【資安實例分享：臺中榮總】中榮院級IT危機應變作法大公開，更靠3招心法鞏固資安體質

可用性是醫療資安的第一原則，臺中榮總一方面打造了一套院級的資訊危機緊急應變組織，來提供1小時甚至是半小時的緊急應變速度，更自行開發了一套單機版門診軟體，就算後端伺服器當機、網路中斷，只要有一臺PC和印表機，就能讓醫生繼續看診，甚至能離線查詢過去半年的病歷資料和檢驗報告，來實現病患看診完全不中斷的運作。

中榮如何打造出這套應變措施？第一步先從訂定組織做起。臺中榮總資訊室主任賴來勳指出，臺中榮總按照醫療事件指揮系統（HICS）架構，設立一個全院等級的資訊危機緊急應變組織，專門因應資安事件。院長擔任指揮官，負責授權啟動應變，副指揮官則由副院長兼任，來協助院內外訊息發布。

資訊室主任則領導主要執行單位，負責統合緊急事件資訊，來建立執行計畫。執行單位下有6個小組，如醫療照護組、持續運作組、待命區組、設施運作組、安全管制和病人家屬關懷組，分別由護理部、醫企室、資訊室應用組、資訊室系統組、駐警隊和社工室來負責。

不光有執行單位，緊急應變組織還有一個由總務、社工室組成的行政部，來調度人力資源，支援執行單位。

服務中斷半小時或1小時就啟動應變

有了組織架構，他們也根據不同層級和事件影響範圍，劃分出相對應的緊急應變程序，比如，門急住系統、電子病歷系統、影像系統和網路系統等影響全院層級的系統，有各自的應變程序。而其他一級單位，像是放射部、檢驗部等，也有對應的作業程序，來視情況調整。

這些程序該在何時啟動呢？

臺中榮總的原則很簡單，依臨床單位可容許的作業中斷時間，來決定啟動時機。賴來勳舉例，以使用量最龐大的門診系統來說，當服務中斷30分鐘且短時間內無法修復時，就會由資訊室主任或授權人員通報院部長官，核准後來啟動緊急應變程序。不只如此，他們還會同步進行資安通報，來知會主管機關衛福部。

至於院內急診系統和住院系統，則是服務中斷1小時、無法在短時間內修復時，才會啟動應變程序。事件發生後，臺中榮總也會執行作業檢討，除了撰寫事件處理檢討紀錄表，每年還會召開會議，來修訂各項緊急應變程序。

服務中斷怎麼辦？中榮打造單機版門診程式

為了讓醫院最頻繁使用的門診系統，遇到危機時也能持續運作，臺中榮總IT打造了一款單機版門診程式，來確保醫院各單位可以持續醫療行為。這也點出了，醫療資安以可用性為第一優先的特性。

這款單機版軟體鎖定的使用情境是，假設在沒有伺服器主機、沒有網路、只剩一臺電腦和印表機時，醫生可持續醫療作業的前提下來設計。

目前，臺中榮總這套程式已經優化到第二版，可提供與正常系統完全相同的操作模式，而且，平時沒有啟動時，院內門診系統會每日產生一份最新資料的加密壓縮檔，涵蓋過去6個月以內的病歷資料和檢驗報告，讓醫生離線透過這單機套系統查詢，不必擔心資料不同步。

事前預防1：藉自動化分析掌握資安動態

不只靠單機程式因應資安事件，為防範未然，臺中榮總還利用3種方法，來鞏固資安體質。

首先是建立資安事件自動化分析機制。賴來勳指出，這個機制可分為3個步驟，第1步是資料收集，IT團隊會先在醫院網路設備、主機和個人電腦上，裝設代理程式（Agent），對於無法裝設代理程式的設備，他們則透過無代理程式監控器（Agentless monitor）來收集資料。

第2步是可視化管理，這時，IT團隊運用開源工具，將收集到的資料匯入工具平臺中，方便IT人員從視覺化儀表板上，來查看設備的狀態。賴來勳點出，他們更將過去需要人工檢查的作業，透過自製程式改為自動化處理，讓數據更即時同步到儀表板上。

有了這些數據，IT團隊就能進行第3步，也就是自動化分析。他們導入資安監控SOC服務，以及資安事件管理平臺（SIEM），來分析這些數據，希望能自動阻斷潛在威脅。

圖片來源／賴來勳
臺中榮總利用開源平臺打造可視化儀表板，將院內關鍵設備的數據即時呈現，方便進行下一步的SOC和SIEM平臺自動化分析。

事前預防2：整合外部威脅情資

臺中榮總鞏固資安體質的另一個方法，則是整合外部情資。這個方法一樣有3個步驟，首先是收集情資，比如整理衛福部資安資訊分享與分析中心（H-ISAC）公告的勒索軟體相關情資，以及行政院發布的國家資通安全會報、學術網路資訊和資安廠商提供的情資等。

擁有各方情資後，第2步要做的是消化情資，也就是釐清這些情資是否符合醫院需求，比如醫院是否具備情資提及的設備等。

接著，第3步就是運用研判過的情資，來進行設備修補或更新、調整程式碼（如更新軟體、韌體等），這些工作會由資訊室透過排程來處理。此外，資訊室也攬起人員宣導與教育訓練的責任，在院內討論區定期公告情資，並宣導惡意網站訊息，來提高人員資安意識。

「經年累月下來，同仁們的資安意識是有成長的！」賴來勳指出，IT團隊原以為資訊公告不太會有人關注，但久而久之，會有同仁打電話詢問相關資訊，主動理解資安動態。

事前預防3：資安攻防演練

臺中榮總還有一個鞏固資安體質的方法，也就是資安攻防演練。「這個攻防分為兩部分，」賴來勳透露，首先是針對一般使用者的資安攻防演練，資訊室自建一套社交工程演練系統，每個月專門發送10種類型以上的釣魚電子郵件，給總院和分院人員，並透過系統，來記錄開啟郵件、點閱連結和開啟附件的狀況。

他們會每季彙整演練結果，比如單位的開啟率、點閱率等，以公文發送給各單位，並要求不合格的人員參加資安教育訓練。「一開始，我們的開啟率都過半！」賴來勳分享，醫院開始進行社交工程演練時，許多單位都會毫不猶豫開啟釣魚郵件，但經過幾次演練，「現在的開啟率非常低，不到2%。」

另一方面，臺中榮總也設計不少針對IT的資安攻防演練。這部分由資訊室先研擬攻擊劇本，再選定環境，實際演練。演練時，團隊會針對不同系統風險，採取不同演練方式，比如針對採多機分流運作的正式系統，如通常開設10臺主機的網路預約掛號系統，直接攻擊其中一臺正式系統，因為「就算這一臺當機，也可以直接復原，不會影響醫療作業，」賴來勳說。

另一類是無法承受演練當機風險的正式系統，臺中榮總IT會複製一套正式系統，再於沙箱環境進行攻擊。之後再根據系統表現，來調整資安防護措施，防範未然。

資安最重要的是人員，醫院還得注重法遵證照

除了自動化分析、整合情資、攻防演練，賴來勳認為，一些基本措施如架設防火牆、防毒軟體，或是備份資料、頻繁更換密碼、限制網路存取、加密資料、評估委外廠商等，甚至是制定復原計畫，也都能幫助醫院打好資安底子，但對他來說，做好資安的關鍵，還是文化養成。

因為，「人員是最重要的資產，資安得靠眾人之力才能做好，」他解釋，IT人員雖能在重要關卡防守破口，但一般使用者若保持良好習慣，就能預防資安危機。因此，「一般使用者和IT人員都同等重要。」

另一方面，賴來勳也強調人員與資安法遵的重要。他透露，臺中榮總與旗下兩家分院，至少都有ISO27001:2013 LA和資安職能證照，總院另外還有網路安全技術認證機構EC-Council認證，以及資安基礎認證CompTIA Security。「張數不能太少，」他點出，醫院得考慮人員流動，因此證照數量至少得多準備，才能符合法規要求。

未來，臺中榮總的資安方向將繼續朝可視化管理和自動化分析前進，來降低人力負荷、提高自動化處理程度。