隨著越來越多聯網設備運用,資安挑戰不只有IT,還涉及到OT。一方面是技術領域不同,二方面OT設備如醫療儀器過往是醫工負責,當醫療儀器出現問題時,到底是出在儀器本身還是網路不通,往往連責任歸屬都會有所爭議。在資安防護上,OT與IT磨合也一樣重要。
以病人為中心、從使用者需求出發,近幾年國泰綜合醫院積極推動數位轉型,從醫療品質、教研創新、流程效率及營運效能等面向,展開智慧照護、AI人工智慧、遠距醫療、智慧服務管理及雲端運算等五大應用領域發展,打造行動化、數位化的智慧醫院。
在醫院跨團隊合作的運作下,目前國泰綜合醫院已有多項卓越亮眼的智慧醫療服務落地應用,例如運用大數據技術開發「急診敗血症AI智能系統」,結合人工智慧以及SOFA Score自動評估,降低敗血症死亡率與病人平均住院時數;打造FHIR格式的雲端電子病歷平台,促進院際、機構間醫療資訊交換的效率;也導入護理站電子白板、智慧床邊系統及電子床頭卡,提升住院病人照護品質。
然而,要建構兼具敏捷與韌性的醫療照護,除了新興科技運用外,還得有資安防護的量能,畢竟醫療院所收集的病歷、醫療與健康檢查資料均屬於特種個資,在龐大利益誘使下,駭客也將醫療產業列為主要攻擊目標。根據歐盟網路安全局 (ENISA)近期調查,勒索軟體已成為醫療產業的主要威脅之一,佔總體網路安全事件的5成以上。但是只有27%的醫療院所擁有專門的勒索軟體防禦計畫。
另外,調查報告中也提到,基於醫療保健系統和醫療設備漏洞帶來的風險,未來類似的攻擊將會日趨嚴重。儘管目前只有7%的醫療保健組織系統中斷或損失是源自於對供應鏈和服務供應商的攻擊,但是在ENISA的另一項研究卻顯示,與軟體或硬體漏洞相關的安全事件數量最多,80%的受訪者將漏洞視為其61%以上安全事件的原因。
多部署方案展現資安防護決心
為了做好資安防護,國泰綜合醫院在兩年內投入7,724萬元經費,足以顯見其決心。除了在內網導入高階防火牆用以落實LAN網段區隔外,也能阻擋惡意DNS、過濾IP,而在端點方面也部署端點安全軟體,即時排程掃描,並針對全院PC/伺服器進行威脅監測與記錄。另外,在上網策略管控方面,藉由導入資料外洩防護(DLP)方案,針對網頁類別過濾,並強化SSL網頁加解密以及惡意網站阻擋。
此外,面對由外而來的未知攻擊,也設置次世代防火牆來強化,防禦層級涵蓋L7應用層,透過檢查封包內容來達到更進階的安全防護機制。在資安事件管理方面,也有SIEM方案負責執行日誌資料的蒐集、事件關聯性與交叉分析,以提高設備資產的可視性,管理分享情資。
國泰綜合醫院資訊部主任曾景平解釋,以往的資安防護機制都只針對阻擋外部威脅,一旦進入到內網信任區,基本上就會視為安全而不會有所防範。但是國泰綜合醫院在這兩年強化了水平防火牆設計,花了一部分經費對內網進行網段區隔,萬一某區有設備中毒,就不會影響到其他區域。
另外,也請外部的顧問公司來定期做弱點掃描、導入網站應用程式防火牆(WAF),透過比對病毒與惡意程式等網路攻擊,來拒絕可疑、惡意流量進入網站,保護網站應用程式。另一較大的投資是在SIEM以及營運中心上,他提到,網路上的資訊其實隱藏很多訊息,假設有勒索病毒入侵到系統,依照現在的病毒特徵,通常會潛伏一段時間並不會馬上發作,但透過SIEM收集內部網路的日誌資料,就能送到營運中心加以分析有沒有不正常的行為,例如短時間內有某帳號密碼在大量嘗試進入不同的IP,很明顯就是異常行為。
資安防禦人人有責 防堵措施強化管控
在法令規範的推動下,強化醫療資安已是資安責任等級A級醫療院所的現在進行式,但國泰綜合醫院的目的不只是合規,而是真正希望打造出能保護病人安全的資安防禦機制,提供讓病患放心的高品質醫療服務,因此除了積極導入相關安全解決方案外,院內也設計了一些防護措施,舉例而言,在寄出的信件中,若是有超過五筆機敏資料特徵,如身分證、病例號碼、出生年月日、電話號碼等等,只要符合其中三項特徵,系統就會主動以信件通知該名人員主管,同時也會通知寄信者是否確認要寄出。
若是信件內部有壓縮檔附件,電子郵件系統也有資料外洩防護機制。另外,院內基本無法使用隨身碟,就算有申請使用,如果要複製大量資料時,也會偵測該裝置,並且將欲複製的資料也保留一份副本在系統裡面,萬一發生資料外洩事件,也有足跡可以追查。針對資料交換需求,也有設置內部的資料交換區,且只能保留7天,之後就會全部刪除。
他提到,隨著資安防範措施越來越嚴謹,現場醫護人員過去的使用習慣被迫改變,推動初期難免都會不習慣,但是反彈的聲浪其實比最初預想的要小很多,一方面主要是依循衛福部公佈的資通安全責任等級分級辦法裡面提到的施行細則,二方面則是有高階長官的大力支持,從政策面推動。「其實同仁真正的挑戰是在於,當流程因為資安防範措施而被迫改變,甚至因此而衍生出新問題時,就要想辦法加以克服。」
工作執掌重新分野 人員歸屬釐清責任
根據法令規範,資通安全責任等級A級之特定非公務機關,須仿照公務機關設置資通安全管理代表兼任資安長一職。於初次受核定或等級變更後之一年內,應配置4名資通安全專責人員,並且每年兩次內部資通安全稽核以及一次業務持續運作演練。另外,每年也要辦理兩次核心資通系統弱點掃描以及一次滲透測試與資通安全健診。
曾景平坦承,實務上,資安人力確實是挑戰。一方面,醫療院所的資源有限,在人力招募上確實不如金融業來得有吸引力,二方面則是組織配置問題,過去資訊安全多半會由網路組負責,現在因應衛福部要求,要有四位專責職資安人員,對於醫療院所而言,就需撥出人力來兼任這樣的工作內容,可是這對資安治理來說並不是件好事,有球員兼裁判之嫌。因此,去年在行政副院長暨資安長林朝祥的要求下,國泰綜合醫院設置專職人員,而且把人數提高到6名,以確保無論何時至少都會有4名人力的部署。而且工作執掌也重新區分訂定,以便釐清責任歸屬,例如弱點掃描到底是要由網路組還是資安同仁來執行等,相關的責任都需重新調整。
他強調,隨著越來越多聯網設備運用,資安挑戰不只有IT,還涉及到OT。一方面是技術領域不同,二方面OT設備如醫療儀器過往是醫工負責,當醫療儀器出現問題時,到底是出在儀器本身還是網路不通,往往連責任歸屬都會有所爭議。因此在資安防護上,OT與IT磨合也一樣重要。「高階主管支持與否,是資安防護上非常重要的關鍵,不只是技術問題,還有組織磨合以及預算的爭取,如果沒有高階主管的介入,難度就會增加很多。」