Hidden Title

  回到主页

医护服务的网络安全

 
黎少斌先生

「医护机构需要一套整全方法去管理网络安全风险,当中包括资讯科技应用、业务流程、数据管理程序、用户取览限制管理和事故后复原机制等。」

黎少斌先生
香港生产力促进局(生产力局)
首席数码总监
 
建筑物周围有许多锁和盾
保护病人的电子病历免受网络威胁,已成为医护提供者的重要议题

过去几年间,医护界别面临越来越多网络攻击。保护病人的电子健康纪录免受不同威胁已成为医护提供者的重要议题。黎先生指出,鉴于病人的资料属高度敏感,医护提供者有责任采取足够的防御和管制措施,以加强收集和上传每项数据时的私隐度和安全性。

「黑客总是用尽各种方法去攻击电脑系统,而这些攻击对数据私隐、业务运作和服务提供构成风险。」黎先生说。

医护服务的网络安全挑战

许多普遍针对医护界别的网络攻击都会损害病人的私隐。它们还会严重影响医护提供者有责任维护的业务和数据。黎先生表示,网络钓鱼电子邮件和勒索软件是两种常见于医护界别的网络攻击。

 

「勒索软件透过把储存在系统中的数据进行加密,令用户在支付赎金前无法取览数据;而网络钓鱼电子邮件攻击则试图窃取敏感资料,例如用户个人资料,以进行犯罪活动或潜入机构网络以进行欺诈活动,从而获得经济利益。」他解释说。

根据海外医护界别网络安全事件中所汲取的经验,黎先生指出源自内部人士的威胁也受到更多的关注。不论是因员工不满、职员或供应商疏忽、网络不安全和软件过时等,带来与网络罪犯同等程度的风险。

黎先生补充说,随着科技的进步,医护界别面对的另一个网络威胁来自新兴医疗设备。而这些医疗设备利用了「医疗物联网」收集健康数据并连接医疗资讯科技系统。

小偷在用电脑
常见的网络攻击有勒索软件和网络钓鱼电邮,而医疗物联网亦可成为网络威胁的来源
「借助医疗物联网,医疗设备可以通过互联网自动产生、分析和传送数据。虽然它可以便利数据存取和处理,为医护提供者提供参考时更方便,但由于每个连接点都可能成为新的攻击目标,这就会带来安全威胁。」黎先生阐述。一旦医疗物联网被入侵,受攻击的设备就可能转变为僵尸网络并攻击其他电脑。
 

医护提供者的网络安全规划
随着网络威胁扩散,黎先生呼吁企业,包括医护提供者,应更重视网络安全,并投入资源以改善网络安全状况和增强网络复原能力。

生产力局一直为香港的公、私营机构提供有关网络安全的培训和顾问服务,并管理由政府资助的香港电脑保安事故协调中心(HKCERT)。HKCERT负责协调有关电脑及网络安全事故应变处理的工作,并为本地企业和互联网用户提供网络安全建议。

黎先生说:「网络安全不仅与技术有关。我们主张采用全面规划,将机构的业务流程、营运和数据包括在内,以管理和减低所要面对的网络安全风险。」

提供网络安全培训和顾问服务
生产力局一直为香港的公、私营机构提供网络安全培训和顾问服务
他续称:「这亦包括数据管理和用户取览限制,以将数据清楚分类并正确厘定取览权限,并制定通讯和灾难复原机制,使机构在危机出现时可迅速应变和恢复运作。」此外,他还强调提高员工对帐户管理认识和对网络安全保持警惕的重要性。
 
「最重要的是,机构要定期检讨整个保安策略,适时作出更新及不时举行安全意识培训和演习。」他补充说。
 
黎先生表示,鉴于一些企业未必具备网络安全专业知识,生产力局一直致力推广「Security-as-a-Business (SECABiz)」,即是把网络安全方案纳入资讯科技供应商的服务配套之中,作为服务要求或增值服务之一。这样,可以鼓励企业安装具备更高安全标准的电脑系统或软件,以防止网络攻击。
 
生物特征认证
采用更强的身份验证,例如生物识别,有助减低资料外泄的风险
用户的安全措施

电子健康纪录互通系统第二阶段发展计划中的病人平台将于2020年启用,届时病人可通过平台的流动应用程式,查阅其​​部份健康纪录。谈到应如何保护病人平台的数据私隐和安全时,黎先生建议平台可采用更强的身份验证,例如生物识别,以将资料外泄的风险减至最低。

在用户方面,他强调应在方便使用和网络安全之间取得良好的平衡,以保护用户的健康资料。致力推动网络安全教育和推广活动,也有助提升公众对安全风险和防范网络攻击措施的认识。

黎先生建议未来病人平台的用户可采取一些基本的流动装置安全措施:
  •  
  从官方网站或官方应用程式商店下载病人平台流动应用程式
  •  
  避免使用公共设备或公共无线网络(wifi)登入病人平台
  •  
  在流动装置上查看和储存个人资料和电子健康纪录前,应考虑实际需要
  •  
  切勿解除流动装置原厂锁定的权限(root or jailbreak)
  •  
  为流动装置/无线网络(wifi)路由器设定高强度密码
  •  
  适时安装软件修补程式
  •  
  定期更新防毒软件
  •  
  切勿打开可疑电邮
  •  
  计划预防措施,以免流动装置丢失时资料外流
 
 
为医护业界提供崭新的网络安全服务

为了专门协助医护机构防御网络攻击,HKCERT与微软(香港)合作,展开了「医疗保健网络安全试点计划」,运用协调中心对网络威胁的国际经验和知识,及早发现针对本港医护业界的攻击。

黎先生说:「协调中心的资料库载有系统曾受网络威胁的数据,我们会将参与机构所提供的互联网协定地址(IP Address)与资料库的数据进行配对,如发现任何网络威胁会立即通知他们,并帮助他们清理受影响的系统。这服务是免费的。」黎先生欢迎本港所有公、私营医院、诊所和其他医护服务提供者参加计划。

他总结:「所有机构,不论行业、地点或规模,均有可能成为网络攻击的目标。为提高医护界别对网络风险的意识,HKCERT将继续留意网络安全的最新发展,并提供配合业界所需的培训和指引,以协助他们检测、遏制和消除网络安全事故。」

检查许多过程
在「医疗保健网络安全试点计划」下,HKCERT会把参与机构所提供的互联网协定地址与资料库的数据进行配对,如发现任何网络威胁便会立即通知他们,并帮助他们清理受影响的系统
 
下载医健通讯(PDF 版本)

六个不同类型型人
下一篇
建立及体验「用家为本」的病人平台
 
 
 
張淑英女士
保护互通系统和电子健康纪录免受网络安全威胁
互通系统的网络安全
六个不同类型人
建立及体验「用家为本」的病人平台
病人平台的设计及可用性评估体验
一个心形的小城市
互通系统与地区康健中心
推动地区康健中心服务的关键元素
电脑笔记本上有一个锁
正确及安全使用互通系统指引
互通系统帐户保安:宣传和教育
互通系统最新资讯
互通系统最新资讯
互通系统最新推广活动
迷宫
趣味小测试— 玩游戏、赢奖品
下载昔日医健通讯
订阅医健通讯

Explanation of WCAG 2.0 Level Double-A Conformance
页首