衛福部今年舉辦醫療領域資安攻防演練,國泰綜合醫院脫穎而出成為示範基地,內容包括演練模擬勒索病毒等駭客攻擊,考驗醫院應變能力。衛福部資訊處長李建璋強調,隨著醫療數位化資安防護刻不容緩。要提升醫療機構的資安防護能力,找出系統弱點,才能完善應對措施。

在這個數位時代,醫療資訊安全已成為不容忽視的重要課題。衛福部為了強化醫療體系的資安防護能力,每年都會舉辦一場別開生面的資安攻防演練。今(2024)年,國泰綜合醫院在眾多參與機構中脫穎而出,成為這場演練的示範基地,並成功抵禦了一系列模擬的駭客攻擊。

國泰綜合醫院資安長林朝祥對此表示,醫院一直以來都非常重視資訊安全,近年國泰也投入了大量資源,分階段完成了多項資安防護升級。這些努力不僅僅是為了應付演練,更是為了保護病患的隱私和敏感資料。

林朝祥特別提到,醫院在資安領域已取得多項重要成果,且導入了外部資安風險評級制度,並取得了Advanced評級。此外,醫院還進行了紅隊演練專案,全方位提升資安防護能力。

這次的攻防演練與往年有所不同。衛福部特別委託外部專業機構擔任「攻擊方」,而國泰綜合醫院則扮演「防禦方」的角色。整個過程由具有豐富資安實務經驗的資深專家擔任裁判,對防禦成績進行嚴格評定。

演練中,「攻擊方」使用了包括勒索病毒在內的多種駭客攻擊手法,這些都是當前最常見、也最具威脅的網路攻擊類型。而國泰的團隊必須在有限的時間和人力範圍內,迅速做出反應。林朝祥說,這不僅考驗國泰的技術能力,更考驗團隊協作和資源分配能力。

衛福部資訊處長李建璋指出,隨著醫療服務的數位化,如遠距醫療、電子病歷系統等創新應用的普及,醫療機構面臨的資安威脅也與日俱增。這些數位化的進展,無形中為網路駭客提供了更多的攻擊途徑!李建璋警告道,一旦發生資安事件,對病患和醫療機構都會造成巨大衝擊。

李建璋強調,衛福部舉辦這類演練的目的,就是要提升整個醫療領域的資安防護能力。因此會模擬了多種可能的攻擊情境,包括勒索軟體、釣魚攻擊和內部威脅等,他解釋道,這些都是醫療機構可能面臨的真實威脅。

通過這樣的演練,醫療機構不僅可以測試和提升自身的防禦措施,還能檢視應變計畫的有效性,並強化跨部門的合作能力。李建璋補充道,這些演練能幫助醫院找出現有系統和流程中較脆弱的環節,為後續的改進提供明確方向。