文/鄭宜芬
近年全球關鍵基礎設施頻傳駭客攻擊,尤其醫療領域成為重點目標。為提升我國醫療體系的資安防護韌性,數位發展部資通安全署與衛生福利部於 15 日召開「醫療領域關鍵基礎設施資安強化整合」記者會,宣布將透過「擬真演練」、「人才培育」、「機關輔導」及「稽核強化」四大措施,未來擬將資安納入醫院評鑑。
資安署署長蔡福隆指出,駭客可能利用醫院系統漏洞,從後門植入勒索病毒,癱瘓醫院電腦和伺服器,影響醫院服務,甚至有個資外洩的疑慮。為強化醫療領域的資通安全,資安署就四大措施推出具體強化作為。
[ 加入 CIO Taiwan 官方 LINE與 Facebook,與全球 CIO 同步獲取精華見解 ]
- 擬真演練
預計於今年底舉辦跨國攻防演練,規劃邀請 8 隊以上國內外頂尖高手,並由我國 11 間重點醫院構成 4 隊防護聯隊,共同在高度擬真場景中,以真實攻擊手法進行攻防演練,藉此提升醫療院所資安實戰及應變能力。
- 人才培育
資安署將協助加強人員學習以駭客思維,提前規劃資安布署防禦策略,並規劃未來每年投入更多專業人才,受訓人員每年成長兩成,成為保護醫療體系的堅實後盾。
- 機關輔導
資安服務團將扮演資安導師的角色,走進醫院並輔導強化資安管理與治理能力。資安治理成熟度從零級的未執行流程,目標達到第 5 級的最佳化流程,或至少要能達到第 3 級的具標準化流程,比率由現在的 28% 增加至 50%。
- 稽核強化
今年資安稽核將從去年的 6 家擴大到 12 家醫院,同時將引進 AI 智慧稽核與外部曝險檢測,為醫院進行深度資安體檢,找出潛在弱點並及早修復,讓駭客無從下手。
[ 推薦閱讀:【專訪】衛福部資訊處長李建璋 ]
資安將納入醫院評鑑
衛福部資訊處處長李建璋強調,醫院遭駭的影響不僅有金錢損失,面對勒索軟體快速產業化與國家化的趨勢,如何在醫療法、資安法及個資法規範下,更有效協助醫院強化資安治理能力,已是當務之急。
今年我國醫學中心陸續遭遇駭客攻擊,衛福部推動多項補強措施,包括發布第一份國家級指南、擴大人員訓練、全面推動導入 EDR、完成全國資安總體檢、擴大紅藍演練至 11 家主要醫院,推動全臺醫院加入衛福部情資分享網絡。年底將於全臺成立四個醫院資安韌性中心,引進並測試最新資安技術,並建立全國醫療資安資料庫,透過 AI 偵測可疑行為,並將資安標準納入醫院評鑑。
對於防護能力相對不足的中小型醫院,李建璋表示,將建立區域型資安聯防系統,協助升級 H-SOC 確認資安警訊並即時介入提供指導,確保各層級醫療機構都能獲得適當的資安防護支援。
[ 推薦閱讀:工研院 MedBobi 2.0 上線 AI 助降五成醫護離職率 ]
資安署強調,除了醫療領域的資安防護精進措施外,對於我國各領域關鍵基礎設施亦將透過威脅蒐集、深度檢測及強化聯防來加強資安防護及緊急應變能力,以守護關鍵基礎設施的安全,讓「資安」不只是口號,而是確保數位生活安全的重要基石,真正落實「信賴資安,守護臺灣」的承諾。
2025 年醫院遭受駭客攻擊事件
2 月 9 日
馬偕醫院遭受 CrazyHunter 以勒索軟體攻擊,導致院內系統癱瘓、資料遭竊取,是首起醫學中心遭駭客大規模攻擊。
3 月 1 日
彰化基督教醫院同樣受到 CrazyHunter 攻擊,服務短暫中斷。
4 月 13 日
長慎醫院,受到 NightSpire 攻擊,系統被加密、功能停擺、資料遭竊取。
5 月 26 日
輔仁大學附設醫院,員工內部濫權遠端存取,疑涉個資外洩。駭客身分疑為院內一名治療師。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
