智慧應用 影音
訂報
event

醫療資安部署三大等級 領先團隊的思維與做法

彰化基督教醫院資安長粘良祁(左)與Fortinet台灣區技術顧問彭冠嘉(右)等各界資安專家合作,希望能夠協助醫院變得智慧的同時,也能夠提升安全與效率。蔡騰輝

醫療器材開發強調安全和確效,同樣地,醫療資訊也需要安全和穩定。為了降低人為疏失與教育訓練的隱形成本,彰化基督教醫院資安長粘良祁表示,與資安公司Fortinet合作,進而透過系統的架構,來提升醫院的資安水準,而Fortinet台灣區技術顧問彭冠嘉也分析,醫療院所的規模、所在城市、對於資訊系統維運的重視度,都會影響到後續幾年的發展穩定度。

醫院資安部署超前仍有疑慮 何況無建置

分享台灣醫療院所的資安架構,彭冠嘉分析,在意識與投注經費上,能分為三等級,第一等級如台大醫院、三軍總醫院,都很努力超前部署,但仍舊有資安的許多問題需克服;第二等級如彰基,設立資安長、提撥預算、採購流程也會相形快上不少。像是彰基兩年前就預先看到資安建置需求,從一年前開始與Fortinet合作,建置資安防護;第三等級就是按照法規規定的步調來執行,可能有時候等勒索病毒出現,才開始跑流程,逐步建置資安系統。

與其把詐騙資訊都擋在醫院外,粘良祁選擇讓白病毒、詐騙文字進來,並且透過這些數據來訓練資安系統架構,變得更可以辨識未來的駭客行動;除了更新作業系統軟體、安裝防毒軟體這些基礎政策以外,以醫院角度來說,在資安的努力上,還有醫院聯防、探討內網防護不足等問題。

白名單設計流程嚴謹 人員逐步體會原理

「以前大家都是防外不防內,內網互通較少管理」以前可能分院成為駭客目標後,僅該分院中毒,近期則是發現,有時是甲分院沒事,被當成跳板,駭客實際目標是要去攻擊乙分院,資安策略也隨著駭客的策略而持續動態調整,內網也有不同策略,從零信任網路(zero trust network)的概念著手,意思就是內內網、內外網與另一邊溝通,都必須要經過防火牆過濾才行,也因此,從過去的內網全開,進階為白名單方式,每一關都有審核,必須申請才開通。

彭冠嘉與粘良祁共同分享時說道2020年中秋節時就有駭客攻擊,建構系統後的服務標準,就是能快速處理的,儘量不影響同仁網路使用權限,然而,若是短時間內無法處理,需要有其他系統關卡協同,那就會在第一時間,先把IP隔離,想當然,IP關掉,使用單位就會立即反應,此時,權責單位會積極協助清理,確認沒有多餘風險之後,才能恢復網路暢通使用。

不斷強調防疫跟防駭概念其實極為相似的粘良祁分析,包括系統更新、變更密碼、賦予新設備IP,以及Windows系統更新與安裝院內防毒軟體,非Windows系統就要提供弱點掃描報告,等級從緊急(Critical)、嚴重(Important)、高(High)、到中(Medium)、低(Low)。

延伸閱讀:醫療數位轉型蹺蹺板 資安是投資還是成本?

蔡騰輝

DIGITIMES電子時報智慧醫療主編蔡騰輝Mark Tsai
專注研究智慧醫療產品、技術、服務導入場域時,所遇到的困難癥結與如何克服要點。
有時喜歡用德文思考,用英文採訪
揪團打排球之餘、跳跳Swing Dance

作者更多專欄

  •     按讚加入DIGITIMES智慧醫療粉絲團
更多關鍵字報導: 智慧醫療 資安