現今的醫療環境大躍進,銀髮人口激增,醫院已不再只是生死才會接觸到的冰冷場所,不但是成為現代人管理健康的最佳幫手,甚至還肩負了美容養顏等重責大任。近年來預防醫學的風潮興起,在疾病產生之前就精確掌握身體的各項數據,不僅可以及早預防疾病,若出現病徵也能提供精準資料給醫生做治療判斷的依據。不論是從醫療數據的移動化採擷到醫師的診斷輔助系統,這些數據小則可分析個人健康狀況或是家族遺傳疾病,大則可以提供一個世代的健康趨勢,醫療數據背後隱藏的商機無窮,早就成為各大企業重點發展的目標,自然也成為駭客集團虎視眈眈的目標。
|
/news/2015/01/09/1043154820.jpg |
芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬表示,醫療院所管理數據量驚人且涉及敏感隱私,從病人到用藥等,稍有差錯便可能導致用藥錯誤或病歷外洩,這些內容不只對藥廠、醫療設備的廠商來說,是重要的消費者資訊與研究趨勢,對要謀取暴利的駭客來說更是含金量驚人的搖錢樹。為了方便管理,醫療人員便於使用,醫療單位很早就引進電子化管理,以利追蹤病人情況。但醫療機構管理階層,多半重視電子化系統的「方便使用」程度遠高於「安全性」,所以很多院所會投注大量心力在改善使用流程,為的是讓醫師在看診時可以加快速度。根據過往經驗,無論醫療機構大小,對於資安防護的緊戒程度大多只有及格邊緣,一旦遇到駭客惡意入侵,幾乎是毫無招架之力。駭客一旦成功入侵醫院系統,便以病人隱私或是癱瘓病歷系統來要脅鉅額贖金,為了不損傷名譽,多半也只能私下付款了事。
除了醫療機關缺乏警覺心之外,目前台灣法律規範也仍尚有待改善之處,台灣個資法專家林鴻文律師針對台灣相關法律規範進一步說明指出,目前個資法第6條有關保障醫療、健康檢查等特種個人資料,不得濫行蒐集、處理或利用條文,因故未施行,所以對該特種個人資料保護尚嫌不足。此外,個資法第27條規定中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。但目前衛福部並未依該法制定相關安全維護計畫或方法,使得醫療機構尚無一致標準可遵循。因此呼籲政府因盡快施行個資法第6條及制定相關安全維護計畫或方法。台灣健康資訊交換第七層協定協會顏志展理事長說明,醫療產業隨著物聯網、雲端計算與大數據的快速發展、愈來愈受到重視;隨著產業應用的快速發展、個人化醫療數據更成為產業發展的核心價值。醫療數據安全的保護包括了管理、軟體與硬體多方面的整合。目前多數人還是強調在傳統硬體上的防護、但如何加強在軟體保護與資安管理制度上的強化、更是醫療數據保護的重點。
杜世鵬強調隨著醫療雲端存取成熟、資訊交換技術越加便利,這些健康大數據成為各企業發展新科技的重要指標資料,如此龐大的商機誘使駭客想盡辦法要竊取資料,建議醫療院所在發展醫療雲端服務時不應只重視使用順暢度,更該加強資安機制及端點連線到雲端服務時的安全規劃,因此後續必須繼續強化與落實以個資法為依歸、結合管理、軟體與硬體的醫療數據保護機制、才能為後續快速發展的醫療數據應用、奠立良好的發展根基。(編輯部陳復霞整理)