醫療機構發生資安事件將面臨國安級威脅,根據資料顯示2019年有超過兩成以上的企業遭遇50次以上資安事件,而有42.4%的資安事件使業務或醫療服務中斷,易造成病患生命安全危險或個資洩漏問題,2020年Q1勒索軟體威脅事件更是比去年同期暴增48%。近年有許多駭客鎖定關鍵基礎設施發動網路攻擊,造成民生服務大規模中斷事故,醫療機關該如何有效因應呢?
醫療機關面臨的資安問題與威脅
・ 系統架構與設計方式老舊,安全性不足,內網防護相對外網薄弱
・ 帳號共享問題,未設置資料讀寫權限
・ 面臨勒索軟體攻擊,造成服務中斷及被勒索贖金的情況
・ 病患個人資料外洩疑慮
近期醫療機構面臨的資安事件,主要包括了未經授權的非法存取、網路連線中斷、系統當機、惡意程式感染等。研究報告顯示有近八成攻擊是無法由防毒軟體偵測,必須了解醫療內網架構,執行隔離網域及掌握軟硬體帳號情資等,以建構基礎的資安防護體系。
・ 接入設備合規檢查
・ 非法外來設備控管
・ 自動化檢查IP、MAC、電腦名稱、 AD帳號、Switch、Port、GPO、OS補丁、病毒碼更新、應裝軟體、禁用軟體、漏洞檢查、惡意程式
各級醫療機構保有諸多個人資料,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏;為達到此目的,必須做到設備安全管理,建立資料安全稽核機制,完整保存使用紀錄、軌跡資料及證據,和持續改善個人資料安全維護之整體制度。
第二章第18條
公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
第四章第28條
公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
個人資料保護法實行細則
公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
⋯⋯
八、設備安全管理。
九、資料安全稽核機制。
十、使用紀錄、軌跡資料及證據保存。
十一、個人資料安全維護之整體持續改善。
・ 提供IP/MAC與電腦名稱/資產屬性綁定功能,完整記錄IP使用資訊
・ 確認使用者身分,設定資料存取權限,並記錄上下線時間
・ 強迫登入AD帳號,確保完整套用GPO政策,防止安全漏洞
・ 紀錄完整Switch/Port使用路徑,迅速查找使用設備
・ 強迫終端設備安裝DLP軟體、防毒軟體,減少資料外洩的機會
・ 軟跡資料搜集採用AES-256資料庫完整加密備份保存5年以上
資訊應依法規要求、價值、危害性與對未經授權的揭露或修改之敏感性觀點予以分類。應依照組織所採用的分類法,發展與實施一套適當的資訊標示程序、資產處置程序、可攜式媒體管理之程序;媒體不再需要時,應使用正式程序加以安全地汰除;應保護含有資訊的媒體在傳送期間,不受未經授權的存取、誤用或毀損。
初次受核定或等級變更後之一年內,完成各項資通安全防護措施之啟用,並持續使用及適時進行軟、硬體之必要更新或升級。
・ 整合模組功能符合多項ISO 27001標準,降低建置所需成本
・ 提供防毒軟體、病毒碼更新與安裝檢查,並可介接多項資產軟體與WSUS資料庫,強迫不合規電腦進行更新
資訊應依法規要求、價值、危害性與對未經授權的揭露或修改之敏感性觀點予以分類。應依照組織所採用的分類法,發展與實施一套適當的資訊標示程序、資產處置程序、可攜式媒體管理之程序;媒體不再需要時,應使用正式程序加以安全地汰除;應保護含有資訊的媒體在傳送期間,不受未經授權的存取、誤用或毀損。
・ 提供IP資產分類
・ 自動產生軌跡資料
・ 提供IP使用紀錄、系統操作紀錄
・ 提供IP保護機關的重要資料,防止資料遺失、毀壞及被偽造或竄改
含以下幾個項目:存取控制政策、網路與網路服務的存取、使用者登錄與註銷、使用者的存取配置、特權的管理、使用者的機密授權資訊之管理、使用者存取權限的審查、機密授權資訊的使用、資訊存取限制、安全之登入順序。
・ 提供准入控制及私接設備管理、違規政策異常事件報表
・ 提供IP/MAC綁定管理、IP/MAC時間管理、MAC/硬體指紋綁定管理
・ 提供身分驗證機制
・ 提供白名單管理,並擁有時間配置
・ 提供IP例外、MAC例外機制
・ 提供AD管理,應加與未加AD管理、AD退網域管理、上線資訊,可設定內外網權限
・ 提供管理、使用者、觀察者權限