iThome
這幾年,許多醫院剛好遇到核心HIS系統十年一次的升版周期,也是醫療產業IT現代化的關鍵時期,醫療業今年數位轉型平均預算達2,094萬元,比去年的1,573萬元成長了33%,在6大產業中名列第2,僅次於成長131.9%的高科技製造業。
許多醫院不只是汰換原有HIS,也趁機開始擁抱最新的雲原生技術,像是容器化技術,微服務架構,醫院去年AP上雲的比例只有7.9%,但是預計在2023年底將14.2%的AP上雲,上雲比例幾乎翻了一倍。不過,另一個IT現代化指標AP容器化程度,醫療業今年底預計達到17.4%,與去年相比,增加不多,但有意採用微服務架構的醫院,今年達到了34%,平均每3家醫院就有一家,這兩項數據反映出,醫院正處於積極擁抱雲原生,展開架構轉換的過程中,這一段旅程可能還需要1~2年才會看到更多醫院擁抱雲原生的成果。
不過,醫療產業的資安自信心是各產業最低者,只有20%醫院資安長對自家資安能力非常有信心,遠低於其他產業。醫療業的資安預算也相對較少,只有947萬元,只比高科技製造業和一般製造業高。
過去幾年,在資安法實施後,政府提高對醫療業的資安要求,尤其是列為關鍵基礎設施的CI醫院,這也帶動了整體醫療產業資安體質的強化。根據我們的調查,醫療業遭駭指數僅次於金融業者,這個數據越低代表資安體質越強健,醫療業在2022年創下了過去4年來的新低,只有34%,但還是略高於2018年的25%。換句話說,醫療業一年約有三分之一,大約4個月的時間,處於脆弱期。
目前醫療業一年平均發生的重大資安事件約16.2次,平均發現攻擊時間只有3.5天,這意味著醫療的資安偵測能力不低,但是在系統遭駭後的復原能力有待改善,平均復原時間仍然需要4天之久,倘若醫院遭駭的是掛號系統,恐怕得靠紙本作業長達4天,影響不小。這個復原速度,對於身為CI醫院來說,是特別需要強化之處,尤其,有許多醫療照護服務需要仰賴資訊系統的支持,一但停擺,對病人的治療會帶來不小的影響。
從整體資安態勢來看,未來一年,醫療產業需要特別注意的首要風險有兩項,包括了勒索軟體資安事件和社交工程手段的威脅。而駭客威脅則是醫療業未來一年也要警戒的次要風險。從2018年,臺灣發生了大規模超過20家醫院遭遇勒索軟體攻擊的大規模資安事件之後,勒索軟體資安事件一直是醫院資訊長的重要警戒標的,尤其,勒索軟體不只影響醫院HIS系統,還會影響到病人的電子病歷資料和醫療紀錄,更讓醫院特別防範這一類威脅。
這兩年勒索軟體攻擊事件遍及各產業,攻擊手法也快速變化,不只開始結合了不同攻擊手法,漏洞、釣魚郵件、釣魚網站等,勒索軟體的技術也不斷演化,例如最近就出現了不到5分鐘就能快速加密完一臺電腦檔案的新款病毒。這些勒索軟體新的演變,都是醫院資訊長需要留意的情資,才能更及時應變。而資料備份和還原,也成了醫療用來對抗勒索軟體威脅的重要手段。隨著主管機關開放電子病歷上雲,許多醫院第一個想到的上雲應用就是雲端備份,將重要系統和醫療資料備份到雲端,避免受到勒索軟體事件的影響來避險。
除了上述三項資安風險之外,對醫療產業來說,在高衝擊高風險的第一象限中還有多項需要優先留意的資安風險項目,包括了釣魚網站、以第三方為跳板的攻擊、物聯網攻擊、資料外洩事件、資安漏洞事件和顧客資安事件。
隨著越來越多醫院發展以病人為中心的資訊系統,開始集中更多病人資料,病患資料的管理也成了重要的課題,從2023年大調查也觀察到,醫院開始借助零售業顧客資料管理思維,也開始導入或建置集中式的病人資料管理平臺,資料越集中,也會提高病人資安事件的風險,因此,從去年開始,顧客資安事件的風險項目就開始進入了醫院第一象限的資安風險項目中。另外,還有一個值得留意的是假消息不實資訊事件的風險,未來一年也可能快速增加。
至於新興ChatGPT相關的風險,醫療產業資訊長則是相對不擔心,不論是ChatGPT資安事件或ChatGPT淪為攻擊輔助工具,這兩項資安項目的風險都被列為衝擊低發生風險也低的第四象限風險。
.png)
企業資安風險圖製作說明 在iThome 2023年CIO暨資安大調查中,由企業自評各資安項目的兩項指標,一項是該項目對企業帶來的衝擊程度(衝擊極高和衝擊極低),另一項是這個項目未來1年的發生風險(極可能發生與極不可能發生),再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊,位置越往上代表衝擊越大,水平軸是企業未來1 年發生該項目的風險,位置越右,代表可能性越大。紅色文字的項目為今年發生風險明顯提高者。
問卷說明 大調查執行期間從2023年4月20日到5月10日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷407家,其中59.8%填答者為企業資安最高主管。
資料來源:2023 iThome CIO大調查,2023年7月
熱門新聞
2023-12-03
2024-04-24
2024-04-25
2024-04-26
2024-04-22
2024-04-22
2024-04-22