衛福部再次力推醫療資安聯防機制,包括了情資分享(ISAC)、緊急應變處理(CERT)和聯合監控(SOC)三部分,今年底預計完成SOC並開始運作。

圖片來源: 

攝影/王若樸

「去年8月29日,臺灣有38家醫院受到WannaCry勒索病毒威脅。」衛福部關鍵基礎設施資安工作推動專案辦公室主任范仲玫指出,當時,受到攻擊的醫院即時通報威脅狀況,這關鍵的一步讓衛福部和其他醫院掌握情資,才能在短時間內控制,未造成太大的影響。這個資安情資共享的機制,還可歸功於衛福部3年前開始推動的醫療資安政策。

醫療資安首要任務:聯防機制建立情資共享

這項政策可分為五大面向,首要就是強化聯防機制。聯防機制指的是情資分享(ISAC)、緊急應變處理(CERT)和聯合監控(SOC),透過醫院在訊資安分享與分析平臺(H-ISAC)上通報資安事件,來給OT風險評估輔助系統、情資及弱點資料庫等分析,再回饋給醫院。

最初,衛福部先要求關鍵基礎設施(Critical Infrastructure,簡稱CI)醫院加入衛福部建置的H-ISAC,只要發生資安事件,就得通報。國內CI醫院共有64家,非CI醫院則有400多家,目前加入聯防機制的則有49家。
而H-ISAC上線已滿兩年,范仲玫指出,衛福部也於去年開始推動資安通報機制,「目前加入情資交換的醫院有200多家,」而去年WannaCry勒索病毒事件,就是這200家中的38家來通報。

除了H-ISAC,衛福部去年也完成了H-CERT的建置,目前還在累積實際運作經驗。至於SOC,則預計今年底完成系統建置,並正式上線使用。

衛福部其他的醫療資安政策,還包括辦理資安課程、舉行資安演練、完成法遵事項,以及擴大實施規模等。她指出,辦理資安課程是要由上而下,從資安長開始營造資安管理共識,此外也要培養醫院內部的稽核人才;至於資安演練,則是要擴大規模,將非CI醫院也納入演練中。

而法遵部分,則是要訂定CI醫院的資安稽核計畫,一方面也協助醫院評鑑執行相關資安要求;此外,衛福部也計畫擴大H-ISAC會員招募範圍,將醫療資安產業鏈的相關廠商也納入其中,甚至要加入美國的H-ISAC會員。

衛福部籲:落實OT生命周期的資安管理

范仲玫指出,醫院要提高資安防護,還得從醫療儀器(OT)、第三方驗證和系統委外管理著手。首先,醫院越來越多醫療儀器能夠聯網、傳輸數據,雖然便利,卻也成為資安隱憂。為防止這個問題,她建議醫療院所在購買醫療儀器時,先查驗該醫療器材上市前、後,是否具有資安認證、符合相關規範,「雖然資訊安全現在只是參考指引,未來會是必備的項目。」

不只如此,醫院對於OT的資安控管,也要有一套生命周期管理流程。她指出,首先是採購的資安評估,再來是交機驗收,包括資安防護資訊的登錄、防毒軟體安裝和硬碟備份等。第三步則是教育訓練,比如如何處理、判斷異常狀況,接著是維護保養,像是人員授權、軟體安全性更新和資安異常管理等。

下一步則是風險管理,「醫院得定期到現場盤點資安狀況,進行紅隊演練等。」最後,醫院該淘汰資安風險較高的老舊設備。

另一個保障醫療資安的做法,則是第三方驗證。范仲玫指出,由於推行電子病歷的關係,衛福部一直以來要求醫院須通過ISO 27001等第三方資安驗證,但她建議,醫院應逐步將所有核心系統也導入ISO 27001或CNS 27001等驗證,來確保資料安全性。

然而,不只是OT和系統要做好資安管理,「系統委外也需完善的管理。」比如醫院委外的資訊廠商,應具備完善的管理系統或第三方驗證,此外,「醫院也應定期稽核。」

下一步:調整醫院評鑑來鼓勵加入聯防機制

范仲玫坦言,光靠資安法難以推動全面的醫療聯防和資安防護,衛福部打算在醫院評鑑制度中,納入相關資安要求,來吸引醫療院所加入聯防機制、分享情資。此外,衛福部也計畫逐步要求醫療資訊業者,具備資安防護措施,或能說明防護機制,來降低醫院資安風險。文◎王若樸

相關報導請見:臺灣資安大會直擊(上)資安將是臺灣新戰略產業

 


Advertisement

更多 iThome相關內容