2021年,日本德島縣醫院遭駭客入侵,阻擋醫護人員存取病歷進而被迫暫停醫療服務、美國紐約NYC Health + Hospitals因內部系統漏洞,造成4萬名市民醫療資訊外洩;2020年,英國國民健保系統和英國牛津大學AZ疫苗研發團隊遭勒索軟體鎖定;2019年,台灣66家醫院同時遭病毒勒索加密檔案,造成資料無法存取……

全球重大醫療資安事件頻頻發生,勒索病毒、網攻駭客大規模鎖定入侵醫療系統、攻擊衛生醫療中心,以竊取病歷個資、疫苗研發技術甚至癱瘓醫療服務,許多國家也開始積極思考如何提升資安防護能力,試圖透過弱點通報機制、端點偵測和SIEM事件管理等措施,以迎戰醫療產業內部資安人手不足、外部遭受駭客攻擊等內憂外患的困境。

 

資安即國安,口號不是喊假的!
近期政府不斷擬修《資通安全管理法》,除了將「緊急救援與醫院」列入關鍵基礎設施(CI, Critical Infrastructure),持續擴大整體資安防護基礎外,要求公立醫院及指定的CI醫院,需指派副首長或適合人員兼任資安長;衛服部亦於109年發布《基層醫療院所資安防護參考指引》,鼓勵非CI醫院、私人醫院和基層診所必須強化資訊安全;甚至提出非典型資訊契約採購品項,都必須將資安納入醫療採購案,以落實資訊安全管理!

無論是大醫院或小診所,台灣富士軟片資訊盤點了醫療產業的資安防護範疇,總體歸納出五大面向,協助客戶快速聚焦、針對要點進行安全防護!


  軟硬體設備

醫療業資安解決方案 除了一般IT掌握的資訊及資通系統外,醫事機構應將院內IoT設備與系統納入資安防護規範內,包括事務/印表機、監視器、門禁和醫療儀器等,以預防駭客入侵、竄改韌體,造成系統運作錯誤、危害病患生命安全,如病歷資料比照錯誤、用藥錯誤等。

  服務流程

醫療業資安解決方案 人命關天的救護工作,效率、準確度至關重要!因此,從掛號、就診、開藥、批價等工作流程,可透過系統自動帶入資料,醫護人員僅需核對病患資料,無須再耗時人工填單。

  人員與專業

醫療業資安解決方案 組織是由人所組成,難以倚靠一己之力抵擋所有資安威脅,尤其資安漏洞大多由人為疏失所造成;因此,提升醫護人員、行政團隊的資安意識更是當務之急,不只從教育訓練做起,設置高資安等級的端點設施來保護病患個資、正確的人為操作步驟,才能確保流程安全且順暢地運作。

  文件與資料

醫療業資安解決方案 醫事機構可謂個資情資中心,涵蓋了國家元首、政要人士和全國國民的健康狀況,若病歷資料外洩,將可能遭犯罪集團進行不當用途,如保險詐騙、藥品販售等,甚至進而影響國家安全問題。因此,不只病歷保護,與病歷文件連結、傳輸的設備,都必須做好資安!

  健保系統

醫療業資安解決方案 所有醫事機構都會透過健保資訊網服務系統(VPN),進行費用申報與健保醫療資料登錄與共享,因此,建置安全的健保資料傳輸環境和使用者身份驗證機制,則是基本要求。
醫療業資安解決方案

台灣富士軟片資訊針對醫事機構提供一站式資安防禦解決方案,特別規劃四段資安防護閘口,從端點防護、設備和使用者權限管控、病歷處理流程到追蹤事件響應,層層把關病患資料,無一缺口!

1.Shift Left,打造最安全的環境

導入資安左移概念,選擇符合最高資安標準NIST SP 800-171的事務機,從端點設備建造穩固防護基礎,大幅降低駭客攻擊的危機。

Apeos系列多功能事務機

  • 開機/運作期間完整性檢查
  • 白名單/黑名單設置
  • 最新WPA3無線網路安全加密
  • 韌體竄改自動偵測功能

 

2.設備+使用者+權限管控

必須整合全部事務機、人員和身份存取權限和追蹤機制,才能全面掌握病歷文件的安全。

ApeosWare Management Suite 2
全方位智慧商用整合解決方案

  • 單一平台集中管理所有事務機
  • 設置使用者群組與權限,強化存取安全
  • 系統自動偵測設定是否遭竄改、立即還原

 

3.密碼管控

避免駭客「密碼撞庫攻擊」,管理員必須使用高強度複雜密碼,並定期變更密碼至關重要!

Passwords RESEROR
安全密碼重置工具

  • 設定密碼重置排程
  • 單一平台自動同步變更所有密碼
  • 回傳完整記錄報表

1.完整Log日誌紀錄

是誰洩漏病歷、健康報告?
將經由事務機處理的病患相關文件,建立Log紀錄與備份,以嚇阻文件外洩的可能性。

ApeosWare Image Log Management
文件影像備份管理系統

  • 建立影像備份紀錄
  • 監控文件處理流程
  • 自動加密影像備份檔

 

2.設置動態浮水印

將病歷強制嵌入動態浮水印,如使用者ID、事務機ID、電腦名稱等,以提升資安意識,讓每個人為所屬文件負責,達到主動式文件資安防護。

Print Watermark動態浮水印系統

  • 強制自動嵌入多項動態浮水印
  • 輕鬆追蹤文件軌跡

 

監控關鍵字報告

管理者必須隨時監控內部機敏文件,如企業客戶健康報告、藥物測試報告等,以避免遭惡意外洩!

機敏關鍵字:OO健檢報告、AZ疫苗名冊、PCR核酸檢驗報告

ApeosWare Image Log Management
文件影像備份管理系統

  • 設定高達500組機敏關鍵字,系統自動追蹤
  • 定期回報監測報表

整合SIEM平台

一套可完整監控機構內部網路安全的機制,才能即時回應內外部資安威脅;必須將事務機的稽核紀錄整合至SIEM系統,進行分析、偵測威脅。

中央管控SIEM系統

  • 分析紀錄、偵測資安威脅
  • 自動化發送警告
  • 管理員即時回應並分享情資到H-ISAC

在COVID-19疫情爆發至今,國民對於防疫早有一套安全措施,如戴口罩、噴酒精、勤洗手和打疫苗等等!其實,資安防禦猶如防疫,防止資安漏洞絕不能單靠一道防護閘口;因此,台灣富士軟片資訊採取「全面整合」而非「零碎片段」的資安管控策略,提供您一站式資安防禦解決方案、四段 資安防護閘口,為醫事機構提供最完善的防護。