產業觀察─醫療業是資訊安全的黑洞

健保制度是壓死醫療業的最後一根稻草？

健保制度讓不少醫院關門，在賺不到錢的情況下，更何況是投資資訊系統，到現在還有醫院在使用486電腦，即使IT人員向主管反應更新需求，但得到的回覆卻是設備還可以動就好，慢一點有什麼關係。醫院大多由醫生兼任資訊室主管，在沒有足夠的IT觀念下，很少主動思考資訊安全該怎麼布建與進行。

以前醫療業是封閉的系統，對資訊安全的急迫性也比較低，但隨著法令、健保和資訊化逐漸導入，許多醫院正從封閉系統轉為開放系統，但在資料庫的轉換過程中，並沒有注意到資料的保密及驗證措施。整個醫事資訊化的過程，包括醫事資料、X光片、病歷保存、給藥記錄，都是個資法保護的範疇，卻沒有專人負責管理。IT預算不足，缺乏專業人才

醫院的IT部門其實蠻可憐的，編制的人員少，資訊主管由醫生兼任，加上醫院本身e化的需求，IT人員必須統包所有的工作，包括維修電腦、機房管理及系統撰寫，頂多只能加強防火牆和防毒監控。

網路對醫療業的重要性已經越來越高，某些醫院已經透過網路傳呼醫生，因此網路不能中斷；大型醫院的X光片利用數位化的方式在網路上傳輸；病人的即時狀況監測，例如心電圖，也是透過內部網路連結。但是，有些醫院根本沒有建置防火牆，內部系統只是透過簡單的NAT就直接連結外部網路，加上沒有安全政策控管和DMZ的概念，認為網路可以維持正常連線，掛號系統可以正常運作，就沒有問題了，卻沒考慮到當哪天問題發生時，該怎麼辦？

醫療業是所有產業裡面最不重視資訊安全的，但是醫療業又覺得自己是最不安全的。醫療業的資訊安全之所以落後的原因，不全是健保制度、預算不足或高層不重視，因為醫院是一個特殊的產業別，需要同時具備醫療與資訊兩種背景的專業人員，才能規畫出適合的資訊系統和安全架構，可惜目前缺乏這類人才。主管機關不重視，凡事只能靠自己

有人認為這次敬陪末座的醫療業分數還是太高，可能除以10還差不多。我們也聽到許多關於醫療的負面消息，例如醫院有網管人員，但卻沒有資訊安全人員，甚至主管機關嫌HIPAA麻煩，只要做PKI和CA就好。

隨著醫療的電子病歷和資料交換，資訊安全是醫療業必須要面對的。醫療業對e化的仰賴程度越來越高，雖然目前它在IT支出所占的市場份額並不是最大，但成長幅度卻是最高的。臺大、馬階及榮總等醫院，他們都認可IT是必要的，IT預算支出也很多，但他們的採購方式可能比較不同，例如過去的省屬醫院，是統籌購買，也許現在對資訊安全的投資還不多，但之後為了連結各種裝置（PDA、資料庫），會逐漸增加預算。不過，好消息是目前也有幾家標的醫院正在慢慢轉型，開始導入資訊安全解決方案。