醫療資安不容輕忽:醫療產業當前的5大挑戰與4項趨勢
“醫療資安的核心在於確保醫療機構資訊的機密性、完整性與可用性。在享受數位化便利與發展的同時,必須嚴格防範珍貴且敏感的個資與病歷資料遭竊取或濫用。”
精選內容
隨著雲端科技與數位轉型的蓬勃發展,近年來各級醫療院所紛紛導入通訊科技,不斷在診療與照護模式上創新。全球性的 Covid 疫情,更進一步推動了視訊門診與遠距醫療的普及。
醫療產業對數位化作業與資料儲存的依賴日益加深。從病患走進醫院開始,便涉及各式資訊系統:填寫個人基本資料、病歷與檢驗報告記錄、醫學影像存檔、處方開立、健保申報等,幾乎每一環節都與數位科技密不可分。在享受數位化所帶來的便利與發展時,如何同時確保資料安全,已成為現代醫療面臨的一大挑戰。
醫療資安為什麼重要?
資訊安全的「CIA 三要素」──機密性(Confidentiality)、完整性(Integrity)、可用性(Availability),是評估資安防護的核心標準。亦即,儲存在資訊系統中的資料必須避免遭受未經授權的存取或破壞,並能在合法使用者需要時,即時且正確地取得。
醫療院所中存放大量攸關病患隱私的資料,類型涵蓋:
●個人資料:身分證號、地址、電話、緊急聯絡人
●醫療診斷資料:健保卡號、就診紀錄、用藥史、病歷影像、檢驗報告、敏感病史(如精神疾病、癌症、性病等)
●金融資料:信用卡號、保險資料、財務收費紀錄
●其他資料:親屬關係、醫療同意書等
其中,醫療相關資訊如病史、家族病史與就診紀錄具有高度「不可替代性」,一旦遺失或外洩,若無完善備份,便可能永遠失去寶貴的醫療紀錄。
若機密性遭破壞,患者的個人健康數據將受到侵犯;若 完整性 受損,可能導致治療依據錯誤,危及病患安全;若 可用性 受限,醫療人員無法及時存取病歷資料,將造成延誤診治甚至誤診的風險。
換言之,醫療資安一旦受到威脅,不僅牽涉隱私,更可能影響病患生命與健康,其重要性不言而喻。
醫療資安所面臨的威脅
在現代社會,幾乎所有人一生中都曾造訪過醫院或診所,因此醫療機構累積了龐大的數據資產。在「資料即資源」的時代,醫療產業自然成為不法份子覬覦、企圖藉此詐取經濟利益的主要目標之一。
醫療院所之所以特別容易成為攻擊對象,原因有多方面。例如,為確保醫療服務不中斷,不影響手術與急診等關鍵業務,醫院往往傾向對勒索軟體攻擊做出妥協;同時,醫療院所的資安團隊人力有限,難以及時抵禦複雜且多變的網路威脅。
根據Check Point Research 數據,2024 年 1 月至 9 月期間,全球針對醫療機構的網路攻擊平均每週高達 2018 件,較前一年同期增加了 32%。
在台灣,醫療院所面臨的主要網路威脅類型包括:
●勒索軟體:駭入資訊系統並加密資料,藉此勒索贖金。
●網路釣魚與社交工程:利用假訊息製造緊急情境,誘使使用者提供敏感資訊,例如以仿冒登入頁面竊取帳號密碼。
●內部威脅:擁有合法存取權限的人員濫用或外洩醫療資料。
●DDoS 攻擊:以大量惡意流量癱瘓醫院或診所網站,造成資訊系統無法正常運作。
●IoT 攻擊:入侵連網的醫療設備(如心律調節器、胰島素幫浦),並進行遠端控制。
2025 年,台灣更接連爆發多起勒索病毒事件,北部和中部多有醫療院所相繼遭受攻擊。勒索軟體攻擊儼然已成當前台灣醫療資安的首要威脅。
台灣醫療資安相關法規
醫療資安與生命健康安全息息相關,因此全球各國皆因應數位科技的快速發展與日益增加的網路攻擊,制定醫療資安防護基準,以強化防護能力並降低潛在威脅。
在台灣,相關規範涵蓋十個面向,包括:網路架構、存取控制、事件日誌與可歸責性、營運持續計畫、識別與鑑別、系統與通訊防護、系統及服務取得、實體與環境防護、系統與資訊完整性以及組態管理,全面規範醫療院所的資訊系統。
更多詳細的政府法規與指引,可參考衛福部 資安法專區- 資訊處。
落實醫療資安如何進行
落實醫療資安:人力面向
就如同一般企業在資安防護上需要全員共同協作,醫療資安的落實同樣仰賴多個部門的共同參與。
由資安團隊與資安長主導,負責檢視整體系統架構、資安措施設置、即時監控,以及異常活動的偵測與應變。
然而,資安不僅是專責團隊的責任,全院工作人員皆需具備基本資安意識與知識,包括資料儲存的正確方式、常見威脅(如釣魚信件)的辨識、資料傳輸的原理與安全機制等。透過提升全體人員的警覺性,可有效降低駭客透過各種途徑滲透醫療系統的風險,全面強化醫療資安防護。
醫療院所可透過定期舉辦資安工作坊與教育訓練,持續提升全體人員的資安意識,並隨時掌握最新資安威脅,保持警戒。
落實醫療資安:技術面向
不論是否屬於醫療院所,資訊安全的基礎均需仰賴多種技術與措施。常見的防護和偵測手段包括防毒軟體、防火牆、 Web 應用程式防火牆(WAF)、 滲透測試 、弱點掃描、EDR(端點偵測與回應)與SoC(安全運營中心)等。
針對醫療機構的特殊需求,還需強化對 IoT 醫療設備的資安防護,並確保門禁系統、病房緊急呼叫系統與醫療監控系統的安全性。
除了防止網路攻擊入侵醫療資訊系統,也需導入文件與資料加密,即使資料外洩或遭竊,駭客沒有金鑰也無法解讀。資料傳輸層(如 TLS/SSL)以及 VPN 或醫療內部網路,也須進行加密。
此外,採用最小權限原則,僅授予使用者必要權限,並嚴格執行存取控制。依據不同職務與角色,例如醫師、護理師、行政人員,可設定不同層級的病患資料存取權限,既保障病患隱私,也降低資料管理複雜度。
透過數位簽章(Hash)與審計紀錄(Audit Logs),可確保資料未被未授權修改,並可監控資料變動,維護病患資料的完整性。
此外,完善的異地備援機制亦不可或缺。將資料與系統安全存放於不同的資料中心 ,一旦遭受攻擊或發生中斷事故,即可迅速啟用備援,確保醫療服務不中斷。
落實醫療資安的 5 大挑戰
1.成本管控
醫療資安投入龐大,包括購置與建置防毒軟體、監控偵測系統、防火牆、滲透測試與弱點掃描等設施,以及聘僱專業資安人才進行持續更新與維護。由於攻擊手法不斷演變,資安防護必須持續升級,導致資安支出幾乎沒有上限。
2.提升醫療資安意識
除了 IT 團隊,全體醫院員工皆應具備資訊安全基礎認知,避免因疏忽或誤信釣魚郵件而造成敏感資料外洩。醫療機構應透過教育訓練、講座與工作坊等方式,提升員工對資安的理解與重視,並強化其在各自崗位上維護資安的責任感。
3.老舊基礎設施
資訊科技推陳出新,但部分醫療院所仍使用過時的硬體與軟體,無法支援最新防護機制,容易形成資安漏洞。因此應定期更新軟硬體設施,以確保資安防護水準與時俱進。
4.法規挑戰
各國政府對醫療機構的資安標準要求不同,醫療院所除了落實實務防護,亦須深入理解並遵循相關法規,以確保合規性。若未能確實遵守,恐面臨罰款或其他處分。
5. 多院所協作
病患往往在不同醫療院所間就診,攻擊者可能利用跨院所的網路連結尋找漏洞。因此,各院所需建立協作機制,攜手防範跨系統的網路攻擊。
2025 醫療資安 4 項新趨勢
1.遠距醫療普及
遠距醫療提升了就醫便利性,並有助於縮小城鄉醫療資源落差。然而,隨著資料傳輸次數增加,資料外洩風險亦同步升高。視訊門診及相關應用需特別注意資安,包括雲端架構配置正確性、軟體及時更新、第三方檢測漏洞,以及端點防護加強。
2.機器學習與人工智慧
透過機器學習與 AI 技術,可分析醫療院所內部使用者行為,協助偵測異常模式,提前發現潛在攻擊並即時應對,提升資安防禦效率。
3.更加嚴格的資料安全法規
隨著個資與醫療資訊價值提升,未來法規勢必更加嚴謹,醫療院所需提前部署,確保合規與防護並行。
4.第三方服務商風險
許多醫療院所仰賴第三方資訊服務,包括雲端架構與醫療應用程式。然而,第三方服務亦可能成為攻擊突破口,因此需加強對供應鏈的資安管理與審核。
遠傳幫您把關醫療資安
遠傳自電信產業起家,逐步拓展至通訊與雲端技術領域,長期服務全台各產業與機構。近年來,更積極投入醫療產業解決方案的發展,將先進科技帶入醫療院所第一線。
透過創新應用,協助醫院以更全面、多元的方式提供救命的醫療資源,建置多項系統,包括:掛號平台、視訊門診、健保卡認證、診療過程紀錄與存檔、檢驗與門診預約,以及處方箋管理等。同時,遠傳也以嚴格標準把關醫療資安,並榮獲多項國際與國內高規格認證與獎項:
●美國 HIPAA 國際認證
●ISO27001&CSA STAR 資安認證
●榮獲「2022 國家新創獎」
●榮獲「2022 數位轉型鼎革獎」
●榮獲「2021 國家醫療品質獎」
歡迎與我們聯絡,更深入了解遠傳電信相關遠距診療平台及視訊門診應用服務!
延伸閱讀: