順應智慧醫療之趨勢潮流,醫院引進新興科技,達到病歷電子化、雲端資料、醫院設備聯網等里程碑,為病患提供更完善服務;但數位化有利有弊,隨之而來的資安問題,將為醫院資訊管理帶來新挑戰,因此如何在打造智慧醫院時同步做好資安防護,為病人提供安心、安全、可信任的環境,著實至關重大。

為此,在經濟部工業局主辦,輔以工業技術研究院、中國醫藥大學附設醫院、醫療領域關鍵基礎設施資安工作推動專案辦公室的合作下,日前在中國醫藥大學新竹附設醫院舉辦「智慧醫療資安主題媒合展示與研討活動」,藉由研討會、攤位展示、場域觀摩等多樣化型式,引領與會者了解實際面臨的資安問題,並掌握因應與防護之道。

跨域合作,實現資安無虞的智慧醫療體驗

今年 1 月1 日起,隨著資安管理法正式施行,讓臺灣在資安推動上有了明確法律依據,且明確定義納管範圍,包含公務機關、特定非公務機關,後者則涵蓋含公營事業、政府捐助的財團法人、八大關鍵基礎設施(CI)的提供者。

資安法納管範圍納入了國土安全定義的政府機關、通訊傳播、金融、交通、水資源、能源、緊急救援與醫院、高科技園區與工業區等八大關鍵基礎設施。以其中醫療院所為例,救人猶如與時間賽跑,亟需針對各院的救護資源、診療專長建立明確資訊,才能快速將病患送到正確的治療地點。

為此,簡宏偉處長認為醫院一定要做好資安防護,因為一方面醫院握有眾多個資,亟需嚴加保護;另一方面,現今醫院設備已智慧化,多半透過雲端連線或系統控制,假使未做好資安,包括健檢等重要資料便可能遭人竄改,對病患造成影響,不可不慎。

在此次智慧醫療資安主題媒合展示活動,可看到許多醫院或醫療器材公司,與資訊、資安公司展開合作,彼此貢獻專長、跨域合作,整個創新架構便是奠基在資安防護的基礎上,形成的良好智慧醫療體驗。

令人印象深刻的是,中國醫藥大學附設醫院特別引入智慧製造概念,針對檢體、藥劑的輸送設計一套自動化系統,在作業流程中建立許多控制點,一旦偵測到異狀,立即透過指示燈發出紅色警戒,有效確保檢驗和給藥作業的高度安全,堪稱是融合醫療、製造的跨域創新成果。

具體來說,此次衛福部與經濟部攜手合作,算是起點,未來有機會推向其他領域,尤其若想要追求創新,跨域合作十分重要。大家可以參考此次跨域合作的經驗,以相同模式推動不同領域的合作,例如可透過農委會、經濟部合作,讓無人機執行灑農藥任務,除將噴灑的濃度、高度、範圍做精密計算,也應納入資安考量,避免藥劑不當可能引發的食用問題或植物產量議題。唯有透過各部會的通力合作,才能為民眾營造出安全、舒適、人性化及便利取得的服務品質,這也是資安處持續致力的目標。

借勢而進,帶動國內資安產業活絡發展

天時、地利、人和兼具,便能發揮創意、產生績效;而現階段臺灣的資安推動環境,似乎已有這樣的氛圍。

經濟部工業局電子資訊組組長林俊秀表示,如今設備連網比比皆是,同時網路犯罪所得也節節高漲,導致資安議題日益嚴重,甚至已提升到國家層級;儘管大環境的挑戰愈來愈高,但也給予國內資安產業的發展契機。

政府從需求面做起,為國內資安產業挹注一波波活水。比方說科專計畫規模若大於 10 億,規定需提撥 IT 費用 5 % 執行資安計畫,而工業局的產創平台計畫,也有類似規定。值得一提的,政府不僅為國產資安產品製造出路,同時推動 App、IP CAM 資安檢測,因而帶動新的產業生態鏈- 資安檢測認驗證與顧問服務。不僅如此,政府為了幫助各機關懂得如何採購資安產品,還貼心製作懶人包。

林俊秀組長認為如何順勢而為,活絡需求方帶動供給方的投入,是推動產業的關鍵力。早年資安問題尚未氾濫、駭客也未如今日猖獗,可說資安環境還不成熟。但現今環境對資安的需求提升,政府也致力製造需求,並從國家層級政策推動資安產業,工業局推動資安自然事半功倍。他希望凡是好的資安產品,透過像是能能登錄等獲得品質保證,工業局也才能對外大聲推薦,鼓舞業者團結起來打國際盃。

但他認為,國內資安廠商要追求成長,不能只冀望政府一直製造需求,接下來必須開始進入正規打法,要擬定好的外銷策略,只要成功打開市場,舉凡資金、人才、技術就會被吸引過來,業者也有較為充裕的資源加大研發力度,形成正向循環。

落實情資共享,創造醫療資安聯防大局

據調查,2018 年美國資安事件的苦主當中,多達四分之一是醫療業者,顯示醫療資安問題頗為嚴重。衛福部資訊處處長龐一鳴分析,隨著醫療業推動數位化、聯網設備數量急遽攀升,使醫療機構淪為駭客新目標。

醫療資安茲事體大,不論是因駭客攻擊而導致醫療服務中斷,或病患的個資遭竊,都會造成重大衝擊。衛福部為響應國家資通安全發展方案,於去年推動醫療資安計畫,並與資安專案辦公室共同推展醫療資安聯防機制,以呼應今年上路的資通安全管理法,俾使醫療產業能善用聯防平臺,促進情資共享,進一步強化個別醫療機構的自我防護基礎,精準有效地抵禦外來威脅。

所謂醫療資安聯防機制,內含通報、緊急應變、監控等三大機制,當中有 64 家被列入國家關鍵基礎設施(CI)的醫療機構,他們一旦發生資安事件,需主動將相關訊息發佈至醫療資安資訊分享及分析中心(H-ISAC),達到該院與其他醫療院所、甚至是與國家資安資訊分享與分析中心(N-ISAC)之間的情資交換。

值得一提,這些情資不僅包含資訊系統的威脅情資和漏洞資訊,也擴及 OT(Operational Technology)領域,多達 17 種關鍵的聯網醫療儀器都在通報範圍之列。展望下一步,衛福部將鼓勵更多醫院、甚至非 CI 醫院加入聯防行列,而該部也將在今後兩年內建置緊急應變小組(H-CERT)、資安監控中心(H-SOC),使整體聯防機制更臻完善。

藉由場域試驗,帶來醫療與資安產業的雙贏

8/30的智慧醫療資安主題媒合展示與研討活動,是部會跨域合作的見證,更是一個好的開始。經濟部主任秘書陳怡鈴於致詞時表示,關鍵基礎設施愈 e 化、資安問題愈多;為此工業局積極推動資安場域試驗,中國醫藥大學附設醫院正是最成功的案例,有效帶動醫院、醫療設備產業的資安意識,也為國內資安產業帶出活路。

行政院資安處處長簡宏偉強調,若無資安、智慧化反而傷了自己,所以行政院推動資安產業發展行動計畫,期盼各領域推動智慧化的同時開放場域,讓國內資安廠商進場試驗,順勢提升資安產業的國際競爭力。

國家安全會議主任廖煌述認為,資安是技術與管理問題,須結合 Domain Know How,讓資安團隊了解產業運作方式與資訊流,才能真正協助產業解決資安問題。

衛福部資訊處處長龐一鳴指出,資安等同病安,面對資安事件,醫院務須分享通報、誠實面對,善用科技解決問題;該部持續扮演媒合角色,促進醫院與資訊/資安產業對接,透過相互學習將資安做得更好。

中國醫藥大學新竹附設醫院主任秘書王鍵元說,該附設醫院於去年(2018)12 月開幕,意在為新竹地區帶進更充裕醫療資源,一併導入先進的智慧醫療技術,在臨床上積極引進資安科技、以確保病人安全。

援引進階防禦技術,不斷強化資安體質

本次活動共計展開 5 場主題演講。率先登場的中國醫藥大學附設醫院總院資訊室組長陳含迷,指出該院順著電子病歷行動化、醫療儀器自動化、健檢智慧病房、智慧大廳、機器人、AI 應用等軌跡,一步步提升醫院智慧化,也面臨資安挑戰,因而與工研院及國內資安廠商合作推動資安健檢與防護,利用端點防護檢測、OT 設備檢測、滲透測試、WiFi 檢測等過程發掘問題,及早加以處置。

聯安醫院院長暨雲想科技(ThinkCloud)總監吳右任表示,有感於臺灣發展電子病歷已十餘年,但同意書遲未電子化,促使雲想科技團隊開發「影像電子簽章」,藉由簽署軌跡、錄影檔、電子文件三者結合達到不可否認性。具體做法是根據簽署者編輯的文件計算 Hash 值,轉為浮水印部署於簽名影片,證明影片完全依附在此文件和本次編輯內容,日後任何修改皆會導致 Hash 值與影片中的浮水印不符。

奧義智慧科技資深資安顧問賴厚昌說,美國 HIPPA 統計,近十年美國民眾醫療記錄遭竊取或曝露的案件數達 18 億,顯示醫療資安問題嚴重;他建議醫院為求趨吉避凶,至少要做到三件事,包括定期更新系統漏洞修補程式、嚴格管控系統權限網路存取,此外還需建置終端電腦防護/偵測/應變處理機制,而奧義發展的 AI 端點偵測與自動化分析,標榜能自動找出惡意程式源頭與感染途徑,便屬於這樣的機制。

落實智慧資安,有效防範風險威脅

互聯安睿資通執行長余俊賢,歸納 5 大常見於醫療機構的攻擊行為,分別是數據洩漏、勒索軟體、社交工程、DDoS 和內部人威脅。欲控制資安風險,須先知道風險在哪裡,故「資安風險盤點檢測」是極重要的工作,且因應醫療設備訊號都在空中傳輸,亦需掃描檢測醫療服務場域的無線訊號,以確保安全;該公司提供 iSecMaster 醫療場域安全監控預警系統,可透過訊號流數據分析,偵測場域內資安威脅。

擔任壓軸講師的精誠集團智慧資安團隊經理廖本凱,指出全球對 AI 醫療的關切熱度逐年攀升,惟 AI 醫療應用需數據串連,可能衍生終端設備風險、聯網傳輸風險與應用程式風險,對此醫院可藉助內網異常偵測、資料庫安控稽核、行動應用程式反組譯保護及智慧資安服務來因應;為協助用戶克服威脅挑戰,精誠資訊成立智慧資安團隊,立基在次世代智慧資安藍圖,展現智慧資安威脅預測、自適性精準資安應變之能量。

值得一提的,發表演說的雲想、奧義、互聯安睿及精誠,加上捷而思、戴夫寇爾(DEVCORE)、中華資安國際、全景軟體、中華民國資訊軟體協會(軟協)等單位,皆於活動現場布設攤位,成為與會者掌握醫療資安解決方案的絕佳平臺;不論捷而思的通訊加密、金鑰權限管理及驗證系統,DEVCORE 的紅隊演練服務,中華資安國際的駭客情資監控中心,全景軟體的身份認證與電子簽名系統,乃至軟協的資安檢測診斷服務,都獲得熱烈迴響。

這次活動當中,主辦單位也透過智慧檢體、智慧藥櫃情境,演繹相關資安問題及因應對策,藉此促進醫療產業與資安產業的對話交流,有助醫療機構建立更健全的資安防護網絡,無後顧之憂加快智慧轉型腳步。

經濟部工業局廣告


Advertisement

更多 iThome相關內容