[觀點] 談醫療資訊的安全防護

對於現今的醫療業者而言，資訊系統的應用已扮演了非常重要的角色，除了能提供有效率與高品質的醫療服務之外，也提供了更多生命安全的保障，因此，如何確保醫療資訊的安全，已成為醫療業者無法忽視的重要課題。

在2009年3月，香港聯合醫院一位醫師，遺失了存有47名病患個人資料的隨身碟，引起了相關單位的重視；2009年5月，美國加洲柏克萊醫療中心的資料庫，遭到駭客入侵，竊取了相當於身分證字號的社會安全卡號和健保資訊，估計有近16萬人受到影響；2009年11月，台大醫院發生了近年來第2次的電腦當機事件，造成掛號、病歷查詢和領藥系統的失效，影響上千名病患的就醫權益，幸好未造成延誤就醫而影響生命安全的事件發生。

今日醫療業者所面臨的挑戰，包括了就醫品質、病患照護、病患安全及法規要求等各個層面，而透過了醫療資訊科技的運用，可有效協助業者因應各項問題，像是就醫資訊提供、網路掛號、遠端醫療、電子病歷等，除了可以降低醫療疏失的發生機率，也能同時降低營運的成本，並提升民眾就醫時的滿意度。

近年來，隨著醫療資訊安全和個人隱私的保障要求，行政院衛生署在2003年6月啟用了醫事憑證IC卡，藉由其提供的資料加密和簽章機制，可確保醫療資訊的機密性、完整性和不可否認性，避免醫療資訊遭受不當的竄改和偽冒。

另外，在政府對於電子病歷的強力推動之下，在已制定的「醫療機構電子病歷製作及管理辦法」中，亦明定電子病歷僅能開放給經過認證與授權的人員使用，對於資料的內容只能以附加方式處理，而不得任意直接修改或刪除已確認之病歷資料，同時也必須結合電子簽章之技術，以達到可確認原製作之醫療單位與醫事人員的身分，供後續的追蹤查核之用。

醫療資訊安全的目標

資訊科技的應用如同水能載舟、亦能覆舟一般，如果資訊的傳遞未受到良好的防護，或是忽略了處理資訊等相關系統的可用性，就可能導致一連串的問題發生，其中，尤以醫療資訊的外洩影響層面最廣，目前，一般民眾的醫療資訊內容包括：

• 基本資料 - 包括姓名、性別、出生日期、身分證字號、通訊地址、電話、病歷號碼等。
• 就醫記錄 - 看診科別、掛號日期、診治醫生等。
• 醫囑事項 - 診斷記錄、用藥明細、病況摘要、治療方式等。
• 檢驗報告 - 檢查項目與報告、病理檢驗報告等。
• 護理記錄 - 住院記錄、給藥過程記錄等。

目前，大多數的醫療院所仍以紙本方式保存醫療資訊居多，而未來隨著電子病歷的推動，一旦資訊轉變成為電子化的狀態，就會具備更容易傳遞、複製、修改等電子化資料的特性，所以如何去確保資訊的安全就顯得更加重要，相信沒有一個人會願意自己的醫療資訊被任意查閱且曝光。

因此，對於醫療業者而言，保護醫療資訊安全的主要目標就是為了：

1. 保護病患醫療資訊 - 醫療資訊為重要的個人隱私，如果遭到不當洩漏，除了會影響病患的身心、名譽和權益之外，更有可能為其家屬造成傷害，因此必須加以妥善的保護。
2. 減少醫療過程疏失 - 醫療資訊的正確與完整性，涉及病患的生命安全，如果醫療資訊受到不當竄改，或是因人為疏失造成資訊錯誤，將會導致像是用藥失誤、診斷錯誤等重大醫療事件發生，所以唯有確保醫療資訊的安全，才能適供適當且正確的醫療服務。
3. 確保醫療服務持續提供 - 持續為民眾提供適當的醫療服務，是穩定國家與社會發展的重要力量，如果醫療服務因為資訊系統受到資安事件的影響而停擺，可能會引發社會大眾的恐慌，進而引發更多的社會問題，因此應由政府予以監督及協助。

醫療資訊的安全原則

就個人的觀察，針對醫療業的資安威脅來源，和多數的組織並無太多的差異，主要仍是來自於天災、人為與技術失效的事故。在天災方面，由於醫療院所負有眾多生命的安全保證，因此在火災、風災、地震方面多半已有良好的應對措施，需要加強的是人員的訓練與定期的災難演練。

至於人為事故方面，因為醫療業需要保護的資訊本身，比一般企業的資訊來得敏感，因此需要所有醫護人員都具備基本的資安意識，以保障病患的醫療隱私，所以在作業程序上，可依照衛生署「醫療資訊安全與隱私保護指導綱領草案」中的指導原則來進行，簡要說明如下：

1. 最小需求與合理範圍之最大安全原則 – 若醫療機構或醫事人員需要蒐集、使用或揭露病患的醫療資訊時，醫事人員必須盡可能地降低其範圍，也就是說，只收集必要且合理的資訊即可，並且必須盡最大努力去保護醫療資訊的安全。
2. 直接取得和不可揭露原則 – 醫療機構或醫事人員需要蒐集醫療資訊時，必須直接向病患或法定代理人詢問，避免由他人轉述病患的隱私。若未經病患的同意，也不得洩露和個人有關的醫療資訊。
3. 尊重及告知原則 – 醫療機構或醫事人員必須獲得病人或其法定代理人的同意，在自願的情形下才可蒐集、使用或揭露其醫療資訊。
4. 公平正義原則 – 病患的醫療資訊不可透過非法或不公正的方式蒐集、使用或揭露。
5. 符合法令法規原則 – 醫療機構或醫事人員對於醫療資訊的使用，必須要符合現行法令的要求，以避免觸犯法規。
6. 病患權利和公共利益保障原則 – 病患對於存放在醫療機構的個人醫療資訊享有一定之權利，醫療機構或醫事人員使用醫療資訊時，應以保障生命權和公共利益為原則。

醫療業的資安防護策略

根據過往的經驗，醫療資訊可能面臨的資安威脅，主要包括了未經授權的非法存取、網路連線中斷、系統當機、惡意程式感染等，因此在基礎的防護作法方面，建議採取以下的控制措施：

• 建置安全的網路 - 部署防火牆和入侵偵測系統，內部進行網段區隔等。
• 保護醫療資訊傳輸 – 遠端醫療資訊的傳送，應透過VPN加密方式進行，若提供醫事人員無線網路的使用，也應啟動WPA加密機制等。
• 弱點管理機制 – 針對醫事人員使用之個人電腦，應透過中央控管之防毒系統，統一派送更新病毒碼，針對作業系統所發布的弱點，也應及時或定期更新，以避免讓惡意人士有入侵的可趁之機。
• 身分認證機制 – 可利用醫事人員憑證或自行建置之身分認證系統，進行醫療資訊的存取控制。
• 監督審查與事件管理 – 進行日誌(Log)集中保存，並且檢視追蹤可疑的事件。

至於整體的資安防護策略，目前已有醫療院所導入ISO 27001資訊安全管理系統，這是相當值得鼓勵的地方，顯示醫療院所的管理階層，已經體認到資訊安全對於營運的重要性。因此在管理方面，除了可藉重ISO 27001的控制要求，最重要的是醫療業者需要自行評估目前所面臨的風險為何，必須要將重點放在保護每天產生與傳遞的醫療資訊上。舉例來說，如果醫療院所還是以傳統的紙本病歷居多，那麼在病歷室的門禁管理、病歷查詢的權限控管、病歷資料的傳遞儲存與銷毀等方面，就會是資安管理的重點。

其次，則是思考如何避免因為資訊系統的故障等資安事件的發生，所導致的醫療服務與營運中斷，換句話說，對於資安事件的應變與危機處理，如果能夠及早準備並定期進行演練，將可大幅減少醫療服務中斷對於民眾和醫療院所的衝擊，對管理階層來說，其效益除了能降低營運損失，更可維護醫院聲譽。

最後，雖然國內仍缺少如美國保障醫療隱私的HIPAA(Health Insurance Portability and Accountability Act)法案，但未來必須符合資訊相關法令法規的要求(例如個人資料保護法)，將會是醫療業者應盡的責任。如果能夠及早從管理制度開始著手，透過醫療資訊標準作業流程的建立，讓醫事人員皆能體認保護醫療資訊安全的重要，相信就能為民眾帶來更完善的醫療品質，以及更讓人安心的就醫服務，也不愧對濟世救人的天職。(本文刊載於2010年3月號網管人雜誌)

[觀點] 網路購物業的資安防護策略

隨著各種網路購物的詐騙與惡意攻擊行為仍層出不窮，網路購物業者如果缺少適當的防護對策，本文可作為管理人員與資訊人員的參考。

根據資策會產業情報研究所(MIC)的調查顯示，由於2009年發生多起的網路購物資安事件，如何去確保交易資料的安全性，已成為台灣網友認為網路購物需要改進的前三大項目之一。目前，已有83%的業者提供了簡易的線上交易付款機制，也有將近九成的業者認同保護網路購物交易安全是吸引消費者的重要判斷依據，並且將有助於銷售業績的提升。

不過，截至目前為止，由網路購物所引發的資安事件依舊層出不窮，例如2009年年底有消費者在購物網站消費之後，隨即接到詐騙集團的電話，因此懷疑業者將消費購物時所填的個人資料外洩。而某網路書店業者，繼前年發生六千多筆的會員資料外洩之後，也再次發生消費者在購書之後兩週內，接到詐騙集團電話要求至ATM取消分期手續，因此而損失三萬元存款的事件，讓人質疑業者內部的資料控管仍存有很大的漏洞。

針對網路購物的安全，MIC更進一步指出，網路購物業者必須將「交易安全」視為重要的營運議題，因為日後在消費者期待交易安全將有所改善的情況之下，網路購物的交易安全也將愈來愈受到重視。

網路購物面臨的資安威脅

記得從2007年開始，在全球各地都發生了網站資料外洩事件，其中以網路購物業的災情最為嚴重，以當時台灣的前十大網路購物業者來說，有一半都傳出因為消費者的個人資料外洩，而導致一連串的網路詐騙行為發生。根據刑事警察局的統計，光是2007年1~8月所累計的詐騙金額，就超過了三億一千萬，受騙的人數也將近一萬人，其中大多數都是因為網路購物的個人帳號與交易資料外洩所引起。

目前，網路購物業者所面臨的資安威脅，最常見的有下列幾項：

1. 阻斷服務攻擊 – 惡意人士透過已受到木馬程式控制的電腦所形成的殭屍網路(BotNet)，在很短的時間內針對購物網站發送大量連線封包，使得網站伺服器無法處理同時湧入的連線要求，造成交易服務的中斷，消費者無法連上網站進行購物。
2. 惡意程式攻擊 – 如果網站業者缺乏資訊安全防護機制，很容易就會被惡意入士在網頁中植入惡意連結，使得瀏覽網站的消費者會自動下載執行病毒和木馬等惡意程式，造成個人隱私資訊包括登入帳號、密碼、信用卡號等被竊取外洩。
3. 偽冒攻擊 – 惡意人士以網路釣魚的手法，假冒網路購物業者對其會員發送偽造的郵件，藉此騙取會員的帳號資料以行詐騙。另外，惡意人士也會利用竊取的信用卡資料進行購物消費，使業者無法收取款項而蒙受損失。
4. 連線竊聽 – 如果購物網站業者未使用像是SSL的安全機制網路連線，當消費者在不安全的網路環境中進行購物，惡意人士可伺機竊聽網路交易的封包，進而獲得雙方交易的資訊。
5. 人員破壞 – 若業者內部員工未經適當的篩選與管理，並且缺少適當的資訊存取控制措施，惡意員工可能會盜賣客戶資料，或是針對系統進行破壞，進而影響網站所提供的購物服務。
6. 系統入侵 – 惡意人士可能利用網路或主機系統的安全漏洞，透過駭客手法入侵系統，藉由提高其帳號權限，可進一步取得敏感的資訊，或是針對系統埋藏後門，以便進行更多的破壞。

針對購物流程加強防護

對業者而言，如果發生了資安事件，單一的交易損失或許不大，但是當事件經由媒體的報導之後，若讓消費者產生了疑慮，勢必對業者的商譽造成更大的衝擊，可能更讓許多人因此而不願意在該網站上購物，後續的損失可說是難以估計。

針對網路購物的安全，國際信用卡發卡組織VISA的調查指出，有六成的消費者是透過網站是否有良好的安全系統、業者是否願意免費退貨、是否提供消費者信用卡不被盜刷的保障，作為判斷網路購物是否安全的依據。而消費者進行網路購物時最怕碰到的三件事，首先是業者不當使用消費者的個人資料，其次是將消費者的個人資料和信用卡號外洩，最後則是業者受到未經授權的駭客入侵。所以，為了確保營運與獲利，業者應重視網路購物的安全，以保障消費者的權益與信心。

那麼，業者到底該如何保護網路購物的安全呢？最簡單的方式是，我們可以從網路購物的流程，來一一探討並預防可能會發生的資安問題。現今一般的網路購物流程為，消費者在瀏覽器上輸入網址或點選連結之後進入購物網站，然後選擇想要購買的物品，接著需填寫個人資料並進行付款，若是以信用卡進行線上交易，則由業者的系統連結銀行線上交易系統完成付款，最後業者再依照購物明細寄送商品給消費者，讓購物得以順利完成。

從以上的購物過程中，我們就可以從幾個方向來著手，首先，為了確保消費者連線至網站的過程中，資料不會遭到竊聽，因此業者應採用128位元以上的SSL連線加密機制，以確保資料傳送的安全。接著，消費者在網站上所填寫的資料，除了必要的會員資訊之外，業者不應保留消費者的信用卡號等資料，若是有特殊狀況需要保留者，則應事先對消費者說明，並且將敏感資料進行加密，同時進行資料存取的權限管控。

此外，如果購物網站提供了線上刷卡機制，建議應進一步和信用卡公司合作，啟用個人密碼驗證服務，讓使用者在購物時，除了填寫信用卡號之外，還需要輸入個人密碼，以確認的確是由持卡人進行消費，或是也可以利用手機簡訊發送一次性密碼至持卡人手機，要求持卡人輸入簡訊中之密碼，以確認為本人進行消費。

在消費者完成信用卡付款之後，業者就會進入貨品遞送的服務流程，若是外包給第三方的物流業者協助進行，那麼在購物資料的保護上面就要注意，基本上，應該讓物流業者只能獲得購物者的姓名、地址、連絡電話，其他包括購買物品名稱、價格、購買日期、總金額等資料皆應保密，因為這些資料並不會影響貨品的遞送，也就不需要交給物流公司，否則反而會增加個人資料外洩，受到詐騙集團利用的風險。

定期檢視並改善安全措施

關於網路購物的資訊安全，站在業者的角度來看，個人認為主要有三大影響要素，分別是「人員」、「資訊」和「技術」。人員面是指內部人員的作業疏失或擅自揭露客戶資料；資訊面則包括網站未使用加密機制、網頁內容受到惡意竄改；技術面則為網路遭受阻斷服務攻擊、網站應用程式有安全漏洞、網站伺服器缺少安全防護等。只要其中有任何一項因素沒有加以注意，那麼業者很容易就會發生資安事件而登上媒體版面。

因此，建議業者利用以上提到的安全檢視方法，先從作業流程來著手，找出可能的安全問題，以及是否存在安全漏洞。當然，各家業者的作業方式都不會相同，也就需要由業者本身針對既定的作業流程中，可能會觸及到敏感資訊的人事物，一一地作安全的清查與確認。如果流程方面沒問題了，再針對人員的訓練、資訊的保護、技術的加強，來進一步提升資安的防護。

所以，網路購物業者的資安防護策略到底是什麼？簡單的說，就是要找出網路購物流程中，可能存在的安全弱點，以及會利用弱點而造成傷害的威脅，然後實施對應的控制方法來減少弱點並降低威脅，將資安風險降到可接受的程度。最後還要注意在這個過程之中，千萬不要忽略了內部人員的安全訓練，資料的傳遞保護，以及資安技術的防護，如果能夠確實控管資安風險的話，相信對於網路購物業者，將會創造更多商機，同時建立起消費者的信心與口碑。(本文刊載於2010年2月號網管人雜誌)

[觀點] 勇敢迎接2010資安新挑戰

2010年已過了一半，對於資安工作而言，計劃、執行、檢核、改善是一個循環的管理過程，在這個過程之中，企業必須先有穩健的基礎，才能因應處理不斷產生的新挑戰。

回顧2009年，世界各地和資訊安全有關的事件，在媒體上的報導是從未間斷過，無論是個人資料外洩、殭屍網路(Botnet)、垃圾郵件、惡意網站、網路釣魚、拍賣詐騙等，受害者不計其數，對於國家和社會都有著一定程度的影響。

根據各家資安業者的預測，在2010年主要的資安威脅，大致有以下幾種：

1. 殭屍網路持續肆虐：Botnet木馬程式在網路上不斷散布，難以根治並且潛伏在使用者的電腦之中，待有心人士一聲令下，即可發動大規模的網路阻斷服務攻擊。
2. 雲端運算的風險增加：雲端運算需要依靠網路連線來進行，隨著各種雲端應用服務的增加，惡意攻擊者可能會入侵操控雲端連線，或是破壞雲端資料儲存中心，造成雲端應用服務的中斷。
3. 社交網路成為資料盜竊工具：隨著Facebook等社交網站的盛行，使用者在社交網路中所揭露的資料，很可能被收集起來另做他用，惡意人士可藉此來冒用身分，和同一社交圈的人士溝通交流，以騙取更多有用的資訊。
4. 區域性與特定目標攻擊升溫：全球性的病毒感染機會將降低，但隨之而來的卻是區域性的攻擊增加，惡意人士將鎖定特定企業或對象，以目標式的攻擊來獲取其不當利益。
5. 惡意程式的變形攻擊：惡意程式的變化速度加快，只需幾小時就可衍生出其他的變種，這也代表傳統防毒程式依賴更新病毒碼的防護能力將大幅降低，若是使用者在網路上瀏覽已遭植入惡意連結的網站，很容易就會自動下載並感染到惡意程式。
6. 網路釣魚的機會增加：ICANN網際網路網域名稱與位域管理機構已開放國際網域名稱的註冊，也就是說網域名稱之中可使用非拉丁語系的字元，所以惡意人士可以使用看起來相似或無法分辨的網域名稱來製作陷阱，讓使用者一時無法察覺而受害。

資安沒有魔法，只有基本功

面對不斷變化的資安威脅，身為網路管理者的你，究竟該如何因應呢？在此借用一句企業管理上的名言：「No magic, only basic.」是的，資安工作真的「沒有魔法，只有基本功！」個人相信沒有一個業者敢銷售給你一套資安產品解決方案，然後告訴你從此可高枕無憂，再也不會發生任何資安事件。

所以在新的一年，想要降低企業的資安風險，最好的方式就是回歸基本，確實將基礎的資安工作做好，才能有餘力去應對更新的資安威脅。針對基礎的資安防護工作，以下幾項重點可作為在執行資安工作時的參考。

預防來自內部的人員攻擊

一般而言，小型企業發生內部人員攻擊的比例不高，原因是同事之間彼此都已相當熟悉，所以較少發生有人假冒身份進入工作區域，並趁機竊取敏感資訊的事件。但是對於員工人數與部門數量較多的中大型企業而言，仍要注意防範可能的人員弊端。

建議防治的方式為進行敏感資料的存取控管，依照不同的職務身份賦予適當的權限，避免所有權限都集中在一人之手。另外，也要盡量減少可能受到利用的安全弱點，例如實施網段區隔，讓研發單位和人事單位的網段和一般員工分開，以避免透過網路存取到敏感資訊，以及在機房實施門禁管制等。還有，應教育員工不可分享或洩露個人所使用之密碼，離開座位時將工作文件放置在上鎖之抽屜中，個人電腦要啟動已設定密碼之螢幕保護程式，並且禁止訪客進入工作區域，這些都是基本且必要的防護措施。

減少可能的網路安全弱點

在企業環境中，可能有為數眾多的網路路由器、交換器、防火牆等網路設備，許多設備在出廠時預設會開啟許多功能，甚至強調不需要更動組態即可上線使用，這種方便往往會造成安全上的漏洞。

建議網管人員應在設備上線之前去檢視其組態是否安全，例如預設的管理帳號與密碼是否已更改，未使用的功能模組是否關閉，不需要啟動的連接埠是否關閉等，以確保不會受到惡意人士的利用。在設定管理者密碼時，也要注意密碼的長度與強度，更要避免所有設備皆使用相同的管理密碼，以避免整個防線一次就潰堤。

如果是網路環境相當複雜的企業，建議定期進行網路弱點掃瞄或是滲透測試，以找出可能隱藏的安全漏洞，若網管人員熟悉一些檢測工具像是Nessus或Nmap，可以藉此來產出網路弱點的報告，如果缺少適當的人員可執行，也可以委由外部廠商和顧問，協助執行並提供可行的消除弱點安全建議。

清查行動裝置的安全性

若企業有許多行動工作者，經常需要在外使用筆記型電腦進行作業，在新的一年正好可進行健康檢查，確認作業系統的更新檔是否已安裝、防毒軟體版本是否過舊、病毒碼是否每天進行更新、個人防火牆組態是否正常、是否設定開機密碼、機密檔案是否加密等。

如果行動裝置的數量過多，建議可透過群組原則的設定，強制使用者電腦在登入企業網路時必須更新系統和病毒碼，並且也要讓使用者可任意關閉防毒軟體的功能失效，以避免在外時有意或無意將安全軟體關閉，讓惡意程式有機可趁。

另外，針對行動工作者應定期進行教育訓練，宣導應注意的安全事項，例如使用無線網路時，勿選用來路不明的基地台，最好選用具有加密或認證機制的無線網路服務提供商；若需要傳輸敏感資訊時應使用虛擬私人網路(VPN)；在外使用筆記型電腦和USB隨身碟，應小心防護避免遺失或使用檔案加密機制等，以減少可能的安全風險。

檢測網站應用程式的安全

目前，網站受到入侵並放置惡意程式連結的事件已時有所聞，因此歲末年終針對現有網站進行安全清查是必要的，基本上建議可以從兩方面來著手，首先是網站伺服器本身的強化，確認作業系統已安裝必要的修補檔、伺服器軟體已進行更新、未使用的連接埠及服務皆已關閉等。其次則是針對網站應用程式進行檢測，可利用弱點掃瞄工具或是原始碼檢測來進行，確保針對常見的網站攻擊手法像是SQL Injection等已具有免疫能力。

如果是提供電子商務服務的業者，更要確認連線加密機制與身份認證機制是否完善，以保護線上交易資料的安全，必要的話，則建議安裝網站應用層防火牆，透過更深一層的封包檢測機制，來避免非正常交易的事件發生，更可同時抵禦常見的網路應用層的攻擊。

避免網路惡意程式的入侵

過去這一年，除了許多受到入侵而挾帶惡意程式的政府、教育和企業網站，再加上即時通訊和社交網站的大受歡迎，大幅提高了使用者感染惡意程式像是木馬、病毒、間諜軟體的風險，為了避免員工使用企業網路瀏覽非工作所需的網站，建議採取管理面與技術面雙管其下的作法。

在管理方面，可制訂並頒布網路的使用政策，清楚說明員工應避免的網路使用行為和違反時的處置辦法，先勸導再懲處會是比較容易令人接受的方式。至於技術方面，則是可以採取將不適當的網站加入黑名單來阻擋連線，或是採用網頁內容過濾方案，透過彈性化的設定來因應不同工作者的需求，並且可及時更新網站黑名單以阻擋新的惡意網站。

建立應變機制，有備而無患

許多企業在資安事件發生時，往往會顯得手忙腳亂，以檔案損毀為例，企業或許平常已有資料備份，但是當災難發生時，資料備份放置於何處？哪些資料該優先復原？復原的步驟如何進行？這些問題往往詢問起來，都找不到一個適切且完整的答案，最主要的原因就是企業缺少了災難應變機制，也就是在平時並沒有準備好有效的災難復原或營運持續計畫。

在駭客技術不斷翻新的今天，我們無法預測將會遭受何種攻擊，但是我們知道哪些是企業重要的營運服務和關鍵資料，因此針對重要的營運資訊，無論是存放在資料庫中，還是在老闆的電腦硬碟裡，針對資訊處理的過程和所使用的設備，都應該思考需要預先採取何種防護，如果連這一點思考都沒有的話，你的企業很可能就是下一位資安事件的受害者。(本文刊載於2010年1月號網管人雜誌)