|
「醫護機構需要一套整全方法去管理網絡安全風險,當中包括資訊科技應用、業務流程、數據管理程序、用戶取覽限制管理和事故後復原機制等。」 |
黎少斌先生
香港生產力促進局(生產力局)
首席數碼總監
|
|
|
|
|
保護病人的電子病歷免受網絡威脅,已成為醫護提供者的重要議題 |
|
|
過去幾年間,醫護界別面臨越來越多網絡攻擊。保護病人的電子健康紀錄免受不同威脅已成為醫護提供者的重要議題。黎先生指出,鑑於病人的資料屬高度敏感,醫護提供者有責任採取足夠的防禦和管制措施,以加強收集和上傳每項數據時的私隱度和安全性。
「黑客總是用盡各種方法去攻擊電腦系統,而這些攻擊對數據私隱、業務運作和服務提供構成風險。」黎先生說。
醫護服務的網絡安全挑戰
許多普遍針對醫護界別的網絡攻擊都會損害病人的私隱。它們還會嚴重影響醫護提供者有責任維護的業務和數據。黎先生表示,網絡釣魚電子郵件和勒索軟件是兩種常見於醫護界別的網絡攻擊。 |
|
|
「勒索軟件透過把儲存在系統中的數據進行加密,令用戶在支付贖金前無法取覽數據;而網絡釣魚電子郵件攻擊則試圖竊取敏感資料,例如用戶個人資料,以進行犯罪活動或潛入機構網絡以進行欺詐活動,從而獲得經濟利益。」他解釋說。
根據海外醫護界別網絡安全事件中所汲取的經驗,黎先生指出源自內部人士的威脅也受到更多的關注。不論是因員工不滿、職員或供應商疏忽、網絡不安全和軟件過時等,帶來與網絡罪犯同等程度的風險。
黎先生補充說,隨著科技的進步,醫護界別面對的另一個網絡威脅來自新興醫療設備。而這些醫療設備利用了「醫療物聯網」收集健康數據並連接醫療資訊科技系統。 |
|
常見的網絡攻擊有勒索軟件和網絡釣魚電郵,而醫療物聯網亦可成為網絡威脅的來源 |
|
|
|
「借助醫療物聯網,醫療設備可以通過互聯網自動產生、分析和傳送數據。雖然它可以便利數據存取和處理,為醫護提供者提供參考時更方便,但由於每個連接點都可能成為新的攻擊目標,這就會帶來安全威脅。」黎先生闡述。一旦醫療物聯網被入侵,受攻擊的設備就可能轉變為殭屍網絡並攻擊其他電腦。 |
|
醫護提供者的網絡安全規劃 隨著網絡威脅擴散,黎先生呼籲企業,包括醫護提供者,應更重視網絡安全,並投入資源以改善網絡安全狀況和增強網絡復原能力。
生產力局一直為香港的公、私營機構提供有關網絡安全的培訓和顧問服務,並管理由政府資助的香港電腦保安事故協調中心(HKCERT)。HKCERT負責協調有關電腦及網絡安全事故應變處理的工作,並為本地企業和互聯網用戶提供網絡安全建議。
黎先生說:「網絡安全不僅與技術有關。我們主張採用全面規劃,將機構的業務流程、營運和數據包括在內,以管理和減低所要面對的網絡安全風險。」 |
|
生產力局一直為香港的公、私營機構提供網絡安全培訓和顧問服務 |
|
|
|
他續稱:「這亦包括數據管理和用戶取覽限制,以將數據清楚分類並正確釐定取覽權限,並制定通訊和災難復原機制,使機構在危機出現時可迅速應變和恢復運作。」此外,他還強調提高員工對帳戶管理認識和對網絡安全保持警惕的重要性。 |
|
「最重要的是,機構要定期檢討整個保安策略,適時作出更新及不時舉行安全意識培訓和演習。」他補充說。 |
|
黎先生表示,鑑於一些企業未必具備網絡安全專業知識,生產力局一直致力推廣「Security-as-a-Business (SECABiz)」,即是把網絡安全方案納入資訊科技供應商的服務配套之中,作為服務要求或增值服務之一。這樣,可以鼓勵企業安裝具備更高安全標準的電腦系統或軟件,以防止網絡攻擊。 |
|
|
採用更強的身份驗證,例如生物識別,有助減低資料外洩的風險 |
|
|
用戶的安全措施
電子健康紀錄互通系統第二階段發展計劃中的病人平台將於2020年啟用,屆時病人可通過平台的流動應用程式,查閱其部份健康紀錄。談到應如何保護病人平台的數據私隱和安全時,黎先生建議平台可採用更強的身份驗證,例如生物識別,以將資料外洩的風險減至最低。
在用戶方面,他強調應在方便使用和網絡安全之間取得良好的平衡,以保護用戶的健康資料。致力推動網絡安全教育和推廣活動,也有助提升公眾對安全風險和防範網絡攻擊措施的認識。 |
|
黎先生建議未來病人平台的用戶可採取一些基本的流動裝置安全措施: |
|
|
從官方網站或官方應用程式商店下載病人平台流動應用程式 |
|
|
避免使用公共設備或公共無線網絡(wifi)登入病人平台 |
|
|
在流動裝置上查看和儲存個人資料和電子健康紀錄前,應考慮實際需要 |
|
|
切勿解除流動裝置原廠鎖定的權限(root or jailbreak) |
|
|
為流動裝置/無線網絡(wifi)路由器設定高強度密碼 |
|
|
適時安裝軟件修補程式 |
|
|
定期更新防毒軟件 |
|
|
切勿打開可疑電郵 |
|
|
計劃預防措施,以免流動裝置丟失時資料外流 |
|
|
|
為醫護業界提供嶄新的網絡安全服務
為了專門協助醫護機構防禦網絡攻擊,HKCERT與微軟(香港)合作,展開了「醫療保健網絡安全試點計劃」,運用協調中心對網絡威脅的國際經驗和知識,及早發現針對本港醫護業界的攻擊。
黎先生說:「協調中心的資料庫載有系統曾受網絡威脅的數據,我們會將參與機構所提供的互聯網協定地址(IP Address)與資料庫的數據進行配對,如發現任何網絡威脅會立即通知他們,並幫助他們清理受影響的系統。這服務是免費的。」黎先生歡迎本港所有公、私營醫院、診所和其他醫護服務提供者參加計劃。
他總結:「所有機構,不論行業、地點或規模,均有可能成為網絡攻擊的目標。為提高醫護界別對網絡風險的意識,HKCERT將繼續留意網絡安全的最新發展,並提供配合業界所需的培訓和指引,以協助他們檢測、遏制和消除網絡安全事故。」 |
|
在「醫療保健網絡安全試點計劃」下,HKCERT會把參與機構所提供的互聯網協定地址與資料庫的數據進行配對,如發現任何網絡威脅便會立即通知他們,並幫助他們清理受影響的系統 |
|
|
|
|
|
|
|