資安情資分享是預防資安事件的一大關鍵,衛福部為了提升醫療院所整體資安防護能量,早在2018年完成H-ISAC(醫療領域資安資訊分享與分析中心),陸續也將H-SOC和H-CERT功能進行整併。但是,光有H-ISAC平臺不夠,必須要有更多醫院加入才有意義。
目前衛福部參考「國家資安資訊分享與分析中心(N-ISAC) 」會員規章,訂定衛生福利部資安資訊分享與分析中心(H-ISAC)會員規章(草案),並積極邀請更多有經驗的醫院會員分享使用H-ISAC提升醫院資安防護能力的經驗,預計在2022年度通過(H-ISAC)會員規章,並且將H-ISAC會員數量,可以從既有的245個會員進一步增加。
制定H-ISAC會員規章草案,預計2022年通過
衛生福利部為了強化醫療院所的資安作為,不僅將《資通安全法》作為醫院評鑑的法源基準,醫院也必須參考該法相關的架構,制定相關的配套措施。
衛福部資訊處處長龐一鳴指出,雖然醫院評鑑因為疫情關係已經停辦兩年,但在2020年公布的「醫院評鑑補充資料表(草案)」第一篇經營管理的查核表中,第十一項資訊安全管理的評鑑基準,就直接以「是否加入醫療領域資安資訊分享與分析中心(H-ISAC)會員?」作為查核項目。
衛福部在2018年已經完成H-ISAC的建置,但只有平臺不足以發揮情資交換的影響力,為了鼓勵醫院加入進行情資分享,衛福部更參考「國家資安資訊分享與分析中心(N-ISAC) 」會員規章,訂定衛生福利部資安資訊分享與分析中心(H-ISAC)會員規章(草案),預計2022年通過該規章。
截至十月底已經有57家醫院加入H-SOC平臺,為了強化資安聯防的成效,未來將鼓勵更多CI以及非CI醫院成為醫院會員,同時開放提供醫院資訊服務的業者,加入該平臺成為廠商會員。
龐一鳴表示,要讓醫院做好資安防護,就必須推廣「資安即病安」,而H-ISAC就是一個情資分享的儀表板,透過將醫院代碼匿名化,讓各種資安攻擊事件可以如實地呈現在資安儀表板中。他也指出,未來,將會邀請更多醫院會員分享H-ISAC的使用經驗,也會鼓勵會員多看儀表板的相關內容,只要醫院資安主管願意多花時間看情資儀表板,一定會越看越有感覺,也越願意進一步分享資安情資;衛福部則會要求H-ISAC的建置業者,持續精進各種功能和操作介面。
圖片來源/衛福部
衛福部參考N-ISAC的機制草擬H-ISAC會員規章草案,分成醫院會員以及廠商會員兩種,預計2022年會通過相關會員規章,也希望透過更多醫院會員分享,可以鼓勵更多醫院會員加入H-ISAC。
依照資安法架構,加入H-ISAC成醫院評鑑基準
依照資安法架構的以先期計畫階段為例,醫院為了要落實醫院資安責任等級分級提報,必須制定《資通安全責任等級分級辦法》、《資通安全管理法施行細則》;在持續運作階段,必須制定《特定非公務機關資通安全維護計畫實施情形稽核辦法》。
在通報應變階段,醫院為了通報資安事件則必須制定《資通安全事件通報及應變辦法》;在協處改善階段,醫院必須提出稽核改善報告外,必須制定《資通安全情資分享辦法》、《公務機關所屬人員資通安全事項獎懲辦法》等。
衛福部也在2019年的「醫院評鑑基準及評量項目-區域醫院及地區醫院 」規範,第一篇「經營管理」中第1.4.4條文中明定:建立資安管理機制,制定系統當機緊急應變標準和風險管理計畫,並確保病人隱私和資訊安全。
至於符合項目裡面則明定,依照《資通安全法》應有資訊系統使用權限設定以防止資料外洩的資訊管理作業規範,確保病人個人隱私;設定資料正確性檢查、改善機制;資訊設備機房有門禁管制及防火設施,醫院的電子病歷應有病人資料異地或雲端備份功能;制定資訊系統故障緊急應變標準作業規範,並針對緊急應變計畫做演練及故障原因和處理改善;制定資訊系統風險管理計畫,進行風險管理分析、監測、管理與執行;加入H-ISAC會員,進行情資分享。
H-SOC會員目前只有57家,需要更多醫院投入
協助衛福部建置H-ISAC的數聯資安資深顧問吳俍穎表示,為了提高醫院資安防護能力,數聯資安和資策會合作,打造事前的H-ISAC,事中的H-SOC,事後的H-CERT。
H-ISAC在2018年6月完成,目前H-ISAC會員只有245家,將鼓勵其他四百多家非CI醫院,二萬多家基層診所,都可以加入H-ISAC的醫院會員。
吳俍穎表示,H-SOC在2020年11月開放CI指定醫院上傳資安事件單與醫院系統介接,並在2021年完成基礎設計,可以收容更多資安情資,運用SIEM進行專業的資安情資分析匯集指標情資。
他說,對於醫院資安長而言,更重要的是SOC資安戰情中心可以從管理者角度,提供何種資安分析情報,而監控情資越多元、情資越準確。
吳俍穎以H-ISAC情資為例,重點是,指揮官在戰情中心到底看到哪些分析數據,包括:前一個月和前二個月的情資分析,攻擊來自哪些國家?哪幾類攻擊手法最多?
衛福部的H-SOC也會將收集到的攻擊IP,透過H-ISAC第一時間通報到所有醫院,有越來越多的駭客會針對同類型產業發動攻擊;也會比對攻擊手法和各種CVE漏洞,也提供各種防火牆或是WAF(應用程式防火牆)設備阻擋駭客攻擊的規則等。光是2020年9月,H-SOC就直接阻擋長期監控的91個惡意IP位址。
只有一成醫院,將資通系統列為醫院核心業務
衛福部關鍵基礎設施資安工作推動專案辦公室專案經理吳伊婷表示,資安就是要界定你想保護的標的,包括:偵測非法入侵、抵禦非法行為及進行災害復原,最重要的是「鑑定核心業務」。
吳伊婷分析CI醫院所提交的2021年資安維護計畫內容,只有10.71%的CI醫院,將資通系統列為核心業務,其他CI醫院所界定的核心業務項目,都是醫療照護類別,有過半醫院(53.57%)將衛福部指定核心業務項目列為核心業務;另外有35.72%CI醫院,則將醫療診治照護服務、醫療作業管理、醫療業務、醫療服務,以及臨床醫療診斷、治療及護理照護作業,視為醫院的核心業務。
關於H-ISAC的會員權利責任,吳伊婷表示,最重要的重點在於提供更精準的資安情資,包括醫療設備資安情報以及IP入侵偵測及告警服務;另外,也會提供醫療儀器資源分享統計資訊,並進行資安事件通報,因為,資安事件發生在一家醫院或一百家醫院,造成的資安嚴重程度不一樣;其他就是要落實事前資安監控,有需要技術支援時,可以委由H-ISAC提供協助。
長庚醫院分享H-ISAC應用實例,有助提升資安防禦量能
長庚紀念醫院醫療資訊管理部副組長石蕙源在先前,也實際分享該醫院使用H-ISAC的經驗。他表示,醫院最重要的,就是將H-SOC情資儀表板完成介接測試,完成帳號申請、登入儀表板後,就可以看到最重要的兩個功能:戰情中心和醫院戰情趨勢儀表板。
他說,戰情中心會員版九項功能,最喜歡看新增案件總數,並比較過去三十天所有案件數總和,可觀察是否有第三、四級資安事件;看近三十天,有無相同IP位址是進行跨機關攻擊的來源IP,以及跨機關所使用的攻擊技術。
他表示,H-SOC透過燈號示警的方式,協助醫療機構進行資安預測燈號,一旦有資安威脅變化,可以即刻示警,也可以透過雷達圖顯示主要的資安威脅種類,也可以直接從儀表板看出目前威脅最嚴重的資安事件。
石蕙源實際使用過H-SOC後表示,戰情儀表板提供醫院可以了解醫療機構整體的資安威脅趨勢,並可以透過儀表板方式,即時得知當前整體威脅事件的種類、數量、手法和攻擊來源等,對於醫院在茲情事件的預防上有很大幫助。
石蕙源建議,未來H-ISAC可以新增更多同儕醫院的資安整體情資比較,有助於醫院檢視自身資安防護能量;他也建議H-SOC可增加更多介接的資安設備,擴大資安聯防的量能。
**更正啟示:衛福部截至2021年10月,H-ISAC會員245家,其中有57家會員設置SOC(資安監控中心)與衛福部H-SOC介接。內文已修正。
熱門新聞
2024-08-14
2024-12-24
2024-12-20
2024-12-22
2024-12-23
2024-12-23