【照護科技專欄】資料儲存在雲端安全嗎?

【照護科技專欄】資料儲存在雲端安全嗎?
2019/08/28

早上門診時間一到,一間中型規模的護理之家從院長到護理人員顯得慌亂,聽著不知所措的資訊人員報告狀況。在他們眼前,是被勒索軟體鎖住的大型主機,裡面裝載著突然無法使用的門診掛號系統。更不幸的是,連同健保局規定留存七年的病患資料,都一併被鎖在裡面。

在台灣,這樣的資安事件層出不窮。微軟2018年發布亞太資安研究報告指出,台灣一年因資訊攻擊事件造成的經濟損失高達270億美金,將近台灣GDP的5%。勒索軟體除了造成護理機構或醫院的資安損失外,更可能因為無法及時調用、查看生心理資料,而對重要的患者或長者產生影響生命安全的問題。

評估資安需求、保護住民資訊安全

資安需求有分級,有個簡單的評估方法:可以先思考系統中那些資料是重要資產?並對每個資產標註其重要的程度。以長照機構為例,像是:每位員工的個人使用者密碼及個資,長者資料和生心理資訊等,判斷這些資料若被竊取造成的嚴重程度,並評估員工不小心點開釣魚網站,或是電腦中毒、甚至下載安裝不明軟體的可能性。將嚴重程度與資安漏洞相加乘,就是機構資訊暴露在外的風險,風險越高,遇到資安事故的可能性愈大。

圖片來源/pixabay

依照法律,長照機構業者必須保護住民和使用者的資料。個人資料保護法施行細則第12條,當中提到3個重要層面:

 

 

  • 資訊安全的負責團隊與資安通報機制:成立專屬人員負責資安問題,並建立資安事件中通報主管的機制。

 

 

  • 資料的權則規範與分割:僅特定人士可以碰到敏感資料。

 

 

  • 固定的資安講習教育:強化員工資安意識,避免員工成為資安事件的最大漏洞。

 

 

從技術層面來看,最基礎的作法是確保主機系統定期更新,採購最新的防毒軟體,並定期做漏洞偵測、弱點分析、線路加密與敏感資料進行加密混淆等工作,時刻保持於最新的狀態,以避免各種病毒變體與新型手法的攻擊。

移到雲端系統不失為簡單的方式

一般中小型機構很難長期聘用技術人員,把系統移到雲端,不失為一個維護資安的方法。許多機構有錯誤認知,相信自己建立的主機比雲端業者提供的安全,甚至把資料以USB隨身碟儲存,殊不知這些正是資安的大漏洞。資料有可能遺失,系統容易缺乏即時更新出現安全漏洞,自建系統的機構往往成為駭客眼中的肥羊。

我蠻推薦中小型機構摒棄把資料放在自己機房的概念,而採用可信賴的雲端平台,例如Google雲端平台(Google Cloud Platform, GCP)或亞馬遜雲端平台(Amazon Web Service, AWS)等雲端的提供商,每年投入大量的人力與基礎建設進行資安防護,並通過美國HIPAA(健康保險可攜與責任法)與ISO27001等資安相關稽核程序。

圖片來源/pixabay

台灣近年來新興的健康照護相關系統的服務,均建置於GCP或AWS平台上,藉此得到強大的基礎系統資安防護能力外,內部也定期舉行資安講習與演練,不斷進行架構檢討與實作強化資安能力。長照機構也可考慮將系統委託於專業的雲端服務中,除帶來資安大幅升級的好處外,也可降低自建機房與維運人員的成本。

永續安全

照護隨著時代的需求慢慢走向數位化,隨之而來的資訊安全議題也日漸重要,不只資安事件將造成損失,更因照護產業型態導致生命安全也受到威脅。故我們設計系統的同時,就要將資安的環節融入於設計與開發之中,由法遵至技術層面,並借重如GCP等強化基礎系統的安全性,讓資安要素保護長者的生命健康。

值得一提,文章開頭的故事慘案發生時,護理部為全機構中唯一沒有受到影響,因為他們就是使用了良好資安架構的護理系統。