Latest updates‎ > ‎

衛生福利部資訊處處長許明暉

資安法有助醫院對抗攻擊

行政院資通安全處極力推動的「資通安全管理法」草案,可讓醫療院所透過彼此之間的協同聯防機制,降低各種資安事件帶來的威脅。
採訪/林振輝、施鑫澤  文/林裕洋


2017年5月初席捲全球的WannaCry勒索病毒,在世界各地造成嚴重災情,台灣則因為攻擊日恰逢週六,讓多數公司、政府機關的資安人員,有些許時間可檢視公司用戶端電腦的健康狀況,所以多數受害者泰半為個人用戶。不過,仍然有部分醫療院所的行動推車,因為沒有定時執行Windows Update服務,而給予駭客組織可趁之機,所幸在院方人員擁有足夠資安意識下,並沒有發生大規模傳染,也沒有影響到就醫民眾的權益。
然而駭客組織為獲取龐大經濟利益,從來沒有放棄攻擊擁有大量個資的醫療產業,如2014年7月美國健保交易網站HealthCare.gov便證實曾遭駭客入侵,所幸僅是測試網站遭到攻擊,沒有發生個資外洩事件。然而在2015年2月遭到入侵的美國第二大健保公司-Anthem,則有高達8千多萬筆客戶個資遭竊,後續衍生問題恐怕將難以收拾。
衛生福利部資訊處處長許明暉指出,醫療資訊系統若遭到駭客入侵,最嚴重問題並非是病患隱私遭到竊取與濫用,若有心人士刻意更改待開刀病患的血型,將會導致病患生命受到嚴重威脅,所以建立完善資安防護措施絕對有必要。而行政院資通安全處極力推動的「資通安全管理法」草案,基本上可讓醫療院所透過彼此之間的協同聯防,降低各種資安事件帶來的威脅,所以衛生福利部將全力提供行政院或醫療院所必要的協助。

資安法有必要性 有助強化醫院防護力

在數位經濟時代來臨之際,世界各國均認為若能有效善用資通科技,將可協助產業經濟轉型及有效解決社會發展議題之關鍵。為此,各國政府均致力於資通政策之規劃,期能建構公開、有效率之數位環境,並希望藉由科技化服務,提升民眾生活品質、維護公共利益、帶動產業發展 及國家整體競爭力。然而隨著駭客攻擊手法不斷新,全球各地不時傳出各種資安威脅事件,讓資訊政策正面臨前所未有的挑戰,也促使各國政府極力推動資安專法,藉此對資通安全議題進行更嚴苛的規範。
如美國有聯邦資訊安全現代化法、網路安全 法,日本則制定網路安全基本法,在國際組織部分,歐盟亦訂定網路與資訊系統安全指令等等,透過專法之制定,可協助公務機關及關鍵基礎設施提供者等非公務機關,認知自身資通安全責任、進而理解並因應資通安全風險, 增進自身資通安全能力。 
至於台灣方面,除適用對象較為廣泛之刑法妨害電腦使用罪罪章及個人資料保護法等外,另有行政院及所屬各機關資訊安全管理要點、行政院及所屬各機關資訊安全管理規範、 國家資通安全通報應變作業綱要等規定。然而上述規定中,其保護客體僅以特定類型之資料為限,並非針對資通安全管理為整體考量而制定,在新型態攻擊模式持續翻新下,恐怕難以因應市場的變化,因此制定一部協助公務機關及受規範之非公務機關,認知自身資通安全風險並加以因應,確實有其必要性與急迫性。
許明暉指出,由於醫療院所擁有大量病患個資,早就是駭客組織眼中的首要攻擊目標之一。因此,為避免發生個資外洩事件,台灣醫療院所向來都非常注重保護病患資料,以便因應個人資料保護法規範,以及符合ISO 27001要求。在衛生福利部的定期評鑑項目中,也涵蓋資安防護制度的設計,藉此讓醫療院更注重資安防護細節,避免因為該部分的缺失,造成醫院評鑑被降級的憾事。
儘管目前台灣醫療院所尚且沒有發生重大資安事件,但因台灣名列全球遭受資安威脅為嚴重的前兩名,未來行政院資安法若能夠順利通過立法院三讀,絕對有助於再次提升各級醫療院所的防護能力,對抗無所不在的資安威脅。

借重既有通報機制 發揮資安聯防效益

在行政院發表的資安法草案中,適用對象主要是依據行政院訂定之「國家關鍵基礎設施安全防護指導綱要」,關鍵基礎設施係指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安 全、社會公共利益、國民生活或經濟活動有重大影響之虞,並經行政院公告者。至於關鍵基礎設施之範圍分為能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八大功能領域,且會再細分為數項次領域及重要元件設施。
根據資安法規定,公務機關指依法行使公權力之中央、地方機關或公法人,例如總統府、行政院、立法院、司法院、考試院、監察院、轄市政府、縣(市)政府、公立 社會教育機構、公立文化機構、公立醫療機構或行政法人等。至於非公務機關,則是指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
許明暉解釋,基本上能夠提供急症醫療的醫療院所,便符合非公務機關可提供關鍵基礎設施法規的定義,日後若資安法正式實施之後,前述醫療案所就有主動通報的義務。其實台灣醫療體系早已建立非常完善的通報體系,現今只要醫療院所收治衛福部明定的傳染病患,就得立即向上通報,所以基本上主動通報資安事件並不會造成太大負擔。
衛福部要求醫院主動通報資安事件,絕非要懲罰醫療院所,而是希望透過溝通無障礙的訊息傳遞機制,儘早掌握新型態的資安威脅事件,進而協助尚未遭到攻擊的醫院,快速建立有效的防護機制,讓台灣醫療系統能夠維持順暢的運作,避免危及到人民的生命安全。

妥善運用巨量資料技術 發揮醫療資料價值

在行政院推動的「5+2 產業」中,涵蓋綠能、國防資安、智慧機械、生技醫藥、亞洲矽谷、新農業、高值材料循環等多項計畫,而在生醫產業創新推動方案中,則將精準醫療列為推動 重點。其中由衛福部及科技部共同提出之「亞太生醫矽谷精準醫療旗艦計畫」,旨在運用精準醫療(precision medicine) 及學習型醫療照護系統 (learning health care system, LHS) 之概念,建立台灣發展生技與醫療照護產業之基礎。
所謂學習型健康照護系統,是透過資通訊科技,結合智慧健康醫療跟巨量資料技術,將各醫 院的臨床數據標準化,以優化更有效的診斷、預防和 治療,期望透過實踐科學 精準醫療和 LHS間的加乘作用,以找出解決臨床問題的有效方案。因此,LHS的概念與系統性運作,可輔助精準醫療發展,幫助實現個人化照護,提升醫療系統的效能與品質。
「所謂精準醫療,是指收集疾病患者的基因進行分析,結合新藥開發,為不同病患找出最適合的治療方法。」許明暉指出:「現今很多國際藥廠為測試新藥的療效,都會透過與大型教學醫院合作的方式,進行大規模的臨床試驗,這不僅是全球趨勢,也絕對會是未來醫療發展的方向。」
至於台灣醫療巨量資料分析與運用方面,過去在全球H1N1病情大爆發時,國健署便曾經對施打國產疫苗、進口疫苗的民眾,進行施打後人體反應的資料收集與比對,結果證明國光疫苗療效堪比國際大廠。此案例證明台灣醫療產業早就在合理範圍之內,妥善運用醫療資料進行資料分析工作,期望讓民眾享有更優質的醫療環境。

運用AR技術 推動長照2.0

受惠於全球醫療技術大幅進步,根據世界衛生組織統計顯示,現今全球人類平均壽命已增加5歲,但也因此讓全球60歲以上老年人口占總人口比率,已由 1990 年之 9.2%上升至 2013 年之 11.7%,預計2050年將攀升至 21.1%,而80 歲以上超高齡老人占老年人口比率,更將由 2013年的14%上升至2050年的19%。此外,根據行政院內政部統計資料,台灣65歲以上的老年人口數,在1993年9月占全國總人口數達的7%,正式邁入高齡化社會。而在近幾年新生兒出生率持續下滑,讓台灣人口老化速度不斷加快,根據行政院經建會最新預估報告,台灣老年人口將於2025年達20%,進入聯合國定義的超高齡社會。
為讓長者能夠獲得妥善照顧,行政院認為銀髮族健康及社會照顧,應該涵蓋醫療、個人照顧與社會照顧等三大層面,於是2007年啟動的長照1.0計畫是以在地老化為原則,建構許多居家服務、社區服務的據點與資源,希望提供除外籍看護與機構以外的照顧選擇,以減少人力與經濟負擔、善用社會資源。至於2016年啟動的長照2.0計畫,改以「找得到、看得到、用得到」為目標,將服務對象擴大至50歲以上失智症患者、55歲以上平地原住民、49歲以下身心障礙者、65歲以上衰弱者,並且藉由服務項目增加、請服務提供單位掛牌,希望可以讓更多人受惠、減少民眾的負擔。
許明暉指出,衛福部會建立一個以社區為基礎的長照體系,也就是將與現有在地民間單位合作,讓每個鄉鎮擁有1個A級的社區整合型服務中心,每個學區有1個B級複合型日間服務中心,每3個村里則會有1個C級的巷弄照顧站。衛福部也會積極運用人工智慧、巨量資料分析技術,搭配遠端醫療設備的協助,有效掌握各地長者的照護需求,進而讓各級照護中心人力獲得有效運用,讓更多民眾都能夠享受到優質的照護服務。
為落實「長期照顧十年計畫2.0」政策,充實普及在地化長照服務資源,同時因應嚴峻的少子女化現象,衛生福利部已爭取前瞻特別預算辦理「建構長照衛福據點計畫」、「建構0-2歲兒童社區公共托育計畫」,以協助地方政府規劃建構以家庭為中心、社區為基礎的老幼照顧體系,給予家庭更多照顧量能,滿足社區民眾多元化需求。

Comments