東吳大學科法所助理教授萬幼筠指出,資安長一大任務是做好風險管理,得注重策略、流程、組織和科技的互動,同時也得顧及組織內的共通資安語言、人員意識和資安文化。(攝影/洪政偉)

衛福部在11月底第三屆醫療資安長共識營中,大力呼籲46家關鍵基礎設施醫院和私立醫院設置資安長,甚至明確透露,未來將透過評鑑手段來鼓勵醫院設置資安長。衛福部對資安長的設置越來越積極,甚至鎖定醫院高層,作為明年醫院資安推廣對象。

這次,衛福部也邀請東吳大學科法所助理教授萬幼筠,來分享資安長該注意的新趨勢。

「我們的國家安全,很大程度仰賴關鍵基礎設施,醫療產業更是八大關鍵之一!」萬幼筠強調:「不過,醫療業對資安風險的優先順序,與其他產業大不相同。」一般產業談資安,不外乎先是機密保護、資料正確性,再來才考量可用性,但醫療業卻相反,可用性大於一切,比如手術中的達文西手臂,就得確保能即時運作。而這些高度聯網設備的精確性和可用性,「會帶來非常多的潛在風險,」他說。

資安長該關注這三大重點

既然醫療產業的優先順序不同,對醫療資安長來說,該關注哪些課題呢?

「韌性。」萬幼筠點出,資安長首要關注的是韌性,也就是系統盡量不要被癱瘓、被癱瘓後要能快速復原,以及,「這個復原要在業務可容忍的範圍內。」而整個產業對韌性的重視,也改變業界的績效指標,從過去要求的不要出事,轉變為現在的出事後要能快速復原,甚至,出事當下要能立即察覺。這些都是資安長得注意的韌性。

其次則是可信任度。比如,醫療業數位化程度高,許多儀器高度精密、聯網,再加上AI、大數據分析興起,資料傳遞更是頻繁快速。在這種條件下,這些儀器就存在資安風險,如何能被醫院信任、使用,是資安長該著墨的議題。

第三道課題是當責性。「法律永遠是最後一道防線,」萬幼筠表示,臺灣與其他國家一樣,資安法從最高層級的國家法,往下延伸至產業法規,走進醫療、金融等領域。層層法規,就是為了強調資安非做不可,政府因此建議關鍵基礎設施設置資安長,來帶頭規畫、編列預算,執行資安策略。這就是資安長必須意識到的當責性。

資安關鍵在於風險管理,9大關鍵不可忽視

既然強調韌性,這就意味著,落實資安並非追求100%的安全,而是要會管理風險。

萬幼筠歸納出9大風險管理關鍵,提供醫院資安長參考。首先是擬訂一套資安策略,這個策略要具備風險管理範圍與藍圖,還有對應的風險管理規畫和方法,以及因應資安事件所需的資源與持續營運能力。

這套策略,就能配合內部組織與流程來落實。在組織上,得先明確畫分風險管理權責,並定義角色與責任(R&R),比如,醫院得有一組人來定期檢視資安風險,診間人員就能擔任這種角色。而且,組織人員得進行資安訓練、培養資安意識。這麼做,就能與風險處理流程相輔相成,甚至,醫院也得藉助科技,如自動化風險管理工具或即時監控通報機制,來掌握資安動態。

不只要有策略、組織、流程和科技,醫院還得打好資安基礎。比如建立一套共通語言,不光是內部要有一套共通的風險定義,還得有套符合所屬產業的風險實務。

再來,醫院也需一套衡量標準,像是風險管理成熟度指標、績效要求(KPI),以及風險改善的優先順序,來調整管理做法。此外,還得設計一套風險管理架構,來與其他制度整合。最後,組織人員得培養風險管理的技能和知識,來塑造風險管理文化。掌握這9個關鍵,資安長就能成功管理資安風險。

不只是技術,資安是人員、流程、科技的經營課題

不過,「資安長要了解,資安不全然是技術課題,而是經營課題,」萬幼筠強調,這個經營課題就是人員、流程和科技的整合。以人員來說,醫院資安長得知道,醫院最大的利害關係人是醫護人員,其次是照護、行政、膳食、工友等人員,因此得按影響力來優先排序需資安保護的對象、理解風險高低,而非一視同仁。

有了資安保護對象的優先順序,再來就是運用科技,如自動化風險管理和監控工具,來把關資安狀態。至於流程,不只是理解系統安全,如帳號密碼管理、弱點掃描,還要更進一步建立可永續操作的資安流程,這時,「教育訓練就十分重要。」

下一步:供應鏈管理、聯防體系

萬幼筠也強調,未來3到5年一大資安重點,就是供應鏈管理,一如國家資安法架構所聚焦的。他舉例說明供應鏈管理的重要性,比如,臺灣醫院採購醫療儀器時,容易參考同儕經驗,採買國際大廠、市占率高的儀器。但這個作法,就有可能造成,國外一家醫院同廠牌的儀器遭駭,臺灣醫院也跟著遭殃。

還有一個例子是,供應商容易洩漏使用者機密。比如一家資料倉儲廠商,將前一家金控客戶導入的系統模組,刪除資料後套用給另一家金控客戶,在短時間內快速完成專案。但這種做法,就容易洩漏機密。

萬幼筠建議,不論是IT還是OT委外廠商,醫院都可訂立績效指標,來定期檢視委外廠商,並且,雙方不只要簽訂保密協定,還要簽訂資安協定。如此一來,才能防範供應商引發的資安問題。他也指出,醫院須將保密協定和資安協定納入績效指標,以此教育內部人員。

不過,醫院資安不能只靠自己。「沒有一家機構可以單獨防禦,」萬幼筠鼓勵醫院加入衛福部設置的H-ISAC情資中心,透過情資共享,來抵禦資安威脅。他也舉例,就連臺灣,也得聯手美國、日本、新加坡等國,以共享情資的方式,織成一張防禦網,共同抵抗資安威脅。

熱門新聞

Advertisement