醫療機構資安風險升高 應訓練員工對BYOD風險認識

美電信商Verizon公佈《2017 Verizon Data Breach Report》指出，在2016年醫療保健產業面臨的網絡攻擊中，有72%是勒索軟件，是僅次於金融服務的產業，彰顯醫療保健產業加強網絡安全的 迫切性。

　　然據近期非贏利資安促進組織Informa TI on Systems Security Associa TI on的調查，只有38%的資安專家認為他們所屬組織有適當的資安風險訓練計劃。

醫療保健產業市調公司Black Book Market Research針對美國322個醫療相關機構決策層人士的調查也發現，84%的機構並未有專責網絡安全人員，且僅有11%在2018年有增聘計劃， 也只有15%的機構設有信息安全長（CISO）等職位。

另一項由Accenture與美國醫學會（AMA）合作針對1300名美國醫生做的調查顯示，64%的機構曾因遭遇網絡攻擊造成4小時的停機；29%的機構因網絡攻擊停機一整天； 並有53%的受訪者表示網絡攻擊可能會使病患的生命安全受影響。

　　Forbes列出醫療機構或可用於促進資安的五步驟。 首先，醫療機構必須有足夠的意識，了解網絡攻擊不僅有可能會把持病患個人病歷要求贖金，甚至可能損害病患生命安全；第二，醫療機構可定期更新安全認證的強度，如定期增加口令 或PIN的強度，或增加其它安全認證方法。

第三，定期訓練員工對資安風險的認識與責任，例如員工應對惡意電子郵件有所警覺，定期更新對新形態資安威脅的知識；第四，找來受信賴的公正第三方檢驗公司的 資安系統，檢視員工訓練績效，並建議改善方法。

最後，在使用新系統，尤其是用於病歷交換的系統，最好皆確認其是否能保證高度安全性，並定期檢視安全漏洞，倘公司使用智能型手機App，確認診療信息並未存於手機 上，如此至少能確保手機遭竊或遺失時，敏感信息不會遭取用。

醫療集團Commvault表示，現今BYOD（Bring Your Own Device）的流行，也讓IT人員越來越難管理資料的安全性，所幸新技術像是虛擬機器可讓醫療人員在不涉及安全性的情形下取 用敏感資料，不過醫療機構還是應訓練員工對BYOD風險的認識。