資安署攜衛福部四策略強化醫界防護 資安將納醫院評鑑

文／鄭宜芬

近年全球關鍵基礎設施頻傳駭客攻擊，尤其醫療領域成為重點目標。為提升我國醫療體系的資安防護韌性，數位發展部資通安全署與衛生福利部於 15 日召開「醫療領域關鍵基礎設施資安強化整合」記者會，宣布將透過「擬真演練」、「人才培育」、「機關輔導」及「稽核強化」四大措施，未來擬將資安納入醫院評鑑。

資安署署長蔡福隆指出，駭客可能利用醫院系統漏洞，從後門植入勒索病毒，癱瘓醫院電腦和伺服器，影響醫院服務，甚至有個資外洩的疑慮。為強化醫療領域的資通安全，資安署就四大措施推出具體強化作為。

[ 加入 CIO Taiwan 官方 LINE與 Facebook，與全球 CIO 同步獲取精華見解 ]

• 擬真演練

預計於今年底舉辦跨國攻防演練，規劃邀請 8 隊以上國內外頂尖高手，並由我國 11 間重點醫院構成 4 隊防護聯隊，共同在高度擬真場景中，以真實攻擊手法進行攻防演練，藉此提升醫療院所資安實戰及應變能力。

• 人才培育

資安署將協助加強人員學習以駭客思維，提前規劃資安布署防禦策略，並規劃未來每年投入更多專業人才，受訓人員每年成長兩成，成為保護醫療體系的堅實後盾。

• 機關輔導

資安服務團將扮演資安導師的角色，走進醫院並輔導強化資安管理與治理能力。資安治理成熟度從零級的未執行流程，目標達到第 5 級的最佳化流程，或至少要能達到第 3 級的具標準化流程，比率由現在的 28％ 增加至 50％。

• 稽核強化

今年資安稽核將從去年的 6 家擴大到 12 家醫院，同時將引進 AI 智慧稽核與外部曝險檢測，為醫院進行深度資安體檢，找出潛在弱點並及早修復，讓駭客無從下手。

[ 推薦閱讀：【專訪】衛福部資訊處長李建璋 ]

資安將納入醫院評鑑

衛福部資訊處處長李建璋強調，醫院遭駭的影響不僅有金錢損失，面對勒索軟體快速產業化與國家化的趨勢，如何在醫療法、資安法及個資法規範下，更有效協助醫院強化資安治理能力，已是當務之急。

今年我國醫學中心陸續遭遇駭客攻擊，衛福部推動多項補強措施，包括發布第一份國家級指南、擴大人員訓練、全面推動導入 EDR、完成全國資安總體檢、擴大紅藍演練至 11 家主要醫院，推動全臺醫院加入衛福部情資分享網絡。年底將於全臺成立四個醫院資安韌性中心，引進並測試最新資安技術，並建立全國醫療資安資料庫，透過 AI 偵測可疑行為，並將資安標準納入醫院評鑑。

對於防護能力相對不足的中小型醫院，李建璋表示，將建立區域型資安聯防系統，協助升級 H-SOC 確認資安警訊並即時介入提供指導，確保各層級醫療機構都能獲得適當的資安防護支援。

[ 推薦閱讀：工研院 MedBobi 2.0 上線 AI 助降五成醫護離職率 ]

資安署強調，除了醫療領域的資安防護精進措施外，對於我國各領域關鍵基礎設施亦將透過威脅蒐集、深度檢測及強化聯防來加強資安防護及緊急應變能力，以守護關鍵基礎設施的安全，讓「資安」不只是口號，而是確保數位生活安全的重要基石，真正落實「信賴資安，守護臺灣」的承諾。

2025 年醫院遭受駭客攻擊事件

2 月 9 日
馬偕醫院遭受 CrazyHunter 以勒索軟體攻擊，導致院內系統癱瘓、資料遭竊取，是首起醫學中心遭駭客大規模攻擊。

3 月 1 日
彰化基督教醫院同樣受到 CrazyHunter 攻擊，服務短暫中斷。

4 月 13 日
長慎醫院，受到 NightSpire 攻擊，系統被加密、功能停擺、資料遭竊取。

5 月 26 日
輔仁大學附設醫院，員工內部濫權遠端存取，疑涉個資外洩。駭客身分疑為院內一名治療師。

(本文授權非營利轉載，請註明出處：CIO Taiwan)