【2022年4月26日,台北訊】鑑於醫療業數位轉型已成大勢所趨,衛福部資訊處處長龐一鳴在去年的台灣資安大會上正式宣佈衛福部將會把電子病歷交換中心(EEC)架構改為FHIR交換架構,以符合國際醫療資料交換標準,並降低眾多接口產生的資安風險;而去年起就經常舉辦線上產學論壇的 Impactio-國際學術影響力分析平台,這次聯合國立台灣大學、國立成功大學以及臺北醫學院所屬的大型醫療研究機構,共同舉辦【醫療數位轉型路上的資安挑戰與威脅】趨勢論壇,由科技部人工智慧生技醫療創新研究中心的張丹菁副執行長、科技部補助台大人工智慧技術與全幅健康照護聯合研究中心的曾柏元共同執行長,以及台大醫院內科部暨健康管理中心的林鴻儒主治醫師擔任主講人。
疫情時代帶動數位轉型需求,加速促成新型互動模式
過去這幾10年來,台灣都一直在談「數位轉型」這件事情,而且不限於醫療業,各行各業包括像是製造業、服務業都在談也在嘗試數位轉型,但是我們的世界中仍保有許多傳統、實體的產物與習慣,但是一次嚴重的疫情 Covid-19 來襲,所有的方面都在加速運轉,連中小學校都反應迅速,讓教學變得電子化、直接全面遠距上課,至今老師、父母與學生都早就已經習慣新型互動模式。因此我們可以從這次疫情加速數位轉型的案例中發現,數位轉型其實通常都會是來自於一個「事件」進來帶來「一些需求」產生。
數位轉型其中一個帶來的變化:連續式的演進 → 產生連續數據 → 量化資料回饋至質化方面的演進
我們所經歷的數位轉型,從生活中來看,現在只要進到每一個商店、學校場所等,每一個地方都有台機器量體溫,從早期的只能量體溫,到後來可以測量臉部、手部單個部位的體溫,到後來即便帶著口罩都可以精準量測,同時也可以消毒,其實就是健康管理的一個演進,這樣子的連續式演進,背後就會產生連續數據,而連續數據的量化也會提升醫療質量本身,帶動醫療服務的即時性、有效性和安全性全方位的演進。舉例來說,糖尿病一直都是全世界的十大死因之一,近三年還持續飆升,而糖尿病一開始醫療相關的裝置,也從尿糖、單次的血糖、飯前、飯後的血糖,到現在其實在國外已經有裝置可以遠距式偵測血糖。
此外,針對病情服用藥物過程中,也可根據連續數據而去做一些醫療方針調整,國外也有一些所謂針對胰島素的幫浦,如果於評估過程中發現異常狀況,就可以根據數據自動計算,並提供適當的劑量。而醫院端如何去好好地處利大量的連續性的數據,並提供即時的診斷、照護、提醒與警示,這是醫療業本身正在致力轉型和努力的部分。
醫療業的五大資安破口一次看
近年來政府頒布資通安全法,原本技術門檻就十分高深的醫療業,再加上困難的資安議題,讓醫療資安成為許多臨床界、業界的痛點。資安其實一直都充斥於我們的生活中,但並不是單純一個口號,目前醫院需要有資安長並有相關配套系統、措施去維護醫療資安網,目前醫療產業正面的危機可分為五大資安破口:
- 健保 VPN:勒索病毒入侵與擴散
- 端點設備:Windows 檔案共享、遠端桌面服務
- 伺服器主機/OT 設備:作業系統老舊無法更新、防毒無法支援等等
- 內部網路:容易破解的密碼
- 護理推車:資料傳輸安全、週邊設備如 USB、藍芽等存取控制
資安即國安,其實資安也即為病安,當面對這些危機時,如何做到完善的資料備份?醫院系統與設備老舊的狀態下,弱密碼(像是大家很喜歡用 0000 或 1234、自己的生日等作為萬用密碼)與打工兼職人員的權限等都是值得我們深思的話題。
如何在臨床上取得資安和醫療效能的平衡?
醫院系統上分為軟體與硬體的應用,還有醫院內部系統如 PIS 病理資訊系統、RIS 放射線報告系統,以及架構外部系統如生理裝置、醫療儀器、醫療設備甚至到用手機或是平板用的 APP 等。像是資訊安全管理標準 ISO 27001,這些規範是否會造成過度重視資安,反而造成臨床執行的困難,反而本末倒置?例如:當醫師、護理人員在醫院遇到特殊疾病案例,需要查閱必要文獻,或者是查詢國際規範,因而需要連網,但如果在 ISO 27001 架構之下,可能我們要輸入病歷的電腦,不能連接對外網路,必須使用內部系統、網路,或者是必須向資訊室申請,造成明明是很簡單的一件事,卻必須要透過非常繁瑣的方式。所以資安的實際落地,其實困難點不一定是技術,而是配合以人為本的宗旨時,能達到資訊安全防護目的的同時,也不過度影響本身業務。
資安很花錢?沒有做好資安防護,以後會花更多錢!
資安、環保、永續聽起來都很花錢,但是如果真的發生勒索事件,需要花更多錢,而目前的網路世界中,網路攻擊幾乎是來自全世界且無時無刻都在發生,所以資安在現代社會看來是一種必要投資,甚至可以說是份必要保險,任何與網路有相關的事業、機構都需要具備的資訊安全風險意識,未來遇到挑戰時,才能夠不花冤枉錢又賠掉重要資料。
此外,資安也是與我們每個人息息相關,而不只政府、公司、機構需要煩惱,舉例來說,今天有個厲害的駭客,經過戴有心臟節律器的患者時,只要經過你身邊,可以讀取心律數據並操縱之,在以往的世界資安大會上,現場就直接運用假人做實驗展示駭客攻擊心臟節律器,現場假人原地爆炸,令與會者都震驚不已。現今駭客已經不是在網路上攻擊網站這麼簡單,甚至能達到操縱你我生命的地步,所以資安即人身安全並非誇大其辭的電影情節,更是與我們每個人都息息相關的議題。
文/Irene Chang
更多關於『資安挑戰—醫療轉型路上的資安挑戰 & 威脅』論壇資訊
活動重點摘錄:https://www.impactio.com/event/medical-device-cyber-security
活動錄音:https://acaemicexchange.soci.vip/
關於 Impactio
Impactio 成立於 2018年,是位於美國舊金山灣區的學術分析和聲譽管理領導平臺,專注於開發創新軟體和服務,為全球研究學者打造量化學術影響力指標、展現學術成果、經營學術聲譽,和增進學術交流的平臺,以加速全球科學和科技發展,也致力於創造專屬研究學者的全球專業學術社群,強化學術圈的連結、增加學者之間的交流,並促進學術研究合作機會,讓研究學者拓展學術圈人脈、找尋更多潛在交流與合作機會。
媒體報導:
