AdvantechIOT
DForum0117
 

资安意识不提升 智能医疗风险大

  • 洪千惠

资安问题一直是企业建置网络时的必要设计,不过在此同时,网络攻击、病毒侵袭的事件也从未停止,为此无论是系统建置商或企业本身,均不间断的强化系统安全。近年来智能医疗概念崛起,多数医疗院所均已有导入相关系统,不过多数医疗系统的资安机制并不健全。

Palo Alto Networks资安顾问蓝博彦指出,智能化IT系统除了与医院的营运有直接关系外,还有众多病患的个人资料,但医疗院所的资安仍有待加强。他以美国为例指出,根据Forrester Research的研究报告,2017年全美企业的IT系统中,安全技术的支出比例是27%,医疗产业则只有22%,而不仅美国,全球的医疗系统在这方面的投资也都不足。

 点击图片放大观看

Palo Aito的Traps系统链接终端与云端平台,提供完善的智能医疗资安服务。

从系统设计面来看,智能医疗系统是以物联网为主要架构,将院内的设备尽量与子系统连结,子系统彼此之间再视需求集成,因此在第一层架构所触及的联网设备相当多,再加上包括医院在内的公共场合,多会提供Wi-Fi网络以便入内的民众上网,这内外两大部分的连网设备,让系统资安风险大增。蓝博彦表示,此一状况不仅发生在台湾,大陆也面临同一问题,近年大陆的医疗产业也积极导入智能医疗系统,而在大量连网且系统彼此串接集成的态势下,系统的管理难度不断提升,安全隐忧逐渐增加。

蓝博彦指出,现在智能医疗系统对于资安管理有三个痛点。首先是系统触及的层面过广,导致风险遽增。在功能多元化的概念下,现在系统必须与大量设备连结,除了医院内部外,往往还会与外部系统(例如远程照护的生理监测装置、设备或系统供应商)等连结,资料在内外系统中不断流动,而且还必须可随时被读取应用。然而即使与过往相较,现在数据的应用模式已截然不同,但多数使用者的行为仍未改变,并未意识到其使用方式将导致资料外流。

第二是扁平化架构容易让伤害扩大。为求管理效率,现在多数医院将组织扁平化,而在没有纵向的分隔管制下,只要有单点设备被突破或受感染,灾情就会快速蔓延,在短时间内造成重大损失。

第三则是架构复杂,病毒难以被察觉。2015年美国与德国的医疗系统都曾被病毒攻击,而根据后来调查,其病毒潜藏期长达1年,由于医疗系统日趋庞大且复杂,病毒只要未启动,系统非常难以侦测,这也让整体系统的风险大增。

要提升医疗系统的资安等级,蓝博彦认为必须从防御、侦测、控制/修复等三个流程着手。他以Palo Alto Networks的端点防护方案「Traps」为例指出,此系统在防御阶段可以控制受攻击的范围、缩短侦测及回应时间,并免除频繁更新;侦测部分则是集成端点状态并使之可视化,同时可有效找出系统威胁;至于控制/修复方面可在资安运行时不影响业务活动,并确保政策和相关修复的合理性。在Traps中,这三步骤并非线型流程,做完就结束,而是循环重复,让系统随时处于警觉状态。

相较于一般企业组织以赢利为目的,其风险影响主要为经济损失,医疗院所的业务不但直接关乎人体安全,还有庞大的病患隐私资料,系统一旦被侵入,有可能造成金钱难以弥补的缺憾,因此医疗系统的安全等级必须比一般企业更高。现在医疗产业也察觉到此问题的严重性,蓝博彦引用Forrester Research的报告指出,超过50%的医疗机构将在2018年增加安全支出,随著资安意识的抬头,近期内的医疗系统安全将快速提升,医病双方也会更有保障。

更多关键字报导: 信息安全 智能医疗(Digital Health)