數發部將強化醫療領域關鍵基礎設施資安，衛福部擬為中小型醫療機構建立區域聯防機制

今年初國內醫療產業受到駭客CrazyHunter的勒索軟體攻擊，馬階、彰基等知名醫院都受害，為加強醫療領域關鍵基礎建設安全，數發部今天（8/15） 與衛福部聯手，數發部宣布將以紅藍隊跨國攻防演練、人才培育、機關輔導等策略多管齊下，強化國內醫療領域的關鍵基礎設施資訊安全，衛福部除了加強輔導大型醫學中心資安防護，也計畫爭取經費，為中小型醫療機構建立區域聯防機制。

數發部資安署長蔡福隆表示，根據行政院於7月核定給各機關的第七期國家資通安全發展方案，藉由推動產業、政府、人才三個方面的正向循環發展來強化整體的資訊安全，除了培善產業發展及培養人才之外，在政府方面，希望強化我國整體的資安韌性，包括完善國家應變機制、建立國家關鍵基礎設施防禦體系，以及強化整體資安治理能力。

其中關鍵基礎設施相當重要，過去國際上傳出相關的案例，例如美國的醫療技術服務商遭到勒索軟體攻擊，致使資料外洩，德州、印第安那州的水力設施被入侵控制，可能對民生服務的安全帶來風險，巴西則有金融業者被竊取帳密，新加坡的關鍵基礎設施也發現遭到入侵，臺灣也發生海纜斷訊等可能的惡意破壞。

蔡福隆指出，一般針對商業設施的攻擊，以金錢或竊資為目的，而針對國家關鍵基礎設施的攻擊，對國家安全、社會公共利益帶來重大傷害，攻擊通常為低調、緩慢、長期的攻擊方式，對關鍵基礎設施的攻擊，會對整體社會的運作導致重大影響。今年國內醫療體系也受到勒索軟體攻擊，醫療設施是第七期國家資通安全發展的關鍵基礎設施之一，今年初的醫療院的攻擊事件，由於院所對外的主機防護上可能較為脆弱，由外而內，入侵到組織內的橫向擴散，透過AD伺服器，取得高權限後，派送勒索軟體到其他主機或個人電腦，造成院區內電腦及主機被加密無法使用，並且疑似發生個資外洩的情形。從過去國內資安攻擊事件來看，約2017年左右是以金融產業為鎖定的目標，最近兩三年則是轉為科技業、醫療業。

數發部祭出4策略協助強化醫療設施資安韌性

因此，數發部會和衛福部合作，針對醫療領域強化資安提出4項作為，包括擬真演練、人才培育、機關輔導、稽核強化。

演練方面，今年11月底將和醫療院所合作舉辦CODE（Cyber Offensive and Defensive Exercise）攻防演練，透過建置一個模擬場域，和真實醫療場域切割出來，供紅藍隊攻防演練，將邀請國內外包括國內的資通電軍、刑事警察局，至少8個團隊扮演紅隊，由11家院所組成4隊扮演藍隊。

蔡福隆表示，透過攻防演練，希望能強化醫療院所對駭客攻擊的防護作為及應變能力。過去在教育訓練的過程中，醫療院所反映，以往個別的院所自己防護，透過跨業者的演訓，不同院所強化彼此密切關係，技術能力也有所提升。

人才方面，針對醫療院所內設備的安全，開設工控領域，包含醫療領域的工控設備安全，以培養相關的人才；對於機關的輔導，數發部籌組資安服務團，以輔導機關強化資安政策、管理措施及治理成熟度，蔡福隆指出，未來希望透過服務團提升醫療領域的資安治理成熟度達到第3級的比例從現有的28%拉高至50%，成熟度達到第3級代表建立資安管理的SOP。

在資安稽核方面，過去衛福部會對相關的醫療院所作稽核，數發部則會挑選二級但不是CI的機關作稽核，以往數發部每年挑選40家業者，以往醫療院所只有6家，今年特別增加到12家，強化對醫療院所的資安稽核。每年也會挑選約400家機關（含政府及業者）作外部曝險檢測，加強資安控管。由於稽核的人力、服務能量有限，今年也會透過AI加速稽核審查資安法遵，蔡福隆指出，目前測試的結果，AI加速稽核審查的正確性約為8成，再交由專家人工複審。

包含醫療在內的9大關鍵基礎設施，蔡福隆表示，資安署提出強化關鍵基礎設施計畫，包括組成專業團隊到9大關鍵基礎設施，進行深度檢測，花費1到2個月監控網路封包是否有異常，並建立本土的威脅情資資料庫，作為判斷正常和異常的情形，主動隔離異常的特徵，同時也將這些情術和資安業者分享，來加強對整體關鍵基礎設施的資安聯防機制。他也強調，數發部未來會和各關鍵基礎設施的主管機關合作，共同強化對CI的資安防護。

CrazyHunter事件提高國內醫院的資安防護意識

衛福部資訊處長李建璋表示，自馬階、彰基遭到CrazyHunter勒索軟體攻擊，尚有亞大遭到攻擊沒有浮出臺面，駭客也放話攻擊高雄榮總，所幸成功防守下來。CrazyHunter攻擊後，衛福部接到數發部通知，資安院也進駐馬階醫院，雖然遭遇資安攻擊，但從醫療領域的角度，如同感染COVID-19病毒產生的抗體，要優於施打疫苗的抗體更久更好。此次的資安攻擊事件，也對國內的醫療院所體質帶來好的改變。

他舉例，過去資安人員在醫療院所內處於邊錘地帶，但是在CrazyHunter攻擊，讓全國的醫療院所提高資安意識，從衛福部過去三次舉辦的醫療領域的資安研討會，從馬階、彰基的CrazyHunter攻擊分享，到醫療院所如何因應勒索軟體攻擊，參加者也從資訊、資安技術人員，到資安長、高階主管、副院長或院長，從參加人數從不到一百人增加到900多人。

在馬階、彰基遭到攻擊後，李建璋指出，衛福部將攻擊定義為系統性的攻擊，並發布醫院面對勒索軟體的應變指南，內容涵蓋資訊人員在發現攻擊後，24小時、48小時、72小時分別應該要作什麼，先控制災害，再找出攻擊的病毒，快速復原。根據外界意見，後續推出第二版的應變指南，讓缺乏資源的較小規模院所也能根據指南快速應變。

李建璋也指出，在CrazyHunter的攻擊事件中發現EDR具有防護的效果，馬階醫院部分電腦因為開啟EDR而倖免於難，如同在醫學上，對於尚未清楚新病毒的序列及檢驗之下，先透過症候群監測，對監測到症候群出現時，主動發現、予以隔離。在CrazyHunter的攻擊後，衛福部調查有很多醫院沒有安裝EDR，緊急協調廠商提供3個月免費安裝，半年下來，目前醫學中心100%全面安裝EDR，區域醫院80%，地區醫院為40%，已有相當比例安裝EDR。

資安納入數位醫療、智慧醫療評鑑項目之一

而在醫療院所的情資分享方面，早期H-ISAC的情資蒐集及分享只有50多家加入，在衛福部推動下，現在加入H-ISAC的會員數已有406家，其中醫療院所有397家，醫療儀器、資安廠商約9家，李建璋認為，國內醫療院所資安情資分享的覆蓋率已有不錯的表現。

CrazyHunter攻擊事件帶來另一個正面影響是，過去醫院的攻防演練，多為金融體系的國泰、新光醫院較積極參加演練，並沒有受到其他體系的醫療院所重視，CrazyHunter後，其他體系的重大醫院也參加演練。李建璋表示，未來參加演練將和資訊處的計畫聯動，未來在稽核時，參加演練得到高分、安裝EDR將能夠獲得加分，「沒有資安，如何談智慧醫療」。

衛福部也對各醫院進行資安體檢，列出資安體檢的項目，以掌握各院所內部的資安防護情形，預計在今年底公布院所的資安體檢結果。

在政府推動數位醫療、智慧醫療下，也將資安納入評鑑項目，針對醫學中心、區域醫院、地區醫院列出評鑑的標配項目，以及可以額外加分的選配項目。基於醫療院所有各種不同的評鑑要進行稽核，李建璋表示，未來衛福部將與數發部對齊不同的資安評鑑、稽核項目，讓院所可以根據總表強化資安評鑑稽核。

目前約有53家為CI，必需依法循、資源強化資安防護，衛福部的目的是讓CI以外，中小型醫院，雖然缺乏資源也能提高資安防護。

李建璋表示，較大規模的院所可以尋求外部的SOC支援，而小醫院缺乏資源及能量，可透過建立Central SOC中央型的SOC，廣泛協助這些院所資安監測，並導入AI監測技術，降低人力負擔、提高監測範圍。

衛福部也計畫建立北、中、南、東的國家級醫院資安韌性中心，負責測試先進技術，並發展主動式資安防護演練快速復原、醫療韌性，未來衛福部將尋求新AI十大建設計畫經費補助來設立資安韌性中心，作為測試新的防護工具如AI代理工具、加密備分等單位。

衛福部也期望未來建立區域的資安聯防系統，利用升級版的H-SOC來協助中小醫院確認資安警訊，在必要時介入指導，目標為擴大到全國的中小型醫療機構，建立區域型的H-SOC來建立聯防機制，這些SOC也會去據院所的識別之後，再和數發部共享資安情資、病毒資料庫。

「強化醫療產業的資安不是要做到滴水不漏防護，而是在受到攻擊之後，如何讓系統快速回覆的資安韌性」，李建璋強調，是衛福部強化國內醫療產業資安韌性的關注重點。