【iThome 2024資安大調查系列1】醫療業未來一年資安態勢大剖析

疫情過後，這幾年醫療業趁著核心HIS系統十年一次的升版需求，積極展開IT現代化，主管機關更大幅鬆綁了電子病歷上雲規定，推動醫療資訊服務業SaaS化，掀起了一波醫院上雲、擁抱雲原生技術的浪潮，但是，新核心、新架構、新技術，帶來了與傳統截然不同的IT複雜度和管理挑戰，也讓醫療業面臨更多樣化的資安風險考驗，醫療業今年的資安態勢，跟去年有很大的不同。

勒索軟體是醫療業未來一年最需要警戒的首要資安風險，4成醫院資訊與資安主管評估自己未來一年極可能發生，更有6成資訊與資安主管評估，一但發生，就會帶來衝大威脅，醫院意識到的勒索軟體衝擊威脅感，明顯比去年更高。不只勒索軟體，醫療業明年還得高度警戒兩項次要威脅，社交工程手段和來自駭客的威脅。尤其醫院對駭客攻擊的威脅感，也有不少醫院資訊和資安主管，比去年更擔心駭客攻擊帶來重大衝擊。

不只臺灣如此，過去一年，國際上，醫療保健業發生了多起重大資安事件，涵蓋了網路攻擊、勒索軟體攻擊和以第三方為跳板的攻擊事件，甚至出現了系統因勒索軟體當機而導致醫院營運停擺的重大災情。

今年第一季，羅馬尼亞多達1百多家醫院遭網路攻擊，主要原因是醫院服務供應商遭到Backmydata勒索軟體攻擊，而連帶影響了這麼多家醫院，去年底， 美國醫療保健業者Henry Schein也傳出遭遇勒索軟體BlackCat攻擊。更甚者，在去年年中，美國大型醫療集團Prospect Medical Holdings也傳出因為勒索軟體攻擊，旗下多家醫院IT系統停擺，急診、住院與門診業務受影響，這個集團有16家醫院，涵蓋三級醫療中心、教學醫院、行為健康機構、社區醫院與長期照護機構等，以及166個門診診所，聘雇逾1.1萬名醫生。部分醫院透露，因為系統當機，得改為人工紙本作業，甚至有醫院的醫療影像與抽血服務停擺，影響到病患的就醫。

另外，醫療個資外洩災情也有不少，而佛州醫療中心Tampa hospital在2023年中，也因勒索軟體攻擊，外洩了逾120萬名病患個資。另外，在法國，多家健康保險業者所用的兩家第三方支付服務Viamedis與Almerys，在今年1月時，遭網路攻擊而外洩了超過3,300萬名客戶的個資，相當於法國近半數的人口，當地的資料保護機構CNIL正在調查中。這是駭客透過第三方所發動的攻擊事件。

醫療業資安信心水準最弱，識別與偵測能力更是不及格

醫療業是各產業中，對自家資安能力信心最低落的產業。將資安信心水準分成5個等級，極有信心是100分，有信心80，大致有信心60分，只有一點信心40分，沒有信心是20分。以60分（大致有信心）為及格線，整體產業平均是67.1分，醫療業業的信心分數只有61.3分，只有在及格邊緣，分數是所有產業中最低者。

那一項資安防護能力最弱？進一步從NIST CSF網路安全框架2.0版的六大面向來看，治理（Govern）、識別（Identify）、保護（Protect）、偵測（Detect）、回應（Respond）與復原（Recover）。醫療業有兩項能力的信心特別弱，識別能力（59.2分）和偵測能力（59.7分），而且這兩能力的分數更是跌破了及格線，介於比一點信心好，但是還達不到大致有信心的水準。

在六項資安防護能力上，醫療業是各產業唯一一個出現不及格信心水準的產業，反映出他們在這兩項能力嚴重不足，不只比較沒有能力辨識和制定對策來因應未來可能遭遇的資安風險，也缺乏更強的偵測能力，可以快速發現遭駭客攻擊的跡象來阻斷攻擊。我們所繪製的這份2024～2025醫療業資安風險圖，正好可以作為醫院和藥廠資訊長和資安長未來一年資安布局和決策時的參考。

醫療業在2024年的資安預算平均約995萬元，高於一般製造業、高科技製造業和服務業，但是，這個預算比去年減少了8.7%。不過，導致醫療業者難以做好資安的最大阻礙因素是，資安人手嚴重不足的問題，超過66.1%醫院是這個原因所致，而且遠高於員工資安意識不足（46.4%）和預算編列不足的問題（46.4%）。今年有4成醫院想要招募更多資安人力，尤其是8成醫院都想要招募資安事件應變能力的人才，來強化自己偵測能力不足的弱處。威脅分析或鑑識人才、資安系統維運人才也是過半數醫院的招募重點。

醫院未來一年資安投資重點仍以員工資安訓練、基礎端點與網路防護、應用程式安全防護這三項為主。不過，今年每兩家醫院，就有一家不只要強化資安，更要展開資安轉型，採取主動防禦、零信任、資安左移等作法，約2成醫院今年要導入零信任身分與設備鑑別，約8.9%甚至要採用零信任網路分段。

臺灣曾在2019年時，發生過一起攻擊二十多家醫院的重大勒索軟體災情，政府近幾年大幅提高了對醫院的資安要求，更在資安管理法中將醫療業納入關鍵基礎設施中納管，這些作為的確大大提高了醫院對資安的投入和強化，但是，隨著醫院這兩年展開各項數位轉型工程，醫療業也得開始具備新世代的資安思維和能力。

醫療業未來一年高衝擊高風險資安威脅高達15項

整體來看，未來一年，醫療業在第一象限（高衝擊和高發生風險）的資安風險項目高達15項，是各產業中最多者，所面臨的資安威脅，有6項的發生風險與比去年明顯增加很多，更有8項資安威脅，今年比去年有更多醫院擔心帶來重大衝擊。

在今年的資安風險圖中，我們以紅色來強調，今年發生風險明顯提升的項目，而用綠色文字來呈現衝擊程度明顯增加的項目，若是發生風險和衝擊程度都明顯提高，則以紫色文字來強調，醫療業者有四項這類紫標的風險項目，其中三項屬於第一象限中的紫標風險，包括了資安漏洞（零時差漏洞）攻擊事件、ChatGPT/GAI成為攻擊輔助工具，以及ChatGPT類服務資安事件，另外一項紫標風險則是雲端服務/網路服務資安事件。若醫療業資安長過去沒有特別留意，未來一年就得多花一份心思留意這四類風險的資安態勢變化，一但威脅升溫，就得及時應變。

整體來說，醫療業在未來一年必須優先警戒的第一象限威脅，分為三類來看，包括了來自駭客、國家級攻擊組織、網路犯罪者和第三方/委外業者、內部人員等五類攻擊者所發動的攻擊，還有五種攻擊途徑的風險，包括了社交工程手段、釣魚網站、

以第三方為跳板的攻擊、ChatGPT/GAI成為輔助攻擊工具、物聯網的攻擊。以及最後一類的資安攻擊事件共5項，包括了勒索軟體資安事件、資料外洩事件、被植入竊資軟體/後門木馬、資安漏洞/零時差漏洞攻擊事件、ChatGPT類服務資安事件。文⊙王宏仁

 企業資安風險圖製作說明  在iThome 2024年CIO暨資安大調查中，由企業自評各資安項目的兩項指標，一項是該項目對企業帶來的衝擊程度（衝擊極高和衝擊極低），另一項是這個項目未來1年的發生風險（極可能發生與極不可能發生），再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊，位置越往上代表衝擊越大，水平軸是企業未來1 年發生該項目的風險，位置越右，代表可能性越大。紅色字的項目為今年發生風險明顯提高者，綠色字項目是今年預估衝擊明顯提高者，兩項皆明顯提高者為紫色文字。

 問卷說明  大調查執行期間從2024年2月15日到3月15日，對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管，進行線上問卷，有效問卷422家，其中62.8%填答者為企業資安最高主管。

 相關報導