醫院不是駭客眼中肥羊 國泰醫院獲選資安演練基地

國泰綜合醫院獲今年衛福部醫療領域資安攻防演練示範基地,裁判委員,數位發展部資通安全署科長李敏瑜(左起)、衛福部資訊處長李建璋、國泰醫院資安長林朝祥、數聯資安總經理李明憲共同參與。圖/國泰醫院提供

資安威脅於全球頻傳,醫療機構更是成駭客眼中肥羊,資安防護與應變能力備受考驗,衛福部今年選擇國泰醫院作爲攻防演練示範基地,由專家扮演駭客,實戰操演,強化醫療資安聯防量能。衛福部表示,每年評選醫院進行資安攻防演練,演練模擬勒索軟體、釣魚攻擊和內部威脅等場景,希望提升醫療領域資安防護能力。

國泰醫院資安長林朝祥指出,醫療機構肩負保護病人隱私及敏感資料重大責任,院方相當重視資訊安全,近年投入大量資源分階段完成各項資安防護升級,並在資安領域獲重要成果,包括導入外部資安風險評級制度取得Advanced評級、紅隊演練專案等,今年獲衛福部評選爲醫療領域攻防演練的唯一示範基地,更是肯定。

衛福部資訊處長李建璋指出,數位化時代,遠距醫療、電子病歷系統這些與時俱進的數位進展,無形中也爲網絡駭客提供了更多的攻擊途徑,全球資安事件頻頻發生,一旦發生在醫療領域,往往對病人和醫療機構造成巨大的衝擊,強化醫療領域的資安防護刻不容緩,無論醫院管理者、IT專業人士、一線醫護人員,均須提高對資安的認識。

李建璋指出,衛福部近年每年評選醫院進行資安攻防演練,就是希望提升醫療領域資安防護能力。此次演練透過模擬多種可能的攻擊情境,包括勒索軟體、釣魚攻擊和內部威脅等真實的網絡攻擊場景,藉以測試和提升醫院的防禦措施、應變計劃和跨部門合作能力,透過情境幫助醫院找出現有系統和流程中較脆弱的環節,以提供醫療機構思索後續完善對應措施方向。

林朝祥指出,攻防演練由衛福部委託外部專業機構擔任攻擊方,並邀請具資安實務經驗的專家擔任裁判,對於防禦成績進行評定。有別於以往的演練,今年透過擬真設計,模擬勒索病毒等駭客攻擊手法,進行難度甚高的技術演練,考驗醫院如何在有限時間、人力內,進行團隊資源分配以應變處置,增強醫院整體資安防禦能量。

衛福部自111年起每年舉辦醫療領域資安攻防演練,日前舉辦年度資安攻防演練成果發表會,現場共50家醫療院所及8大關鍵基礎設施機關參與,透過攻擊及防禦團隊實際解說及影片還原現場狀況,提供各醫療機構後續精進資安防護工程的參考與建議。

國泰綜合醫院獲今年衛福部醫療領域資安攻防演練示範基地,圖爲成果發表會。圖/國泰醫院提供