【專家建議：東吳大學科法所助理教授萬幼筠】醫院資安長優先順序和其他產業不一樣，得首重三大課題

衛福部在11月底第三屆醫療資安長共識營中，大力呼籲46家關鍵基礎設施醫院和私立醫院設置資安長，甚至明確透露，未來將透過評鑑手段來鼓勵醫院設置資安長。衛福部對資安長的設置越來越積極，甚至鎖定醫院高層，作為明年醫院資安推廣對象。

這次，衛福部也邀請東吳大學科法所助理教授萬幼筠，來分享資安長該注意的新趨勢。

「我們的國家安全，很大程度仰賴關鍵基礎設施，醫療產業更是八大關鍵之一！」萬幼筠強調：「不過，醫療業對資安風險的優先順序，與其他產業大不相同。」一般產業談資安，不外乎先是機密保護、資料正確性，再來才考量可用性，但醫療業卻相反，可用性大於一切，比如手術中的達文西手臂，就得確保能即時運作。而這些高度聯網設備的精確性和可用性，「會帶來非常多的潛在風險，」他說。

資安長該關注這三大重點

既然醫療產業的優先順序不同，對醫療資安長來說，該關注哪些課題呢？

「韌性。」萬幼筠點出，資安長首要關注的是韌性，也就是系統盡量不要被癱瘓、被癱瘓後要能快速復原，以及，「這個復原要在業務可容忍的範圍內。」而整個產業對韌性的重視，也改變業界的績效指標，從過去要求的不要出事，轉變為現在的出事後要能快速復原，甚至，出事當下要能立即察覺。這些都是資安長得注意的韌性。

其次則是可信任度。比如，醫療業數位化程度高，許多儀器高度精密、聯網，再加上AI、大數據分析興起，資料傳遞更是頻繁快速。在這種條件下，這些儀器就存在資安風險，如何能被醫院信任、使用，是資安長該著墨的議題。

第三道課題是當責性。「法律永遠是最後一道防線，」萬幼筠表示，臺灣與其他國家一樣，資安法從最高層級的國家法，往下延伸至產業法規，走進醫療、金融等領域。層層法規，就是為了強調資安非做不可，政府因此建議關鍵基礎設施設置資安長，來帶頭規畫、編列預算，執行資安策略。這就是資安長必須意識到的當責性。

資安關鍵在於風險管理，9大關鍵不可忽視

既然強調韌性，這就意味著，落實資安並非追求100%的安全，而是要會管理風險。

萬幼筠歸納出9大風險管理關鍵，提供醫院資安長參考。首先是擬訂一套資安策略，這個策略要具備風險管理範圍與藍圖，還有對應的風險管理規畫和方法，以及因應資安事件所需的資源與持續營運能力。

這套策略，就能配合內部組織與流程來落實。在組織上，得先明確畫分風險管理權責，並定義角色與責任（R&R），比如，醫院得有一組人來定期檢視資安風險，診間人員就能擔任這種角色。而且，組織人員得進行資安訓練、培養資安意識。這麼做，就能與風險處理流程相輔相成，甚至，醫院也得藉助科技，如自動化風險管理工具或即時監控通報機制，來掌握資安動態。

不只要有策略、組織、流程和科技，醫院還得打好資安基礎。比如建立一套共通語言，不光是內部要有一套共通的風險定義，還得有套符合所屬產業的風險實務。

再來，醫院也需一套衡量標準，像是風險管理成熟度指標、績效要求（KPI），以及風險改善的優先順序，來調整管理做法。此外，還得設計一套風險管理架構，來與其他制度整合。最後，組織人員得培養風險管理的技能和知識，來塑造風險管理文化。掌握這9個關鍵，資安長就能成功管理資安風險。

不只是技術，資安是人員、流程、科技的經營課題

不過，「資安長要了解，資安不全然是技術課題，而是經營課題，」萬幼筠強調，這個經營課題就是人員、流程和科技的整合。以人員來說，醫院資安長得知道，醫院最大的利害關係人是醫護人員，其次是照護、行政、膳食、工友等人員，因此得按影響力來優先排序需資安保護的對象、理解風險高低，而非一視同仁。

有了資安保護對象的優先順序，再來就是運用科技，如自動化風險管理和監控工具，來把關資安狀態。至於流程，不只是理解系統安全，如帳號密碼管理、弱點掃描，還要更進一步建立可永續操作的資安流程，這時，「教育訓練就十分重要。」

下一步：供應鏈管理、聯防體系

萬幼筠也強調，未來3到5年一大資安重點，就是供應鏈管理，一如國家資安法架構所聚焦的。他舉例說明供應鏈管理的重要性，比如，臺灣醫院採購醫療儀器時，容易參考同儕經驗，採買國際大廠、市占率高的儀器。但這個作法，就有可能造成，國外一家醫院同廠牌的儀器遭駭，臺灣醫院也跟著遭殃。

還有一個例子是，供應商容易洩漏使用者機密。比如一家資料倉儲廠商，將前一家金控客戶導入的系統模組，刪除資料後套用給另一家金控客戶，在短時間內快速完成專案。但這種做法，就容易洩漏機密。

萬幼筠建議，不論是IT還是OT委外廠商，醫院都可訂立績效指標，來定期檢視委外廠商，並且，雙方不只要簽訂保密協定，還要簽訂資安協定。如此一來，才能防範供應商引發的資安問題。他也指出，醫院須將保密協定和資安協定納入績效指標，以此教育內部人員。

不過，醫院資安不能只靠自己。「沒有一家機構可以單獨防禦，」萬幼筠鼓勵醫院加入衛福部設置的H-ISAC情資中心，透過情資共享，來抵禦資安威脅。他也舉例，就連臺灣，也得聯手美國、日本、新加坡等國，以共享情資的方式，織成一張防禦網，共同抵抗資安威脅。