隨著物聯網和雲端服務的快速發展,使得許多非資訊相關的產業對於資訊系統和網路的依賴度也愈來愈高,其中又以和人們生活最息息相關的醫療與健康資訊的行業,像是醫院、健檢中心及醫療器材製造廠商等,更應及早重視與人身安全也有關係的資安風險。
從國外的案例來看,依據先前資安業者所發佈的報告指出,在2016年針對醫院的網路攻擊事件,已經大幅增加了63%,所造成資料外洩的筆數仍高達千萬以上,同時,醫療裝置受到惡意程式所綁架的情況也很嚴重,現今只要是能夠連上網路的裝置,包括診斷使用的斷層掃描、核磁共振儀器,以及糖尿病患者使用的胰島素輸液幫浦等,都可能存在被入侵的風險。
而國內,從最近備受矚目的「WannaCry勒索病毒」事件來看,台灣也有醫院的醫療推車發生了中毒的情況,雖然不至於影響到醫院所提供重要的住院和急診服務,但是也顯示了資訊安全已經是逐漸走向高度資訊化的醫療產業所不可忽視的重要課題。
醫療產業的資安標準
只要提到資訊安全管理的標準,ISO/IEC 27001相關系列的標準和參考指引,目前仍是業界的標竿,它不限於產業的類別和規模的大小,都能適用於包括政府單位或民間企業的各種組織。不過,除了參考ISO/IEC 27001來建立資訊安全管理制度之外,特別針對醫療產業的資安控制措施,ISO國際標準組織其實還提供了另一個標準──ISO 27799:2016,可作為醫療產業保護其個人健康資訊(Personal Health Information)的機密性、完整性以及可用性的實務參考指南。
ISO 27799是基於ISO/IEC 27002的控制措施,內容特別延伸至醫療產業營運環境所需要的資安管理做法,可滿足醫療資訊系統(Health Informatics System,HIS)針對醫療資訊方面的資安要求,並且因應像是自然災害、系統故障及網路阻斷服務攻擊等議題,以確保醫療資訊系統能夠安全與持續地運作。
ISO 27799也不限於醫療產業組織的規模大小、地區和其所提供的服務,都可以應用標準中針對醫療資訊的資安控制措施,提升組織的資安風險管理能力。
換句話說,在ISO 27799中的資安控制措施就是特別為醫療產業所設計的,它能夠協助組織針對醫療資訊的風險實施系統化的風險評鑑,避免因為資安的問題而造成醫療過程中的疏失,導致醫療服務無法持續性地提供,同時更可以參考標準,採取稽核的方式來確認組織已滿足醫療產業的國際共通資安要求。
鑑別所需保護的醫療資訊
對醫療產業相關的組織而言,想要落實資安的第一步,就是要先了解組織中到底有哪些需要保護的資訊,從實務方面來看,至少有以下類型的資訊是和機密性、完整性及可用性要求有關的,包括:
1.個人健康資訊。
2. 透過某些方法從個人健康資訊中提取的擬匿名化(Pseudonymized)資料。
3. 統計或研究資料,包括從個人健康資訊中提取的,已移除個人可識別資訊的匿名化(Anonymized)資料。
4. 與臨床或醫療知識相關的非特定護理科目,包括支援臨床決策所應用的資訊,例如對藥物不良反應的資料等。
5. 醫療專業人員、醫局成員和志工人員的資料。
6.與公共衛生監督相關的資訊。
7. 醫療資訊系統中的資料,包括相關醫療資訊的電子檔案、稽核軌跡資料等。
8. 醫療資訊系統的安全資料,包括存取控制和系統組態資料等。
醫療資訊存在的威脅與弱點
基本上,醫療資訊和一般的資訊相同,同樣存在著廣泛的威脅與弱點。由於醫療資訊所處的環境大多是處於開放式,而且為了能夠更有效地提供病患的診斷或醫療服務,還會蒐集更多更精確有關病患的大量個人資料,更增加醫療資訊本身的價值與風險。以下就是常見可能會危害醫療資訊的威脅:
‧ 冒充內部人員:惡意人士可能冒充醫療專家或支援人員,也就可能獲得資訊系統的帳號,或是在檢查或醫療的過程中,直接接手使用已顯示病患相關資訊的設備或電腦,導致病患的醫療資訊外洩。
‧ 冒充服務廠商:惡意人士可能冒充廠商的維護人員、系統工程師、硬體維修人員等,可以利用特權的帳號來存取系統上的資料。
‧ 未授權使用醫療資訊系統:惡意人士可能進入沒有人看管的護理站,使用未鎖定的電腦來瀏覽螢幕上的病患資訊。另外,內部人員也可能有未授權存取非其負責的病患資料,或是不小心修改病患資訊的風險。
‧ 惡意軟體的肆虐:醫療資訊系統可能因為防毒機制不夠完善,或是作業系統存在未修補的弱點,導致電腦病毒影響系統的運作,或是更進一步讓駭客可入侵控制系統或竊取資料。
‧ 濫用系統的資源:這一類的威脅是指人員不當地使用醫療資訊系統相關的電腦和網路,從事非醫療有關的個人行為,例如使用這些設備下載安裝非工作使用的軟體、觀賞線上高流量的影片等,進而影響系統的運作和網路頻寬。
‧ 通訊的攔截與滲透:如果醫療資訊系統或連網的醫療裝置,沒有採取加密的機制進行資料傳輸,可能就會被惡意人士透過竊聽封包的方式,取得通訊過程中所傳輸的個人醫療資訊。此外,如果駭客可以操控通訊的機制,也有可能利用網路來發起阻斷服務攻擊。
‧ 環境支援設施的失效:醫療資訊系統的運作,同樣依靠基礎設施服務的提供,例如電力、水力和網路等,一旦遇到自然災害或是人為因素的破壞中斷,連帶就會造成醫療資訊系統的失效,可能導致資安和人身事故的發生。
強化醫療資安已迫不及待
由ISO 27799所提供的資安管控機制和ISO/IEC 27002相同,同樣包括了十四項控制領域,包括了資訊安全政策、資訊安全之組織、人力資源安全、資產管理、存取控制、密碼學、實體與環境安全、運作安全、通訊安全、系統獲取開發及維護、供應者關係、資訊安全事故管理、營運持續管理之資訊安全層面、遵循性等,後續文章將再說明各項控制領域中,特別針對醫療資安所需的控制措施。
目前,醫療產業除了可參考ISO 27799來強化醫療資訊安全的管理之外,針對醫療裝置的網路安全,美國食品與藥物管理局(FDA),也於2016年底發佈了「醫療裝置網路安全管理指南」。
該指南特別針對已上市的醫療裝置提供一項風險評鑑的架構,並且期許醫療器材製造商針對資安方面應具備監控與偵測醫療裝置上安全漏洞的機制,也要能夠評估可能帶給病患的風險,進而與相關資安人員建立合作關係,及早部署因應措施像是軟體更新方式、修補漏洞以降低醫療資安的風險。對於醫療相關行業來說,強化資訊安全已是迫不及待的重要工作。
<本文作者:花俊傑,現為bsi英國標準協會客戶經理,擁有BS 10012和ISO/IEC 27001、27017、27018、29100等主導稽核員資格,自詡為資安傳教士,樂於分享資安心得。>