醫(yī)療機構(gòu)資安風險升高 應訓練員工對BYOD風險認識

　　美電信商Verizon公布《2017 Verizon Data Breach Report》指出，在2016年醫(yī)療保健產(chǎn)業(yè)面臨的網(wǎng)絡攻擊中，有72%是勒索軟件，是僅次于金融服務的產(chǎn)業(yè)，彰顯醫(yī)療保健產(chǎn)業(yè)加強網(wǎng)絡安全的迫切性。

　　然據(jù)近期非贏利資安促進組織InformaTIon Systems Security AssociaTIon的調(diào)查，只有38%的資安專家認為他們所屬組織有適當?shù)馁Y安風險訓練計劃。

　　醫(yī)療保健產(chǎn)業(yè)市調(diào)公司Black Book Market Research針對美國322個醫(yī)療相關機構(gòu)決策層人士的調(diào)查也發(fā)現(xiàn)，84%的機構(gòu)并未有專責網(wǎng)絡安全人員，且僅有11%在2018年有增聘計劃，也只有15%的機構(gòu)設有信息安全長（CISO）等職位。

　　另一項由Accenture與美國醫(yī)學會（AMA）合作針對1300名美國醫(yī)生做的調(diào)查顯示，64%的機構(gòu)曾因遭遇網(wǎng)絡攻擊造成4小時的停機；29%的機構(gòu)因網(wǎng)絡攻擊停機一整天；并有53%的受訪者表示網(wǎng)絡攻擊可能會使病患的生命安全受影響。

　　Forbes列出醫(yī)療機構(gòu)或可用于促進資安的五步驟。首先，醫(yī)療機構(gòu)必須有足夠的意識，了解網(wǎng)絡攻擊不僅有可能會把持病患個人病歷要求贖金，甚至可能損害病患生命安全；第二，醫(yī)療機構(gòu)可定期更新安全認證的強度，如定期增加口令或PIN的強度，或增加其它安全認證方法。

　　第三，定期訓練員工對資安風險的認識與責任，例如員工應對惡意電子郵件有所警覺，定期更新對新形態(tài)資安威脅的知識；第四，找來受信賴的公正第三方檢驗公司的資安系統(tǒng)，檢視員工訓練績效，并建議改善方法。

　　最后，在使用新系統(tǒng)，尤其是用于病歷交換的系統(tǒng)，最好皆確認其是否能保證高度安全性，并定期檢視安全漏洞，倘公司使用智能型手機App，確認診療信息并未存于手機上，如此至少能確保手機遭竊或遺失時，敏感信息不會遭取用。

　　醫(yī)療集團Commvault表示，現(xiàn)今BYOD（Bring Your Own Device）的流行，也讓IT人員越來越難管理資料的安全性，所幸新技術象是虛擬機器可讓醫(yī)療人員在不涉及安全性的情形下取用敏感資料，不過醫(yī)療機構(gòu)還是應訓練員工對BYOD風險的認識。