數發部多管齊下 強化醫療關鍵基礎設施資安防護

記者郭曉蓓／專題報導

臺灣醫療體系面臨日益嚴重的網路安全威脅，對醫療服務運作與病患安全構成重大衝擊；數發部今年規劃辦理資安稽核與網路攻防演練計畫，透過實兵演練、資安稽核檢視防護管理制度與防護有效性，提升臺灣醫療關鍵基礎設施的資安防護。

醫療資安與生命健康安全息息相關，為加強醫療領域關鍵基礎建設安全，數發部和衛福部合作，針對醫療領域強化資安作為，從「擬真演練」、「人才培育」、「機關輔導」及「稽核強化」4策略多管齊下，並推動中小型醫療機構建立區域聯防機制。去年底臺灣更辦理「跨國網路攻防演練（CODE）」，特別選定醫療場域，依照醫院實際作業情境建置多個模擬場域，由國內11家大型醫學中心組成4隊扮演藍隊防禦方，捷克、立陶宛等6國12組成攻擊隊伍，進行高壓實戰演練，並新增情資分享與資安聯防等要素，以貼近真實資安事件應處實務作業。

數發部資安署指出，跨國網路攻防演練主要是將醫療院所的資訊系統及環境，複製到演練現場，由醫療院所擔任防守方，並由國內外好手擔任攻擊方，於演練內容納入實際駭侵手法。相關演練可以提升醫院資安人員面對資安威脅的應處能力，具體包括了解醫療領域可能遭利用的漏洞，以及駭客可能採取的攻擊手法；未來面對資安威脅，可以更快速判斷資安事件，並能精準調整防禦機制；精進醫療院所現有通報應變作業流程，包括跨單位協調、通報流程、人員分工合作等；並熟悉各資安設備，如能平時做好監控，駭客在初始攻擊時就能發現相關跡象。

為強化駭客攻擊的防護作為及應變能力，資安署指出，今年持續辦理工控安全（OT）人才的實戰培訓，以擴散114年建置好的演練場域的效益。數發部也將賡續辦理資安稽核與網路攻防演練計畫，稽核與演練範圍包含重要醫療院所，透過實兵演練、資安稽核檢視防護管理制度與防護有效性。

資安署表示，今年已進一步規劃運用跨國攻防演練CODE 2025醫療模擬場域，預計今年上半年辦理一期資安實戰培訓課程，結合實戰訓練與相關演練，培養參加人員駭客攻防思維、資安防護實務及實作能力，補充我國所需的即戰力人才，提升我國整體資安韌性。