醫院陸續遭駭 立委籲建軟體物料清單

台灣醫療資訊系統拉警報，繼馬偕醫院、彰化基督教醫院後，近日位在桃園中壢的「長慎醫院」也遭駭客攻擊，傳出八萬多人的病歷資料外洩，引發立委關注。立委廖偉翔認為，針對醫療設備應訂定「軟體物料清單（SBOM）」，將有助於識別、管理潛在的網路安全風險，保障醫療設備安全。

立委劉建國近日在立院質詢時，關注5月是否會再有醫院遭駭客入侵，衛福部長邱泰源回應，在馬偕、彰基醫院遭駭後，衛福部資訊處立即展開防堵作業，並邀集關鍵性基礎設施醫院召開會議，討論如何因應。

衛福部資訊處長李建璋補充，醫院最常見遭駭方式為勒索軟體，已擬定SOP，也裝設主動防護系統，台灣關鍵基礎設施醫院共60家，長慎醫院並未列入在內，但第一時間也有教導醫院建立遭駭後的SOP流程。

不過，未來能否杜絕醫院遭駭客入侵，衛福部不敢保證。李建璋解釋，每家醫院都有50至60家對外供應商，預防相對困難。另外，駭客入侵手段不斷更新，因此無法達成百分百防範，現在將從強力防守轉為韌性因應作為，也就是針對資料進行備援、加密；即使醫院遭駭，也能快速備份，加強對資料加密，沒解密駭客也無法使用。

廖偉翔表示，資安就是病人安全，一旦醫療設備遭駭客入侵，可能會影響醫院提供醫療服務。以美國為例，全美有40間醫院因遭勒索軟體攻擊，醫院的放射治療延後數週，先不談醫院的損失，可能就有許多病人因此過世。

廖偉翔表示，若沒有意識到軟體供應鏈問題、管理風險管理不足，衛福部後續的因應措施「都是亡羊補牢，當然無法做到全方位的資安管控」。

廖偉翔認為，醫療設備中也應訂定「軟體物料清單（SBOM）」，有助於識別、管理潛在的網路安全風險，保障醫療設備安全，因為所有軟體都可能成為資安風險來源，再加上醫院有許多外包商，無法保證哪裡是洩露來源，呼籲衛福部能在一個月內提出檢討報告。邱泰源允諾並表示，這確實有必要。◇