中國夜夜攻擊臺灣政府醫療資訊系統,衛福部資訊處處長許明暉於4月1日臺灣資安大會上透露,根據衛福部的監控情形,光是一個晚上臺灣遭受中國攻擊的事件可達上萬次,而這些攻擊可能針對特定議題,攻擊頻率也集中在特定時期或事件,像是每年5月,在衛福部部長要到日內瓦參加世界衛生組織會議的時間點前後,來自對岸的各種攻擊事件就會大增,大約從3、4月攻擊數量開始明顯成長,5月達到尖峰,然後6月才會下降。

不僅是這類事件,就連一般醫院門診也都會遭受攻擊,各單位的醫療系統和醫療資料,可能因為各種五花八門的原因而被攻擊,許明暉舉例,曾經有一次,醫院門診資訊系統被攻擊,後來發現是攻擊源頭竟然是警察局,原來警察局為了要抓通緝犯,寫了一個小程式,要自動進入每個醫院的掛號系統查驗是否有通緝犯會到醫院看診。

他說,現在有太多可能的原因會影響到醫療資訊安全,以往在資安領域,取得資料後可能只是拿來炫耀,但現在,資安事件往往涉及金錢與利益,不肖人士可以透過很多方法把手上的資料變成錢。

許明暉也表示,醫療領域的資訊安全又比其他領域更為敏感,因為在醫療領域的資訊安全就是病人的安全,而醫療有個首要前提是不要傷害病人,因此他們對於醫療的資訊安全特別的重視。

為達到3大資訊安全構面,將有更多好的服務被發明和提供

資訊安全有幾個重要的構面,包括資料的可得性(Availability)、資料保密性(Confidentiality)及資料正確性(Intergrity)。

他說,在醫療領域,有些資料會被拿來作救命之用,當這些資料因為資訊安全因素而不可取得的時候,便可能導致嚴重的結果。而國際檢驗標準ISO 27001主要就是在規範資料的可得性,有些醫療資料如果及早知道,便能立即採取有效的做法,許明暉解釋,像是若有人受到細菌感染,當這些細菌被培養出來並找到有效的抗生素時,這種狀況下如果能及早知道檢驗結果並用抗生素治療,就有可能攸關病人的生死。

而醫療資料所指的資料保密性和隱私性(Privacy)不太一樣,許明暉解釋,隱私性指的是社會有多大的力量來保障一個人,有權利不讓別人知道某些事情,但在醫療領域的保密性,是要用來確保只讓應該知道訊息的人得到訊息。

像是先前臺中市前市長胡志強的病歷資料就在選舉前被曝光,健保署也在很多年前發生過洩露事件,當時健保IC卡剛上路,負責管理病人照片的員工將資料洩漏給地下討債集團,許明暉說,這類事件,問題出在人,已經不是先進的攻擊型態或是科技技術的問題,而是資訊安全治理上出了問題。

在技術層面,必須要有機制來確保誰可以看到這些醫療資料,他說,假設有人在醫院工作,聽說名模林志玲住進醫院,這些知道的人可能會想看她的醫療資料,因此必須確保讓真的有查閱需求的醫療人員,才可以看到資料,其他人一概不行,這就是技術性問題。

此外,資料正確性也非常重要,由於現在很多事件會根據醫療資料來做判斷。像是最近的德國墜機事件,很多人在推測副機師的健康醫療狀況、憂鬱症傾向,視力問題等,這時候資料的正確性變成為非常重要的要素,而有很多可能的理由,可能導致健康資料遭到塗改,影響資料的正確性,因此,這幾個構面都必須非常重視。

不過,當這些資安問題層出不窮時,很多人會覺得這個世界很糟糕,但許明暉認為,這些資安問題都可以變成是很好的機會和商機,為了要達到上述提到的資料可得性、保密性和正確性,將會衍伸出非常多好的服務,而當這些服務能被永續提供時,這其實是個很好的現象。

政府推動My Data將健康資料還給民眾,讓民眾自己做主

近年隨著人口老化趨勢,健康照護越來越受到重視,大家現在常提到大資料Big Data、開放資料Open Data等議題,衛福部則特別提出了My Data的概念,推動國民健康存摺,要將健康資料交還給民眾,讓民眾自己做主。

而這件事情已經被實現,民眾現在就可以在家中,透過自然人憑證,登入健保署的網站系統,看到所有個人的健保資料,包括過在過去一年之內,看了多少診所,這些診所開了哪些藥品,甚至是每次就診時,診所向健保局申請多少費用等。

許明暉表示,美國衛生部在這部分推動了Blue Button的計畫,Blue Button的概念強調健康資料是民眾的,民眾應該要可以透過一個按鈕來下載,輕易的將資料取回,美國也進一步制定了相關的資料標準。而澳洲的做法是,為每個人創造出一個單一帳號(my Gov),民眾可以把跟政府之間發生的所有資料取回,健康資料就是其中的主要項目。不過他說,台灣目前做到的資料更新和取得速度非常即時,美國、澳洲都不見做得比我們好。

鼓勵人才往醫療資安發展,點出智慧醫院的隱憂

不過,許明暉也提到,很多醫院漸漸轉型成智慧醫院,醫生在診間開完藥之後,直接在系統上輸入藥品資訊,護理人員在給藥時,再用掃條碼機去確認藥品,然而,在這樣便利、即時的流程之下,一旦有心人士駭進網路,就有可能直接影響到病人的安全。

因此,許明暉特別點出了這些先進科技發展下的隱憂,當自動化機器更多的時候,智慧醫院能讓民眾享有更高品質的服務,但引進這些設備的同時,絕對不能輕忽資訊安全的重要性。

此外,他也提到行政院副院長張善政稍早前宣布的政策方向,要鼓勵學校開設資安課程,許明暉認為,人才培訓確實很重要,以現在的環境來看,如果對資訊安全有所研究,又了解醫療領域,他相信絕對不會找不到工作。

十年磨一劍,持續推動電子病歷普及化

在電子病歷的推動上,臺灣目前約有495家醫院及 1萬家西醫診所,許明暉說,衛福部要達成的目標是,以後民眾到任何一家醫院診所看診時,只要民眾授權給醫院的醫師,醫師便能跨醫療單位調閱病患的電子病歷,讓民眾不用再親自跑到前一家醫院來辦理申請。不過,初期只包含了醫院及西醫診所,尚未涵蓋中醫和牙醫診所。

要完成這整個電子病歷的架構並非一蹴可幾,許明暉表示,這件事情已經持續推動超過10年以上,從基本的法律位階調適,到系統規畫建置,其中包括憑證問題,衛福部目前已經可以確保在這些資料交換環節上的資料安全性,像是在每一份檢驗報告都必須加上醫生的電子戳章和時戳,目前很多醫院已經在醫事電子憑證HCA的架構下,已經可以開始實施這些醫療資料的交換。

他舉例,臺大醫院在推動電子病歷之後,不只是省下50坪擺放紙本病歷的空間,光是在2013年節省的紙張數量,就可以疊到兩座101的高度,是個非常可觀的數量,當然,不只是省下這些紙張,也同時省下非常多的人力成本,以林口長庚醫院為例,一天約有一萬個病人,光是這些病歷資料從檔案庫到診間,再從診間回到檔案庫的過程,就必須耗費大量人力資源。

雲端藥歷每季可省下13億,民眾可以決定要不要授權讓醫師查閱過去的用藥紀錄

除了電子病歷之外,健保署今年也將持續推動健康存摺和雲端藥歷。雲端藥歷主要是提供給醫師,讓醫師可以查閱病患吃過哪些藥,以節省資源浪費,不過,雲端藥歷的前提是,民眾可以決定是否要授權給醫師,讓醫師查閱過去的資料。

他說,臺灣民眾就診頻率高,根據統計,荷蘭人平均一年看5次醫生,而臺灣的民眾一年平均看15次醫師,透過雲端藥歷,醫師可以追蹤到先前的用藥紀錄,估計一季可省下13億的藥物費用,一年希望能省下30-40億的費用,不過,當這些資料流通性越來越高的同時,就必須要有非常好的防護機制,他說。

 

相關報導請參考:「臺灣資安大會現場直擊」


熱門新聞

Advertisement