iThome
隨著醫療機構持續成為勒索攻擊與個資外洩的高風險目標,醫院不只得補強技術防護,也得提前因應更嚴格的法規與治理要求。
在5月7日的臺灣資安大會中,中山醫學大學附設醫院醫療資訊中心副主任黃冠凱指出,衛福部推動的健康臺灣深耕計畫近期將進入期中審查,其中第3範疇聚焦資安治理、資料治理與AI治理,將成為衛福部資訊處的重要核查項目。他也建議,醫院整體資安經費至少應占總預算3%以上,才能建立基本防護能力。
除了預算與治理,他也從法規遵循、AI威脅偵測,到IoT設備分段管理等面向,提出醫院資安強化方向。他同時提醒,《個人資料保護法》修正草案已明定,未來只要發生特種個資外洩且筆數超過100筆,不只須在72小時內通報主管機關,也必須在相同時限內逐一通知當事人。
為何醫療業成為駭客首要攻擊目標?
黃冠凱指出,醫療產業近年已成為全球駭客攻擊的重要目標。根據國外調查,一筆病歷資料在黑市價格可高達1,000美元,約是信用卡資料的200倍,原因在於病歷同時涵蓋身分資訊、保險資料、基因資訊與就醫紀錄,對攻擊者而言更具長期利用價值。
除了資料價值高,醫院本身也具備「不能停機」的特性。從急診、加護病房到檢驗系統,幾乎所有核心服務都需24小時持續運作,讓勒索攻擊更容易施壓院方在有限時間內做出回應,也讓系統修補與停機維護的時間視窗極為有限。
另一方面,醫院內部往往同時運行醫療資訊系統(HIS)、護理資訊系統(NIS)、IoT醫療設備,以及大量生命周期較長、難以更新的老舊設備,再加上複雜的供應鏈與外部連線需求,都可能形成資安破口。
黃冠凱也點出,約95%的資安事件與人為因素有關,包括帳號密碼管理不當、誤點釣魚郵件等,這些因素都使醫療業成為駭客優先鎖定的目標。
在實際威脅方面,他舉例,醫療機構近年曾遭商用電子簽章系統入侵,導致大量簽署文件遭刪除,也曾面臨境外駭客長期刺探。先前甚至出現名為RealBlindingEDR的開源工具,可讓Windows上的防毒(AV)與端點偵測回應(EDR)系統「失明」,無法正常監控或阻擋攻擊。
AI工具快速導入,也帶來新的治理風險。例如在HITCON ZeroDay漏洞通報平臺上,曾揭露某大學Whisper語音辨識API因未實施存取控制,導致任何人都能免費呼叫;另一所大學LiteLLM AI Gateway也曾因未啟用認證機制,讓外部可無限制呼叫Llama模型。這些案例顯示,醫療機構在加速導入AI的同時,資安治理也必須同步跟上。
盤點臺灣醫療資安現況,個資外洩100筆以上須通知當事人
黃冠凱盤點,目前,臺灣醫療資安主要受到4大制度框架規範。首先是2019年上路的《資通安全管理法》,將醫院納入關鍵基礎設施(CI)管理,目前已有60家醫院被指定為CI醫院,須由副首長層級兼任資安長。
其次,自2019年起,醫院評鑑也將ISO 27001納入重要指標,衛福部也要求醫院加入醫療資安聯防平臺與H-ISAC情資分享中心,並將資安防護納入病人安全評核。
更受矚目的,則是《個人資料保護法》修正草案。黃冠凱指出,除了擬新增個資保護長制度、提高罰則與強化病患資料保護責任外,草案也要求,只要公務或非公務機關發生特種個資外洩,且筆數超過100筆,就必須在72小時內完成通報與逐一通知。
如何計算資安投報率?醫院資安預算應占3%至15%
要落實資安,預算始終是醫院最大的挑戰之一。
黃冠凱建議,醫院可從《個資法》與ISO27001、ISMS等治理框架出發,整體資安經費應占總預算3%至15%。其中,地區醫院建議投入3%至5%;區域醫院5%至10%;醫學中心則應達10%至15%,才能建立完整資安防護體系。
他強調,資安支出應被視為「保險」,而不是成本。他引用Ponemon Institute 提出的資安投資報酬率(ROI)模型指出,每投入1美元資安預算,平均可避免約4至6美元的潛在損失。
他也指出,事前防護可降低約九成事件發生率,而具備異地備援機制的醫院,平均系統恢復速度也可比未建置備援的機構快上5倍。
健康臺灣深耕計畫期中稽核,將聚焦資安與AI治理
從政策面來看,黃冠凱指出,衛福部近年推動的健康臺灣深耕計畫,其中第3範疇聚焦資安治理、資料治理與AI治理,將成為今年期中審查的重要核查項目。
除了傳統資訊安全外,醫院也必須證明AI導入符合治理要求,包括模型透明性、資料來源揭露、風險管理,以及持續監測與績效評估等機制。
在AI治理方面,計畫也要求醫院依行政院AI治理七大原則,包括自主、透明、當責、安全、公平、永續與隱私等面向進行管理,並設置AI治理委員會。
從EDR走向XDR,AI威脅偵測與IoT網路分段成關鍵
在技術部署方面,黃冠凱建議,醫院應從傳統防毒逐步升級至EDR,並進一步整合為XDR,讓端點、網路、雲端、身分與應用層的安全事件可統一監控與分析。
在AI威脅偵測上,醫院也可透過機器學習建立使用者行為基準線,自動辨識勒索軟體的大量加密行為,甚至利用圖神經網路分析橫向移動攻擊鏈。
IoT設備同樣是高風險區域。他引用香港醫院案例指出,透過網路分段設計,可將IoT攻擊限制在單一網段,避免整體院區網路癱瘓。他建議,醫院至少應將網路劃分為關鍵醫療區、病房區、行政區與訪客區,並以零信任原則管理每一臺設備。
資安成熟度從被動防護走向AI預測,臺灣多數醫院仍落在第二至第三級
黃冠凱也進一步分享一套醫療資安成熟度模型,將醫院資安能力分為5個等級:
- 第一級(初始):以傳統防毒、防火牆等基礎防護為主,缺乏制度化流程。
- 第二級(管理):開始建立資安政策、帳號權限控管、弱點掃描與定期稽核機制。
- 第三級(整合):導入EDR、SIEM等工具,開始整合端點、網路與身分等多源安全資料。
- 第四級(預測):結合威脅情資、自動化回應與AI異常偵測,可在攻擊擴散前主動阻斷風險。
- 第五級(自適應):全面落實Zero Trust Architecture與動態風險評估,具備持續自我調整能力。
他指出,目前多數臺灣醫院的資安成熟度約落在第二至第三級,處於「管理」到「整合」階段,目標應該要在3年內提升至第四級,也就是能整合威脅情資、導入AI威脅偵測,並逐步完成零信任架構部署,走向可預測、可自動化回應的治理模式。
H-ISAC共享模式:中小醫院不必單打獨鬥
針對資源有限的中小型醫院,黃冠凱建議,可透過加入H-ISAC、委外SOC監控,或多院聯合委外稽核等模式,共享資安情資與監控資源。
他最後強調:「資安不是技術問題,而是管理問題。」真正能建立醫療資安韌性的關鍵,仍在於高層支持、跨部門協作、穩定預算、人才培育與持續改善,而非單靠採購工具。
