醫療產業跨域資安人力高峰論壇
民國105年,教育部啟動先進資通安全實務人才培育計畫,旨在深化產學鏈結、建構資安培訓環境、孕育優質資安人才。為實現前述目標,該部積極推動產學媒合,日前與CIO IT經理人雜誌合作舉辦「醫療產業跨域資安人力高峰論壇」,引領學生理解醫療業資安人力需求。
文/明雲青
為何教育部推動「先進資通安全實務人才培育計畫」?總計畫主持人臺科大資管系特聘教授吳宗成認為,答案其實不難理解,根據某人力銀行的分析報告,現在一位學習資安的畢業生,至少有4個工作機會等著他;足見產業界資安需求殷切,但人才供給明顯不足,有偌大缺口急待填補。
[ 2023年企業IT投資重點為何?資安、人才、ESG如何部署?下載 CIO大調查報告 立即揭曉! ]
教育部推動此計畫,迄今邁入第7年,在執行方向上出現些許變化,早年主要從資工、資管系所培養資安人才,滿足電子產業領域所需;惟後續推動過程,發現其餘不論政府、金融機構、醫療院所、智慧製造場域、雲端應用等區塊,皆有迫切資安需求,故不宜僅在資工或資管領域培育人才,需要跨域執行。
學生熱烈提問,探索醫療資安人員輪廓
所謂跨域資安人才,重點在於Domain Knowledge、亦即專業知識;計畫團隊深覺需借助很多專家來指導,方能得知各產業需要何等資安人才,也才可以透過相應計畫來驅動相關題材,引導在校學生修習實用課程。以醫療業而論,現已成全球駭客攻擊的前三大對象,面臨的威脅不輕,亟需建立質量兼具的資安團隊,對資安人才自然需求若渴。
因此計畫團隊攜手CIO IT經理人雜誌,舉辦關於醫療業資安人力的論壇,邀請衛福部資訊處副處長王復中,及花蓮慈濟、臺大醫院、臺北榮總、國泰醫院、馬偕醫院等院所的資安長或資訊長,從醫療產業角度,分享對資安趨勢、資安人力職能的見解。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
在上述專家陸續發表演說後,主辦單位悉心安排座談時間,讓在場學生們能夠提出關於醫療業資安工作的問題。結果發問情況至為踴躍,提出像是「醫療機構有任何對資安人才的培育課程或實習」、「醫療對隱私資料安全有較高需求,與一般資安防護是否不同」、「工作面臨的壓力如何、學生如何適應」、「資安工作的輪調機會高低、工作內容是否一成不變」及「資安專業知識要廣還是精」等詢問。
慎防委外破口,供應鏈資安成關鍵
衛福部資訊處副處長王復中指出,醫療院所一來須因應資安法規、二來受到外在環境影響,導致資安防護面向偏多,包括設施、服務流程、資料、人、健保皆需確保安全合規。
值得一提,醫療院所不僅面對大量稽核挑戰,甚至與其他產業一樣,都面對供應鏈資安、系統委外管理議題。故以112年醫療資安課程規劃來看,包括工控資安、隱私安全、OT與IT供應鏈資安都成為新焦點。
IT、OT、工控三面向,皆需安全把關
花蓮慈濟醫院副院長吳彬安說,在資通安全法框架下,有諸多需要達成的應辦事項,須仰賴資安人才來完成相關防護;其中無論資安設備、操作解析或政府法規的對應,皆得由專業人力來執行,但目前資訊室人員多為IT背景,在資安技術方面未必到位。
醫院同時需要IT、OT、工業控制設備等三類資安人才,院方期望他們具備獨立思考特質,學習技術而不依賴產品,莫要過度倚賴資安系統產出的報告、缺乏自身專業判斷力。
憑藉專業證照,更易開啟職場大門
馬偕紀念醫院資訊室主任鄭聰貴指出,醫院資安工作重點,包括訂定資通安全維護計畫(含資訊,醫療、工務設備),建立資產管理系統並定期進行風險分析,分析資訊安全系統量測指標及問題改善,將資安納入醫院災害防救架構、訂定各單位應變作業程序。
關於資安人才,他認為既然主試者一時之間難以評斷應聘者能力好壞,建議學生努力取得資安專業證照,爭取更多入職機會。
需以技術為導向,而非執著產品導向
國泰綜合醫院資訊部部長曾景平表示,醫療機構受到勒索病毒襲擊日益嚴重,係因醫療產業擁有大量病歷、醫療記錄甚至金融資訊,遂成為駭客覬覦對象。
醫療資安人員的工作,大致包括建立組織資安標準作業文件及內部控制流程、落實系統運作監控,及加強資安教育訓練與宣導。在特質能力上,應對資安有熱忱,具獨立思考能力,且要以技術導向、而非產品導向。
堅持追根究底,不懂的問題學到懂
臺大醫院資訊室協理尚榮基說,現階段的醫療產業資安,具有資料外洩風險高、醫療設備與IoT設備管理困難、服務中斷等特色。在工作內容部份,主要圍繞在防護、監控、分析、排除、復原等環節,其中監控、分析尤其重要。
論及人員特質,總結來說需要有三大能力,一是技術能力;二是溝通能力、彰顯於團隊合作與專案推動情境;三是學習能力,要有解決問題、追根究底的堅持,把不會的問題學到會,以因應層出不窮的威脅。
不畏工作繁重,兼具技術力與溝通力
臺北榮民總醫院資訊室主任郭振宗說,資安趨勢發展包含雲端威脅(病歷上雲及醫院未來採用混合雲)、勒索病毒威脅、漏洞攻擊、供應鏈威脅、IoT威脅及維運設備(OT)威脅。
醫療資安人員肩負資安全管理、資通系統安全管理、資安防護、資安法遵等業務。院方期待資安人員具備團隊精神、責任感、品行端正、身心健康、具服務熱忱、不畏工作繁重,同時擁有專業技術、溝通協調、表達、學習等多重能力。
總括來說,本次論壇營造了學用對焦的難得契機,引導學生認知醫療業資安人才需求,從而調整學習方向、避免學用落差,為未來入職做好準備,連帶幫助醫療院所消弭資安人力缺口。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
