，只要發生資安事件，就得通報。國內CI醫院共有64家，非CI醫院則有400多家，目前加入聯防機制的則有49家。
而H-ISAC上線已滿兩年，范仲玫指出，衛福部也於去年開始推動資安通報機制，「目前加入情資交換的醫院有200多家，」而去年WannaCry勒索病毒事件，就是這200家中的38家來通報。

除了H-ISAC，衛福部去年也完成了H-CERT的建置，目前還在累積實際運作經驗。至於SOC，則預計今年底完成系統建置，並正式上線使用。

衛福部其他的醫療資安政策，還包括辦理資安課程、舉行資安演練、完成法遵事項，以及擴大實施規模等。她指出，辦理資安課程是要由上而下，從資安長開始營造資安管理共識，此外也要培養醫院內部的稽核人才；至於資安演練，則是要擴大規模，將非CI醫院也納入演練中。

而法遵部分，則是要訂定CI醫院的資安稽核計畫，一方面也協助醫院評鑑執行相關資安要求；此外，衛福部也計畫擴大H-ISAC會員招募範圍，將醫療資安產業鏈的相關廠商也納入其中，甚至要加入美國的H-ISAC會員。

衛福部籲：落實OT生命周期的資安管理

范仲玫指出，醫院要提高資安防護，還得從醫療儀器（OT）、第三方驗證和系統委外管理著手。首先，醫院越來越多醫療儀器能夠聯網、傳輸數據，雖然便利，卻也成為資安隱憂。為防止這個問題，她建議醫療院所在購買醫療儀器時，先查驗該醫療器材上市前、後，是否具有資安認證、符合相關規範，「雖然資訊安全現在只是參考指引，未來會是必備的項目。」

不只如此，醫院對於OT的資安控管，也要有一套生命周期管理流程。她指出，首先是採購的資安評估，再來是交機驗收，包括資安防護資訊的登錄、防毒軟體安裝和硬碟備份等。第三步則是教育訓練，比如如何處理、判斷異常狀況，接著是維護保養，像是人員授權、軟體安全性更新和資安異常管理等。

下一步則是風險管理，「醫院得定期到現場盤點資安狀況，進行紅隊演練等。」最後，醫院該淘汰資安風險較高的老舊設備。

另一個保障醫療資安的做法，則是第三方驗證。范仲玫指出，由於推行電子病歷的關係，衛福部一直以來要求醫院須通過ISO 27001等第三方資安驗證，但她建議，醫院應逐步將所有核心系統也導入ISO 27001或CNS 27001等驗證，來確保資料安全性。

然而，不只是OT和系統要做好資安管理，「系統委外也需完善的管理。」比如醫院委外的資訊廠商，應具備完善的管理系統或第三方驗證，此外，「醫院也應定期稽核。」

下一步：調整醫院評鑑來鼓勵加入聯防機制

范仲玫坦言，光靠資安法難以推動全面的醫療聯防和資安防護，衛福部打算在醫院評鑑制度中，納入相關資安要求，來吸引醫療院所加入聯防機制、分享情資。此外，衛福部也計畫逐步要求醫療資訊業者，具備資安防護措施，或能說明防護機制，來降低醫院資安風險。文◎王若樸

相關報導請見：臺灣資安大會直擊（上）資安將是臺灣新戰略產業