智慧應用 影音

資安意識不提升 智慧醫療風險大

2018/09/11 - 洪千惠

資安問題一直是企業建置網路時的必要設計,不過在此同時,網路攻擊、病毒侵襲的事件也從未停止,為此無論是系統建置商或企業本身,均不間斷的強化系統安全。近年來智慧醫療概念崛起,多數醫療院所均已有導入相關系統,不過多數醫療系統的資安機制並不健全。

Palo Alto Networks資安顧問藍博彥指出,智慧化IT系統除了與醫院的營運有直接關係外,還有眾多病患的個人資料,但醫療院所的資安仍有待加強。他以美國為例指出,根據Forrester Research的研究報告,2017年全美企業的IT系統中,安全技術的支出比例是27%,醫療產業則只有22%,而不僅美國,全球的醫療系統在這方面的投資也都不足。

從系統設計面來看,智慧醫療系統是以物聯網為主要架構,將院內的設備盡量與子系統連結,子系統彼此之間再視需求整合,因此在第一層架構所觸及的聯網設備相當多,再加上包括醫院在內的公共場合,多會提供Wi-Fi網路以便入內的民眾上網,這內外兩大部分的連網設備,讓系統資安風險大增。藍博彥表示,此一狀況不僅發生在台灣,大陸也面臨同一問題,近年大陸的醫療產業也積極導入智慧醫療系統,而在大量連網且系統彼此串接整合的態勢下,系統的管理難度不斷提升,安全隱憂逐漸增加。

藍博彥指出,現在智慧醫療系統對於資安管理有三個痛點。首先是系統觸及的層面過廣,導致風險遽增。在功能多元化的概念下,現在系統必須與大量設備連結,除了醫院內部外,往往還會與外部系統(例如遠端照護的生理監測裝置、設備或系統供應商)等連結,資料在內外系統中不斷流動,而且還必須可隨時被讀取應用。然而即使與過往相較,現在數據的應用模式已截然不同,但多數使用者的行為仍未改變,並未意識到其使用方式將導致資料外流。

第二是扁平化架構容易讓傷害擴大。為求管理效率,現在多數醫院將組織扁平化,而在沒有縱向的分隔管制下,只要有單點設備被突破或受感染,災情就會快速蔓延,在短時間內造成重大損失。

第三則是架構複雜,病毒難以被察覺。2015年美國與德國的醫療系統都曾被病毒攻擊,而根據後來調查,其病毒潛藏期長達1年,由於醫療系統日趨龐大且複雜,病毒只要未啟動,系統非常難以偵測,這也讓整體系統的風險大增。

要提升醫療系統的資安等級,藍博彥認為必須從防禦、偵測、控制/修復等三個流程著手。他以Palo Alto Networks的端點防護方案「Traps」為例指出,此系統在防禦階段可以控制受攻擊的範圍、縮短偵測及回應時間,並免除頻繁更新;偵測部分則是整合端點狀態並使之可視化,同時可有效找出系統威脅;至於控制/修復方面可在資安運作時不影響業務活動,並確保政策和相關修復的合理性。在Traps中,這三步驟並非線型流程,做完就結束,而是循環重複,讓系統隨時處於警覺狀態。

相較於一般企業組織以營利為目的,其風險影響主要為經濟損失,醫療院所的業務不但直接關乎人體安全,還有龐大的病患隱私資料,系統一旦被侵入,有可能造成金錢難以彌補的缺憾,因此醫療系統的安全等級必須比一般企業更高。現在醫療產業也察覺到此問題的嚴重性,藍博彥引用Forrester Research的報告指出,超過50%的醫療機構將在2018年增加安全支出,隨著資安意識的抬頭,近期內的醫療系統安全將快速提升,醫病雙方也會更有保障。


圖說:Palo Aito的Traps系統鏈結終端與雲端平台,提供完善的智慧醫療資安服務。