不可避免的挑戰,近日衛福部揭露相關法規面的鬆綁動態,並指出H-CERT緊急應變中心架構初成形,且非公務機關的CI醫院指定作業即將完成。
2019-10-15發表. 以醫療資源結合資訊科技,所衍生出智慧健康、智慧醫療與智慧照護應用等,然而,相關的資安議題也是無法忽視的焦點,在最近一場智慧醫療研討會上,衛生福利部資訊處處長龐一鳴揭露了當前的資安挑戰與執行狀況。隨著醫療院所內的連網設備越來越多,從整個智慧醫療的架構來看,龐一鳴指出,背後的基礎就是電子病例(EMR)。因此,智慧醫療的兩大關鍵就是網路與電子病例的管理,而網路的資安問題,以及對病例的定義問題,將是焦點。對於智慧醫院的法遵議題,龐一鳴首先指出的是關於雲端、電子簽章法等法規的鬆綁,是國內目前正要解決的重點。像是在醫療機構電子病歷製作及管理辦法中,增加使用電子病歷之醫用軟體(AI、輔助診斷等),以及雲端運算服務規範,同時,針對一些子法規的修正與補充,也將因應醫療衛生環境變化與需求,進行函釋或推動修法等。特別的是,龐一鳴提及電子病例多元應用,是近年衛福部積極發展的面向。目前最新進展是,勞保職業災害與疾管署疫情調查,已經可以透過電子病例交換中心(EEC)來進行。而勞保方面未來還會持續擴充,他指出,因為有部分類似民間保險,過去勞保局調資料要付醫院費用,而在EC上的收費機制,目前將會與醫院方研擬。
國內CI醫院已有半數建置SOC在AI、雲端等議題,以及電子病例法規面之外,資安防護落實就是重點。以法規面而言,醫院就是依照資安法,從政策、管理與技術面來落實。在資通安全法管理架構方面,對於非公務機關的國家關鍵基礎設施(CI)醫院的指定作業,龐一鳴表示,正在進行中,最近就會完成。不過他也道破目前的管理問題,像是台大醫院是歸教育部管,而非在衛福部。目前,他們正以方法學決定那些是CI的醫院,包括中重度急救責任醫院、傳染病責任醫院,以及健保署、疾管署等,對此,衛福部也參考其他國家的作法,例如,在新加坡的醫療資安事件中,促使他們將納入學歷中心。他表示,在此架構之下,關於像是退輔會下的醫院、教育部、軍醫院,該如何納入聯防體系,將請行政院作最後裁定。對於衛福部在資安聯防工作政策的執行進度上,龐一鳴表示,2017年已建立跨醫院資安情資分享與分析的H-ISAC,今年則是建立緊急應變中心H-CERT,2020年將進一步建置資安監控中心H-SOC。以H-ISAC而言,至今年8月底止,CI會員共64家,一般會員106家,進階會員4家;對於H-CERT的執行現況,龐一鳴表示,在最近的資安事件中,這個緊急應變中心已經啟動,張貼各醫院的資安處理方式,但他也坦承該中心當時作用並不大,因為發展上還是初具規模的階段,已有架構但尚未確認。在未來架構上,衛福部將建立第二層監控分析的H-SOC,他們也鼓勵醫院建置SOC,並透過標準情資交換格式STIX/TAXII,並連接到友好國家的國土安全部,做到國際資安情資交換。特別的是,衛福部前一陣子針對現有64家被資安法列入CI的醫院,進行SOC建置情形的調查,結果顯示,目前有31家醫院建置SOC,其中有3家是自行建置,28家為委外監控,但也有一半的比例尚未建置SOC。最後,對於近期醫院資安事件的發生,目前衛福部也針對幾項問題提出改善建議,包括強化健保VPN管理,以及加強醫療資訊業者連繫,並強調對於承包商的管理要更加嚴謹。對於醫療資安聯防機制的架構,衛生福利部資訊處處長龐一鳴指出,當中將包括了資安訊息分享(ISAC)、緊急應變處理(CERT)和聯合監控(SOC)機制,今年H-CERT目前已建立初步架構,明年將完成H-SOC。