洪立萍/ 發布日期：2018/11/09/ 瀏覽次數：76

隨著醫療物聯網、數位健康醫療的普及，醫療照護與公共衛生之關鍵基礎設施的網路安全威脅日趨遽增。2017 勒索軟體WannaCry對英國國家衛生局(NHS)發動攻擊，英國多間醫院受到影響，有醫院甚至因而取消病患手術或緊急將病患轉院。網路攻擊可能延誤臨床護理程序，進而導致對於病患生命的危害。醫療設備網路攻擊的防禦及應對措施通常需要數個不同單位的共同合作，包括：醫療服務機構、醫療器材製造商、食品藥物監管機關、健康資訊管理分析與流通中心、地區性衛生單位、國家衛生行政主管機關、國家安全主管機關。

由於網路攻擊具有不可預測性，且在初期階段，資訊經常是不充分或不正確的，事件發生時將可能導致相關單位危機處理程序混亂、延誤應對等。為此，美國食品藥物管理局FAD與安全顧問機構MITRE於今年十月聯合出版了「醫療器材網路安全：區域攻擊事件與應對手冊」(Medical Device Cybersecurity: Regional Incident Preparedness and Response Playbook)，藉以協助醫療服務機構建構一套安全防護執行準則。

在增進硬體設備的建置與管理方面，該手冊建議「資安防禦系統應列為醫療器材購置的主要項目，其新增與定期維護的經費應納入各機關財政支出規劃的重點。」此外，醫療器材資產清單應包括網路連結系統、功能連結系統等完整資訊，以確保在緊急狀況發生時，可即時移除受損設備並迅速更換備用裝置。

在各單位的協調合作與溝通方面，該手冊建議應「成立醫院危機管理小組(Hospital Incident Management Team)」，將醫療技術人員與資安人員列為主要成員，並建立緊急處理程序計畫，明確訂定包括判定資安攻擊事件發生的準則、啟動應變措施的時程等。而為了在危急時刻進行對內與對外的有效溝通，應建置危機應對溝通計畫(Incident Response Communications Plan)，規劃危機處理程序並進行權責分配，其中包括確認緊急對內與對外的聯絡網絡、需要公開或告知的事項、檢驗攻擊事件是否擴散的準則、依危害狀況訂定應對措施優先順序，以及對外尋求協助的管道等。

此外，醫療器材製造商亦應將其產品遭受攻擊之資訊告知其顧客群與使用者，以此示警。而對器材使用者危機意識的培養，以及藉由定期模擬危機事件的發生以評量應對能力皆能增進防禦準備。