智慧醫療
資安是智慧醫療的罩門
電腦勒索病毒一波未平,一波又起。本該是病毒剋星的醫療院所,卻反而接連拜倒在勒索病毒之下。智慧醫療發展的路上,比起活生生的病毒,虛擬的病毒似乎更讓每個醫療人員措手不及。新時代的白色巨塔,必不能缺乏資安這塊敲門磚。
近來頻傳我國醫療機構遭駭客入侵洩露大量個資事件。去年8月台北市衛生局發現二百多萬位市民資料遭竊,駭客IP來自上海。日前報導我國五十多所醫療機構遭駭客大規模攻擊,病歷資料遭駭客加密無法閱讀,駭客表示若不支付洗錢的最佳工具—虚擬貨幣,就要把資料銷毀。事實上我國情形並非首見。2017年勒索病毒WannaCry造成150國家、20萬台以上電腦中毒,英國公醫系統NHS因此遭駭,大量與NHS連線的醫療機構因而無法使用電子病歷,甚至不得不取消手術。駭客除將病歷加密之外,也可更改醫療影像內容,造成醫療決定的錯誤。
為何駭客愛找醫院下手?對醫療機構而言,要完成打擊疾病,照顧病人的團隊任務,常需要病歷資料分享。因此雖然醫療機構對病人有病歷保密義務,但醫療機構的行政管理重心往往放在如何分享,而非資安。許多遭駭的醫院,事後發現資安設施落後,甚至仍使用已不再受更新支援的過時作業系統Windows XP。醫療機構資安投資不足,卻又有龐大的現金流,因此成為駭客眼中的肥羊。
我國正積極推動智慧醫療,許多醫院以smart hospital或intelligent hospital自居,卻少有人注意到資安的重要性。要建構智慧的醫療系統,前提是更大量、完整的資料互享。尤其醫療物聯網的自動化資料交換性質,更易遭駭客鎖定。2018年研究人員發現知名腦波儀Natus NeuroWorks中發現5個漏洞,可讓駭客藉機存取裝置上的病患資訊、進而侵入醫院網路上其他系統,或是發動阻斷攻擊。最近聯邦食藥署(FDA)已下令艾伯特(Abbott)召回46萬5000個有連線功能的心律調整器,以避免病人體內裝置遭駭客蓄意操控。資安問題重在預防,若醫療物聯網產業在發展之初未正視此問題,未來將可能有災難性的事件發生。
歐盟最新一般個資保護規則GDPR,提出兩個重要系統性資安觀念:Privacy by Design (將隱私原則納入設計)及Data Protection Impact Assessment(隱私保護影響評估),且強調機構應讓資安長擁有相當的權能。智慧醫療軟硬體及系統,在設計階段就應該注意個資隱私保護,且應進行系統性的評估。美國衛福部及FDA,對於醫療機構應具備的資安標準、管理流程及醫材資安設計,也有清楚的行政指引。面對智慧醫療時代,我國醫療機構將面臨更迫切、大規模的資安威脅,政府宜及早正視,投入資金,建立醫療行政管理及醫材研發標準,甚至在衛福部設置個資保護專責單位,以實現安全的智慧醫療。
原文9月2日刊登於自由評論網「資安是智慧醫療的罩門」,經作者同意授權轉載。