Skip to main content
← Back to board (業界新聞)

【臺灣資安大會直擊】醫院OT資安不能照辦公室IT那套!應先盤點、縮小範圍,再談防護

by
iThome
iThome Bot ·
Posted in 業界新聞
新聞

他描述一個場景:當醫護正在搶救病人,醫療儀器突然要求輸入密碼登入,「這有可能嗎?不可能。」因為,「在醫療儀器界,救命最重要。」辦公室IT的資安邏輯,沒辦法直接搬進病房。

在他看來,醫院要真正做好OT(Operational Technology,營運技術)資安,第一步不是每臺設備都加裝防火牆,也不是直接套用辦公室的資安規範,而是先完成資產盤點、設備分類與網路盤查,從原本動輒上萬臺設備中,找出真正需要優先保護的邊界設備與控制系統,再進行安全管控。他也提醒,資安法屬於通法,醫療器材管理法才是醫療儀器的專法,當兩者有衝突,仍應以專法優先。

IT講究機密性,醫療OT更重視「可用性」

張韶良目前擔任亞東紀念醫院、秀傳醫療體系與羅東博愛醫院醫工顧問,同時也是中華民國生物醫學工程學會資安委員會主委。他花了不少篇幅解釋IT與OT的本質差異,因為在他看來,這個誤解,正是醫院推動OT資安最大的阻力。

他指出,傳統IT資安遵循CIA三原則,也就是機密性(Confidentiality)、完整性(Integrity)與可用性(Availability),其中多數IT系統,常把機密性放在第一順位,例如透過多因子驗證、複雜密碼、閒置逾時登出等機制,確保資料不被未授權存取。

但在OT環境裡,排序並不相同。「在OT的世界,可用性最大。」

張韶良指出,對醫療現場而言,設備能不能持續運作,比能不能登入更重要。當資訊系統發生異常時,設備至少必須先能用,才能維持臨床診療不中斷。

他也給了一個簡單的判斷框架:在IT世界,密碼是門神;但在OT世界,若過度要求密碼,反而可能變成擋住救命的牆。醫療OT的核心追求,是持續營運(Business Continuity),而不是存取控制。

病安不等於資安,高病安設備不一定有高資安需求

除了IT與OT的差異,張韶良也特別澄清另一個醫療圈常見的誤解:病人安全(Safety)並不等於資訊安全(Security)。

他解釋,醫療領域談的Safety,指的是設備本身設計、故障或使用過程中可能對病人造成的風險;Security則是來自外部惡意攻擊,例如駭客入侵、未授權存取或惡意操控。

「高病安不等於高資安。」張韶良說。

他舉例,像內視鏡屬於高病安風險設備,因為會直接侵入人體;但如果設備本身沒有電腦,也沒有網路介面,資安風險未必高。反過來,一臺接上院內網路的行政電腦,即使與病人沒有直接接觸,也可能因為暴露在網路環境中,而成為更高的資安風險來源。

做好醫院OT資安,第一步是盤點、縮小範圍

談到實務落地,張韶良認為,醫療儀器OT資安最大的迷思,就是認為每一臺設備都要做同樣等級的防護。

但真正的第一步,恰恰是先盤點、縮小範圍。

他指出,衛福部目前定義的「資安列管醫療儀器」有4個條件:設備不只要位於院區內,還必須具備院內網路或網際網路連線能力、具網路位址追蹤性(非DHCP),並且需要與醫療資訊系統(HIS)、影像儲傳系統(PACS)等醫療IT系統交換資料或上傳資訊,才屬於優先列管的範圍。

透過這些條件篩選,一家醫學中心原本超過2萬臺設備,可以先縮減到約200臺;再從中找出真正負責資料交換或設備控制的核心節點,最後真正需要優先防護的,往往只剩10到20臺。

真正要保護的是邊界主機,不是每一臺終端設備

那這10到20臺設備,究竟是什麼?

張韶良指出,它們通常不是病房裡每一臺超音波或監測設備本身,而是位於網路邊界、負責對外交換資料的邊界主機,或是負責管理多臺終端設備的控制系統。

例如,在加護病房裡,一套中央監測系統可能同時串接數十張病床,但真正把資料上傳到院內資訊系統的,往往只有中央主機;電腦斷層掃描(CT)、MRI等大型影像設備,也通常由單一控制主機整合影像與診療資料,再上傳到PACS或HIS。

張韶良用老鷹抓小雞比喻:「當老鷹要抓小雞的時候,是誰在幫它擋?是母雞在幫它擋。」

換句話說,真正該優先強化的,是這些資料出口與控制節點,而不是讓每一臺醫療儀器,各自承擔相同的防護成本。

資安法是通法,醫療器材管理法才是專法

在法規架構上,張韶良也提醒,醫療OT和一般企業IT最大的不同之一,在於它不只受《資通安全管理法》規範,還同時受到《醫療器材管理法》等專法約束。

「當通法與專法衝突的時候,要以專法為優先。」他說。

換句話說,即使IT團隊熟悉資安法的治理框架,也不代表能直接把同一套邏輯套用到醫療儀器上,因為醫療設備本身還有另一套專屬的法規、驗證與風險管理機制。

張韶良指出,衛福部目前將醫院資通系統大致分成三類進行管理,分別是一般資訊系統(IT)、醫療儀器系統(Medical OT),以及水電、消防、門禁、電梯等其他支援設施。三類系統各有不同的風險評估方式與防護要求,第一步都必須先完成資產盤點與可視化。

在治理流程上,醫院也必須依照資安法要求落實PDCA循環,也就是年初提出資安維護計畫,年底提交執行成果,若期間發生資安事件,還必須同步完成通報與後續改善。

此外,醫院也會依規模與角色被賦予不同責任等級,其中醫學中心多被列為A級,重度責任醫院與區域教學醫院則多屬B級,對應不同等級的防護要求。

張韶良也提到,衛福部針對醫療領域制定的資通系統資安防護基準,內容涵蓋10個控制構面、36個控制目標,以及78項控制措施,相較一般IT常用的附表十,多了3個控制構面,內容涵蓋網路架構、識別鑑別、營運持續,以及系統通訊防護等更貼近醫療OT場域的控制要求。

除了設備本身,近年法規修正的另一個重點,則是委外廠商管理。張韶良透露,資安署與衛福部近年盤點資安事件後發現,不少問題與委外人員管理有關,因此今年後續的稽核重點,預計也會朝這個方向加強。

最後建議:先規畫網路,再談設備防護

談到實務建議,張韶良最後將重點放在網路治理。

他認為,不需要每臺儀器各加一套防火牆。若20臺設備各花3萬元加裝防火牆,光設備成本就超過60萬元,後續還得持續維護防火牆規則、韌體版本與稽核設定,管理成本也會愈來愈高。

相較之下,若從全院視角重新規畫網路架構,透過網路分段、OT網域隔離,以及邊界設備集中治理,往往只需10多萬元,就有機會達到更好的防護效果。

「網路規畫好,IT、OT不煩惱。」在張韶良看來,醫療OT資安沒有絕對標準,也不是花錢就能解決,但只要從正確的地方開始,醫院就有機會用有限資源,把真正的高風險節點先守住。

View original 0 Likes 0 Boosts

Comments (0)

No comments yet.