【臺灣資安大會直擊】衛福部：今年要強化醫療資安聯防機制，首波瞄準國內64家CI醫院

「醫院有多少院長記得去年資安法剛上路？」衛生福利部資訊處處長龐一鳴今（3/19）揭露醫療資安政策的挑戰，他指出，臺灣雖然在去年端出資通安全管理法（即資安法），政府也已推行醫院評鑑制度，來把關醫療環境與設備安全、風險分析和應變的能力，「但這些還不夠，」龐一鳴表示，今年要強化醫療業的資安聯防機制，以關鍵基礎設施為本，透過嚴格把關醫療儀器（OT），來達到更嚴格的資安要求，而第一波就瞄準臺灣64家CI醫院（意指提供關鍵基礎設施的醫院）為主。

他指出，近幾年來隨著科技發展，醫療業也不斷進化，從網路掛號系統、門急診系統的出現，再到電子病歷、雲端藥歷，甚至是醫療AI，前景看似美好，卻也隱藏資安隱憂，比如先前英國國民健保（NHS）遭受惡意木馬軟體攻擊、新加坡醫療系統遭駭、導致百萬人個資外洩等。

龐一鳴提到，美國一份資安事件報告顯示，有四分之一的資安事件就發生於醫療產業。不只如此，衛生福利部關鍵基礎設施資安工作推動專案辦公室主任范仲玫更進一步表示，隨著更多醫療e化儀器和設備的出現，資安風險也跟著提高，正如國際知名的美國急救醫學研究所（ECRI）所發布的年度醫療技術危害，2014年至2017年時都還聚焦於電子病歷問題，今年卻直指醫療系統遠端遭駭將是一大危害，在在顯示e化儀器是醫療資安不可忽視的課題。

為了強化醫療資安，也為了配合行政院2017年至2020年的「國家資通安全發展方案」，衛福部計畫從從原本就在施行的「醫療評鑑制度」和去年開始執行的「聯防機制」下手。醫療評鑑制度的目標，是要確保病人權益與醫療服務品質，其評鑑基準，涵蓋了醫院環境與設備的安全性、醫院風險分析與緊急災害應變的能力。

其中一項評鑑指標，就是ISO 27001資訊安全管理系統（ISMS）認證。范仲玫表示，自去年資安法上路後，這項ISO認證就成為醫院不得不做的資安檢驗，必須按照PDCA（規畫、執行、檢查、改善）來循環管理。雖然ISO 27001今年才開始成為醫院必做課題，但其實自2009年起，就已有醫院為了保護電子病歷，而開始導入ISO 27001。另一方面，針對醫院病歷資料和資安的法律規範，除了醫院要自行辦理各自保護法的稽核，衛福部也將辦理去年上路的資安法稽核事宜。

另一項衛福部今年要大力推行的醫療資安計畫，就是聯防機制。該機制鎖定擁有連網關鍵基礎設施（也就是中斷或停頓會影響醫療核心業務或病人安全）的醫院，來進行OT風險評鑑，也就是醫療儀器風險管理。為方便管理數量龐雜的OT，衛福部自去年開始，先將這些關鍵OT進行分類，像是生理監視與系統、麻醉機、呼吸機、數位X光攝影系統、CT和MRI掃描儀、心電圖儀器等17類，同時也畫定OT範圍，讓醫院可以進行OT盤點、排定OT資安檢驗的優先順序，比如現階段以連網且需將資料上傳至HIS、NIS或RIS為範圍，之後再擴大到較早e化且檢查量高的儀器設備。

而聯防機制的架構，則是以資安聯防系統為主體，包括了資安訊息分享（ISAC）、緊急應變處理（CERT）和聯合監控（SOC）機制，來接收外部資訊，並進一步回饋給CI醫院。具體來說，聯防機制就是將OT資產盤點與風險評估輔助系統所產生的資訊，送至「情資及弱點資料庫」進行分析，之後再將這些醫療設備的資安情報，傳送至資安聯防系統內，集結H-ISAC、H-CERT和H-SOC進行深入分析，再傳送至國家ISAC以及CI醫院。龐一鳴指出，衛福部已於去年完成一些系統的建置，包括OT風險評估輔助系統、情資及弱點資料庫，以及醫療端ISAC與國家ISAC的連結。

他指出，聯防機制的「分母越大，情資也就越大。」雖然衛福部希望所有醫療院所都能加入，但首波重點會從國內64家CI醫院開始。范仲玫提到，目前CI醫院中，已有42家加入H-ISAC機制，並完成IT資產資訊的安全防護，但就OT資產資訊安全防護部分，她坦言，目前還無法確認CI醫院的執行情形，而這也是衛福部今年的目標，除了與其餘22家CI醫院討論加入聯防機制，還要落實醫院對OT的盤點與風險評估。文◎王若樸