雖然近年醫療界開始倡議數碼轉型,包括創建電子健康紀錄互通系統、大數據診症以至醫療物聯網(IoMT)等,不過基於涉及病歷等敏感資訊,對升級或更換系統傾向保守,以致追不上網絡安全水平,各地醫療機構不時發生資訊科技安全事故。
有見及此,Microsoft 香港就聯同香港電腦保安事故協調中心(HKCERT),推出為期一年的《醫療網絡保安通報計劃》,供公私營醫院、診所及醫療化驗所等免費參與。據悉包括醫院管理局及私院在內的 11 個機構,自今年 3 月起已參與先導計劃,首份網絡威脅報告需時 6 個月,其後每 3 個月提交一次。
藉 IP 地址配對抽出受感染裝置
該計劃運用 HKCERT 及 Microsoft Cyber Threat Intelligence Program(CTIP)的全球網絡保安威脅情報,將整合數據庫內曾被入侵的電腦或裝置,跟參與醫療機構的 IP 地址進行配對,從而快速辨識有潛在風險的裝置,一旦發現受感染個案,報告將建議相關機構採取保安措施,防止攻擊擴散。生產力局首席數碼總監黎少斌透露,目前為止僅偵測到 2 台受感染裝置,同屬醫院開放予公眾使用的 Wifi 網絡,機構內部網絡未受影響。
網絡威脅報告內容除針對全球及香港地區的主要網絡威脅提供圖表分析,同時更包括該醫療機構在不同網絡攻擊情況下的警覺性,以及被入侵網絡的資料,計劃並會為機構定期提供免費講座。先導計畫參與機構之一,明愛嘉諾撒醫院及寶血醫院資訊科技總監楊添燦表示,報告有助他評估醫院的網絡安全健康水平,另希望主辦方能增加舉辦講座,分享最新的國際醫療機構安全事故案例,同時為業界提供一個交流平台。
▲ 明愛嘉諾撒醫院及寶血醫院資訊科技總監楊添燦指參與計劃的定期講座受益不淺,希望主辦方能增加舉辦。
參與醫療機構只須提供 IP 地址作配對之用,無須讓第三方掃描內部系統。此舉好處是能確保病人及機構的私隱,但若遇上已潛伏系統尚未發動攻擊的惡意程式則無法偵測。黎少斌形容《醫療網絡保安通報計劃》好比「驗身」,而驗身方法各適其適,未來或考慮新增其他安全偵測功能。他又補充指現階段希望有更多醫療機構參與計劃,暫未有收費意向。
