就醫資訊敏感個資 醫療院所若未盡保護之責恐吃上官司
(2014年9月4日,台北訊)醫院為了減少行政過程,大多都已導入電子病歷等管理系統,但導入了智慧管理系統卻未加強醫院內外部資安管理的醫院要當心,病歷屬於高度敏感的個人隱私,一旦遭人竊取不只會造成病人對醫院嚴重的不信任感與反彈外,一旦被有心人士操作,就有可能讓醫院吃上官司。芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬表示,享受科技管理帶來的便利同時也要正視可能的資安危機,尤其在各國駭客網戰密切開打的時候,若是政府重要人士的病歷外流,影響的可能殃及國安等級。
杜世鵬就舉近期美國醫院個資被駭客入侵一事為例,美國第2大連鎖醫療體系Community Health Systems(CHS)宣稱遭來自中國的駭客進行網路攻擊,被盜取將近450萬筆的醫療資料,推測犯罪手法是先取得員工登錄資訊,再進入系統竊取相關資料,雖然醫院指稱沒有病歷資料與信用卡資訊流出,但對於曾在該院進行治療的病患來說已失去信心。杜世鵬表示醫院內除了員工行政系統仰賴電腦外,許多外部購買的專業儀器都可能有自己的作業系統,一來一往之間無形創造了許多駭客入侵機會,要是員工與醫院管理階層又缺乏足夠的資安知識,病患的資料就像是駭客到手的肥羊一般,任人宰割。
杜世鵬強調醫療機構掌握病患個人資料以及涉及高度隱私的身體狀況,必須妥善保存病患個人資訊,因為一旦遭人竊取便有許多操作空間,醫院管控內部員工使用隨身碟、智慧型手機等限制並沒有像高科技產業般的嚴謹,若防護不完善,就有被駭客攻擊並盜取資料的風險。目前國內的醫療院所雖然都有意識到資安防護的重要性,為院內電腦加裝資安軟體,建議醫療院所在選購資安軟體時,不僅要挑選能提供完善服務的資安軟體服務商為醫院及時解決資安問題,且能為醫院系統彈性調整資安軟體參數、整合管理各層網路架構佈署資安政策更是關鍵,而非製造更多系統間的衝突,這才是真正能夠成為醫療院所防駭的重要幫手。