资安新法正式上路4个月，医院如何落实医疗资安？

今年元旦资安法正式上路，面对更严谨的资安规范，医院也采取不同作法来因应。台大医院资讯室协理尚荣基表示，面对医疗资安威胁，资讯室能做的、能挡的都已处理了，“真正的问题，是那些看不到的、未知的威胁。”他坦言，这也是为什么每次被问及医院资安落实的程度时，他的回答总是“不知道。”

他举例，就好比防毒软件每天侦测出的问题，究竟是越多越好，还是越少越安全？“这其实没有标准答案。”他指出，重点是那些没被揪出的问题，所以难以衡量安全程度。对他来说，最困难的挑战莫过于“先知先觉”。

尚荣基指出，现有的资安防护，大都在于系统界面，比如Email或防火墙。而要实际从各个系统和设备中寻找资安问题，挑战性非常高，他比喻，这种难度就好比在玩“寻找威利”这个游戏一样，在各个身穿花衬衫、人满为患的沙滩上，寻找同样穿着花衬衫的“威利”。

即便困难重重，他还是提出了医院资安防护的因应方法。第一是必须执行ISO27001的PDCA流程，包括了计划、执行、检查、评估等4个步骤，而他特别强调，其中的“检查尤为重要，必须详细定义出受检项目，”才能确保资安落实的程度。

再来则是执行资安防护的流程，包括了防护、监控、分析、排除、复原等5个步骤。尚荣基表示，监控和分析为最重要但也最困难的2个环节，因为要抓出潜在的资安威胁，就得靠监控与分析。

为何这两个环节格外困难？第一，“资料太多，但资讯太少。”他解释，要做到监控，必须靠大量记录（Log）来分析，而全院高达数百台服务器、数千台电脑，产生庞大的资料量，要从中找出有用的资讯来监控，就是一个问题。

第2个困难，则是“缺乏整合。”他指出，资讯部门建置、安装到医院的每个系统，都视为一个独立的单位，但“最后都是靠人来整合，”比如在A系统发现问题，必须进入B系统来查询，“这部分厂商很难整合。”

第3个困难则是“Top Event V.S. Rare Event。”尚荣基表示，在医院所有设备中，防毒系统报告显示的往往是发生次数最多、流量最高的事件，也就是常见事件（Top event）。“但实务经验告诉我，真正有问题的往往不是常见事件，而是Rare event，也就是罕见事件。”他指出，到目前为止，还未见到任何能够汇报罕见事件的设备。

举例来说，异常连线（Unusual connection）、多重连线（Multi-connection）和异常来源（Unusual source）属于罕见事件，比如一台POS机在某个时间点连线到管理员个人电脑，“这件事没道理，但有没有设备可以侦测到这个资讯、告诉管理员？”或是一个高权限使用者，比如系统管理员，在半夜3点从美国连线至电脑系统。“这种讯息，才是资安管理要来检查的。”

他表示，虽然目前还难以定义“异常”，但他希望借助机器学习技术，从历史活动中学习异常的罕见事件，可望能自动抓出罕见事件，而不需要靠人力一一检测。

医疗资安范围不再只是IT，还包括OT

中国医药大学附设医院资讯室主任杨荣林也提到，每当医院长官问及资安落实程度时，他也不敢拍胸脯回答100％没问题。

他进一步解释，单就中国附医台中总部来说，就有多栋大楼，比如儿童医疗大楼、第一医疗大楼，光是服务器就有上百台，再加上各式设备更达上万台，光是管理这些设备，就耗费许多力气；而在网络架构方面，则包括了院区网络、无线网络、联外网络、终端网络和体系VPN，要如何把关这些网络的资安，就是个挑战。而最基本的处理，杨荣林指出，不外乎是防火防骇、Email防护、网络流量监测和活动监控，以及网络签入管理等。

不过，医院该注重的资安范围不只是IT，还包括操作型技术（Operation Technology，OT）的安全，也就是医疗仪器。杨荣林提到，近年来各家医院纷纷发展智慧医疗4.0，利用大数据、AI、云端和IoT技术来分析医疗资料、开发新服务，中国附医也不例外，甚至发展远距照护和个人化基因分析。

但为了推动智慧医疗、加速医疗资料的传输与分析，医院势必采用可连线的医疗仪器，但这也成为资安隐忧。杨荣林更强调，这2年来，医疗资安防护不只要把个人电脑和服务器管理好，还要注重医疗仪器的资安检测，比如护理工作车、电脑断层扫描设备、医疗检测仪器等。

他指出，卫福部自去年开始推动医疗OT资安检测，将医疗仪器依风险程度分为17类，而中国附医也已根据这些类别，完成了医院OT盘点与风险评鉴，包括麻醉机、呼吸机、心电图仪器、数位X光摄影、核子医学设备、透析机等。

杨荣林以过来人经验建议，虽然一些医疗仪器的厂商认为，具中央站架构的OT不需安装防毒软件，但他指出，具连线功能的OT中毒风险高，还是得安装防毒软件，并定期监测活动状况，才能确保医疗资讯安全。“这对我们医院来说，是当务之急。”

落实医疗资安，北市联医从组织改造开始

资通安全管理法自今年元旦上路，对医院来说，资安把关不再是整体资讯（IT）范围，而是扩大为整体资通范围，除了原有的资讯机房、骨干网络和医疗资讯系统的管理外，还涵盖了事务机、医疗仪器、工程电脑等OT设备，也就是说，资通法监管的是“整个医疗机构”。

为因应资安新法，台北市立联合医院先从组织下手。去年11月，北市联医成立了资通安全管理委员会和资通安全咨询委员会，其下更设置了资安长职位，由原资讯室副资讯长许世欣担任台北市立联合医院资安长，掌管全院资安事宜。

许世欣提到，北市联医资安长之下设置了3大单位，包括负责订定资安计划的资通安全管理中心、负责执行资安计划的执行单位，以及机动小组（如情资因应小组、紧急应变小组和稽核小组）。

而执行单位除了把关IT安全，也掌管了医院各种OT检验。许世欣指出，北市联医将OT定义为“所有连接到网络的设备，”除了医工OT、工务OT，北市联医也将人资、总务和秘书列入OT检查单位，“因为这3个单位管理了监视器、影印机和卡钟。”另外，由于执行单位负责检核IT系统和OT设备，也因此需要把关这些设备的使用单位、保管单位，甚至是供应商；许世欣指出，北市联医更打算朝第三方资安认证发展，更严格地控管供应设备。

而资通安全管理中心，负责了资安预防作业和管理作业，比如办理资通系统防护分级、资通事件通报及应变管理，以及拟订资安政策与目标、办理内部稽核等。要是发生资安事件，该中心也将向卫生局和资讯局报告。

另一方面，北市联医也订立了资通安全维护计划书，以“全机关”为中心，作为今年执行重点。

该计划书分为3个层面，包括了管理面、技术面、认知与训练层面。在管理层面，除了分级资通系统和设立防护基准，还有一个重要工作，也就是将资讯安全管理系统导入全数的核心资通系统，而且要在3年内完成第三方验证。另一方面，北市联医也要聘请4名资通安全专职人员，来执行资安管理。

在技术层面，则包括了资通安全健诊（如网络架构检视、网络恶意活动检视）、资安防护（如安装及更新防毒软件、网络防火墙、APT攻击防御等），以及完成政府组态基准导入作业。

至于认知与训练层面，北市联医聚焦于资安教育训练、颁发资安专业证照和职能训练证书。许世欣指出，资安教育训练对象为资安专员和一般使用者，分别要接受12小时的专业课程，以及3小时的一般资安教育训练课程。而资安专业证照和职能训练证书，则是北市联医资安专员必须持有的，以维持专业程度。北市联医计划透过这些做法，来全面强化医疗资安管理。文◎王若朴