跳到主要內容區塊

監察院調查發現醫療院所對資通訊安全相關規定解讀有相當歧異,衛福部允應發揮目的事業主管機關功能持續協調強化

  • 日期:113-09-18

監察委員:賴鼎銘、蕭自佑、王麗珍

部立桃園醫院自109年起陸續發生資安事件,111年更傳出護理系統遭駭而影響病安情事,引起監察委員賴鼎銘、蕭自佑及王麗珍對醫療院所整體資通安全管理情形之關注並立案調查,監察院社會福利及衛生環境委員會於113年9月18日審議通過調查報告,指出醫療院所對資通訊安全相關規定之解讀,包括核心資通系統之認定、通報應變之觸發條件以及醫療儀器OT資產認定等,均有相當歧異,衛福部允應發揮目的事業主管機關功能持續協調強化。
 
監察委員賴鼎銘、蕭自佑及王麗珍指出,調查發現在核心資通系統之認定方面,資安等級同為A級之醫療院所,部分院所僅納入6個系統,但也有院所納列高達49個系統,有明顯歧異,而在防護需求等級方面,仍有部分院所核心資通系統之防護需求等級未列為「高」。此外,調查也發現不同院所對於資安事件通報之觸發條件及等級認定,已各自發展出繁簡不一之規則,對於大規模事件之資安聯防恐有不利。
 
監察委員表示,醫療儀器將因未來智慧及數位醫療趨勢而愈形重要,但醫療儀器具備ICS (Industrial Control System )及OT (Operation Technology)特性,但其資通安全之管理上未如IT(Information Technology)成熟,較易形成資安漏洞,以本案調查發現為例,有醫學中心僅納列5種醫療儀器為OT資產,卻也有區域醫院納列高達372項OT資產,甚至包含血壓計、電子身高體重計等設備,顯有過猶不及之問題。監委認為,衛福部允宜妥善利用醫院評鑑或資安長會議等機制妥予協調,以適當控管其風險。
 
監察委員賴鼎銘、蕭自佑及王麗珍針對部立桃園醫院資安事件指出,該院111年護理系統資安事件經過專業資安鑑識,雖已釐清為磁碟陣列故障,但也意外發現主機遭植入挖礦軟體之案外案,加上該院自109年起屢次發生資安事件並有延宕通報之情事,衛福部及該院雖已進行人員檢討究責,但仍宜持續督導促其改善。