類似此次部桃資安事件的病患安全及國安事件,近年在歐美數位醫療先進國家亦時有聞。不同的是,針對數位醫療系統安全管理,尤其是IT供應鏈安全與健康資訊分享架構間的連結,近兩年,歐美各國已開始整合檢討法制政策,並積極調整制定相關法規,以資因應。
反觀國內,健康資料的治理,仍停留在個人資料開放研究使用同意權的爭議,對於健康資料管理系統在國安、經濟與外交上多重角色交錯的問題,缺乏關注。
在先進各國,健康服務均為法律明訂、受國家保護的「國家核心重要基礎建設」(Designated Critical National Infrastructure)。歐盟及奧地利政府數位政策顧問豪瑟(Hermann Hauser)曾多次公開表示,在數位經濟時代,攻擊或買通關鍵IT供應商,是與武力入侵國土、毀損重大民生經濟建設同等嚴重的國安問題。
美國:公共服務數位化初始,便制定保護計畫
2013年,美國於健康服務等國家公服務開始數位化之初,就已制定出「國家基礎建設保護計畫」(National Infrastructure Protection Plan),明定健康服務等16項國家核心重要公服務的保護制度架構,包括各層級主管協調機關及風險規範程序等事宜;並依此法令設立「健康產業基礎建設協調委員會」(Health Sector Coordination Council, HSCC),負責彙整公私領域資源,並與食品藥物管理局(FDA)及衛生與公共服務部(HHS),共同主管監督重要健康服務基礎建設的資安等系統性風險。
由於健康服務快速數位化,IT採購的種類、層級與規模日益遽增,對於國家人民安全的影響日鉅;同時,隨著健康資料的經濟價值日增,以盜取或毀損健康資料為目標的組織型犯罪亦日益頻繁,已成為今日隱私保護的主要威脅。
有鑑於此,2019年,美國認為須針對健康領域的制度複雜性與產業發展需求,結合公私資源,制定更符合實務需求的安全規範;從而指定HSCC成立「資安工作組」(Cyber Security Working Group),負責整合制定醫療照護體系數位化的安全規範。
目前,該工作組已發展出12項主要規範領域,包括健康產業資安實作、供應鏈風險管理、醫療產品資安、緊急應變程序、政策及人力規劃等重要項目;自2019年以來,已制定超過12項最佳實作準則。
2022年美國的HSCC資安工作小組任務。圖片來源:截自HSCC網站
英國:健康服務系統資安事件頻傳,提升資安標準
2014年,英國政府亦從推動醫療數位化初始,即針對安全系統規範有諸多案例與討論。
這是起因於英國領先國際的線上開藥系統,尚未啟用,平台系統得標供應商便將成千上萬民眾的健康資料,賣給澳洲賭博公司作為行銷之用。英國政府隨即研擬數位健康服務供應商策略,制定國家健康服務採購資安標準;包括核心安全標章(Cyber Essentials Certificate)的推廣,及制訂含有嚴格資安稽核標準的ISO 97001的特殊採購架構(NHS procurement frameworks)與行為準則。
2019年,英國政府將資料(data)列為國家重要基礎建設加以保護,並開始進行全面性的資料基礎建設(data infrastructure)與國家關鍵基礎建設(critical national infrastructure)安全政策的整合規劃,並進行供應商資安總檢討(Supply Chain Cyber Resilience Review)。
2021年,內閣辦公室新設的國家資安中心(National Cyber Security Centre),更與國家核心基礎建設保護中心(Centre for Protection of National Infrastructure),及負責產業發展的機構TechUK,同時將「供應鏈資安」作為首要任務,推動相關規範制度。
由於健康照護體系供應鏈複雜,健康資料種類亦極為繁雜,加上過去私有化的部分政策,造成在確保中央與地方同調、各院所政策接軌與落實執行上的困難,以及個資利用政策的分歧;為此,英國政府去函健康醫療體系相關機構,敦促檢討供應鏈資安管理。
2022年,英國健康部將健康資料安全系統平台的建設,作為國家健康資料政策(National Health Data Strategy)主要承諾與任務的同時,也投入經費研究各政策間的執行問題。
由於以國安為中心,透過核心基礎建設安全保護法規所建立的保護架構,只適用於特定數位醫療照護系統;透過個資法建立起來的保護架構,也有不同適用範圍。而以醫療數位平等權、國家醫藥研究資訊基礎架構、醫療器材管理與健康應用軟體產業促進等政策發展出的資訊系統管理法規,又各有不同範圍和架構。如何有效整合、簡化,促進具體落實,是此一領域規範的一大課題。
2021年烏俄戰爭爆發後,英國國家健康服務系統(National Health Services, NHS)被情報中心證實,為俄國入侵主要網路攻擊目標。英國政府雖加強資安宣導與輔導措施,但仍出現多件重大健康資料資安事件。
首先是今年夏天熱浪,有醫院供應商主機過熱當機十天,造成該醫院體系下所有醫院IT系統無法運作;隨後,又發生主要醫院精神醫學部門病歷管理系統供應商遭駭客勒索,超過十個醫院網絡旗下的醫院所有精神醫學部門運作大受影響,長達三個月無法正常運作。
這些事件,更使英國政府注意到資安法規在醫療服務供應鏈中落實的困難;以及推動健康資料二次使用時,不同資料管理相關法規手段的選擇與整合問題。
英國國家健康服務系統近年屢傳資安問題。圖片來源:Shutterstock
英國政府規劃中的基層醫療病歷即時資料庫,及英格蘭健康資料平台等重大健康資料政策計劃,亦因承包供應商涉及國安間諜及社交網絡散播不實資訊,遭民團大加撻伐而數度擱置。近日更因傳出有外國系統承包商,為承包大規模資料平台發包計畫,逐步收購英國小承包商,以壟斷市場、驅逐競爭者。該新聞亦引發民團抗爭,指責政府對於健康資料安全,之於國家經濟及國安的重要性,缺乏足夠的政策因應。
為此,英國政府發布供應鏈資安指導命令(Guidance: How to assess and gain confidence in your supply chain cyber security) 及資料中心資安指導命令 (Guidance for data centre owners and users),修正網絡與資料安全相關法律,並重申醫藥健康服務領域供應鏈管理的複雜性,必須針對實務運作做更精實的檢討與規範;今年度的NHS主要政策計畫,亦強調資料基礎建設執行面的重要,敦促相關廠商必須準備與健康部一同努力,提升資安標準。
2020年,歐盟資安局(European Union Agency for Cybersecurity)發布醫院採購資安指南(Procurement Guidelines for Cybersecurity In Hospitals);同年並於其資料策略中,將「建構歐盟健康資料安全系統」做為歐盟健康資料公共空間(European Health Data Space)建構計畫的核心項目。今年,更發布資安指令修正版(Network and Information Security Directive 2, NIS 2.0),加強供應鏈安全管理。
醫院採購項目繁多,歐盟在資安指南中列出採購的分類與資安警示。圖片來源:截自歐盟醫院採購資安指南
這些高層級新規範的制定,顯示在健康資料系統管理上,資安法規與其他相關法規制度間的關聯性日增;也顯示在執行面上,整體供應鏈的安全管理與佈局,是非常重要的政策問題。
反觀國內,在健康資料系統管理上,對於類似「部桃事件」仍僅視為單一資安事件;對於相關數位醫療政策中,資料治理法制上的統整、協調與強化,缺乏明確一致的規劃。在健康資料對於病患安全、民生經濟與國安上,均扮演重要角色的今日,政府實有必要對於健康資訊系統供應鏈永續經營管理及布局,進行整合性檢討,制定必要的政策領導架構與法制規範。
醫療科技與法規,台灣正在關注哪些問題?
