台灣醫療業加速資安轉型,微軟助力醫院推動零信任架構
醫療機構擁有大量敏感性個資,但龐大的資料卻是創新 AI 技術必備的基石,資料保護原本就是資安攻守的重中之重,近年來無論國內外針對醫療機構等關鍵基礎設施的資安攻擊次數與強度持續倍增,以零信任架構進行資安轉型已成為刻不容緩的課題。
而在資通安全管理法裡,臺北榮民總醫院和林口長庚醫院皆被指定為 A 級關鍵基礎設施醫院,各自也針對零信任架構的落實展開行動。臺北榮民總醫院兩年多前就陸續導入身分識別、裝置管理、釣魚郵件防護、條件式存取與特權帳號管理等新一代資安解決方案,並以混合雲模式應用及管理,為零信任架構的推行奠定堅實基礎。甫於 9 月底通過 HIMSS Inframe 7 等級認證的長庚醫院,不僅擁有國際認可的基礎架構設施資安防護能力,同時在零信任架構也著力甚深,已經完成包括持續驗證在內的多項措施,近期更針對行動裝置部署 MDM(Mobile Device Management)方案以進行管理防護。
北榮以微軟資安解決方案打造零信任基礎架構
成立超過一甲子的臺北榮民總醫院每年門診量超過 235 萬人次、住院超過 13 萬人次,手術近 7 萬人,總院員工近 8 千人,為了加強對同仁、病患及其親屬的服務,北榮開發了許多對外系統,這些對外服務的系統每天被駭客嘗試攻擊的次數更多達百萬餘次。
臺北榮民總醫院資訊室郭振宗主任表示:「在醫療場域必須以病人為優先考量,病人安全絶對高於資訊安全,如何在使用資訊系統且不影響醫療的前提下,更靈活地推動零信任架構,儘量減少資訊安全風險,是醫院現階段重大的考驗。」
值此同時,醫療機構及 A 級關鍵基礎設施醫院的身分所面臨的法遵課題,包括醫療法、資安法到個資法,稍有閃失就可能面臨行政處罰或造成民眾對於醫療機構的信任感危機,北榮在資安面臨的嚴峻挑戰不言而喻。
臺北榮民總醫院資訊室郭振宗主任表示:「在醫療場域必須考慮以病人為優先考量,病人安全絶對高於資訊安全,如何在使用資訊系統且不影響醫療的前提下,更靈活地推動零信任架構,儘量減少資訊安全風險,是醫院現階段重大的考驗。因此,選擇擁有長期營運能力和完整解決方案的合作夥伴,可以避免日後要重新建置資安防護體系的風險。」
兩年多以來,北榮分階段完成相關建置。第一階段是身分識別的強化,結合原有的微軟 AD(Active Directory)及Microsoft Entra ID(過去稱為Azure AD);第二階段是端點防護,傳統防毒軟體跟不上日新月異的攻擊手法,改採Microsoft Defender for Endpoint(簡稱MDE)做為終端設備的 EDR 防禦機制;第三階段是實行雲地混合架構,包括部分電子郵件服務已經上雲、導入 Microsoft 365 Exchange Online 等,這些雲端服務的使用都必須與 Microsoft Entra ID 進行整合。
隨著前述建置陸續到位,北榮今年已進入試行零信任架構的階段,規劃挑選數個關鍵系統試運行,明年再視數發部的計畫來擴大應用範疇。
資安混合雲模式的高效率與多重效益
兩年多來陸續導入的資安解決方案裡,北榮最有感的就是 Microsoft Defender for Office 365(簡稱MDO)的郵件的防護,以及即時掃描附件和連結是否有惡意程式碼。事實上,釣魚郵件早已位居駭客入侵手法之首,北榮也不堪其擾,即使已經使用郵件過濾工具,每天收到的郵件裡有 7 成皆是垃圾郵件或釣魚郵件,以微軟雲端服務掃描附件和連結後再放行,目前垃圾郵件或釣魚郵件佔整體郵件比例已低於 1 成,不僅免於頻寬浪費及降低風險,使用者滿意度也有顯著提升。
郭振宗主任指出,雲端服務是大勢所趨,對資安的效益尤其明顯,IT 人員可以專注在平台管理與異常追蹤,即使有狀況也是從 PaaS 層開始檢視,不同於以往必須逐一清查硬碟等各種硬體元件的狀況;此外,安全性更新是負擔很重且複雜度很高的工作,導致同仁都希望儘量保持原狀,僅針對重大更新採取行動,但雲端服務的安全性更新作業是由微軟執行,大幅減輕 IT 人員的負擔。
台灣微軟公共業務事業群總經理陳守正(圖右)表示:「醫療機構的 IT 人力相對有限,卻需服務為數龐大的醫療同仁和病患及其家屬,再加上零信任架構的推動並非一蹴可幾,善用微軟資安解決方案,就成為事半功倍的捷徑,除了減輕人力和預算的負擔,更能確保技術最先進、更新最即時的資安防禦機制。」
即使在地端安裝工具,收集 PC 等終端裝置的使用資料並回報異常行為,後續的分析和追蹤,以及相關資料的保存仍是在雲端運行,更免除自行建置硬體的過程,而且還有預設的分析儀表板、異常警示機制可快速上手使用。未來還能針對異常行為預先採取保護措施,如強制斷網等。
台灣微軟公共業務事業群總經理陳守正表示:「醫療機構的 IT 人力相對有限,卻需服務為數龐大的醫療同仁和病患及其家屬,再加上零信任架構的推動並非一蹴可幾,善用微軟資安解決方案,就成為事半功倍的捷徑,除了減輕人力和預算的負擔,更能確保技術最先進、更新最即時的資安防禦機制。」
長庚醫院力推零信任,全面納管行動裝置
長庚醫院醫療資訊管理部石蕙源組長表示:「近年來醫院陸續推動行動查房、行動辦公室、行動簽章、同意書簽章等作業,除配發專屬設備外,亦允許部分作業開放醫護人員自行攜帶行動裝置並進行行政和醫療工作,但這個作法也讓資料外洩、授權機制、應用程式安全性等課題也浮上檯面,部署 MDM 便成為優先要務。」
兩年前,台灣醫界舉行了首次的醫療資安攻防演練,選擇的示範基地就是林口長庚醫院,長庚醫院更是台灣首家通過 ISO 27001 驗證的私人醫療體系,在零信任的推動也名列前茅,已在實際網路與系統架構落實多項措施,包括持續驗證(多重驗證、多因子驗證導入)、最小權限(全體導入 AD、特權管理系統)、微分割(SDN 網路、服務與服務間預設不可連通)、全面監控(導入 LOG 分析告警及 SOC 即時分析),設備合規性檢查、數據傳輸加密、端點設備導入 MAC 管理、EDR 管制,以及在行動裝置導入 Microsoft Intune 建立 MDM 機制。
長庚醫院醫療資訊管理部石蕙源組長表示:「近年來,醫院陸續推動行動查房、行動辦公室、行動簽章、同意書簽章等作業,除配發專屬設備外,亦允許部分作業開放醫護人員自行攜帶行動裝置並進行行政和醫療工作,但這個作法也讓資料外洩、授權機制、應用程式安全性等課題也浮上檯面,部署 MDM 成為優先要務。」
針對解決方案的選擇,長庚的評估條件包括適合醫院使用場域需求、功能面、安全性、成本、管理及部署的便利性,以及與現有 IT 基礎設施的整合。雀屏中選的 Microsoft Intune 不僅滿足上述考量,微軟在地團隊的強大技術支援能力也是重點,整體系統由規劃、設備請購、安裝、試運行、調校到部署,只以 6 個月時間就完成全面部署。
過去長庚必須投入更多人力和資源進行手動管理,但在導入 EMS(Enterprise Mobility + Security)及 Intune for MDM 後,透過單一管理介面就能集中管理所有裝置的狀態,管理平台由微軟負責更新系統及功能,相對的,長庚就能降低維運系統的心力,還能快速取用新技術、新功能,並透過雲端行政策和安全設定的即時調整,簡化管理流程,確保系統的安全和穩定性。
Intune for MDM 也展現了顯而易見的成本效益,由於長庚的服務量體在國內首屈一指,終端設備和裝置數量極為龐大,院內使用者幾乎都是擁有多設備的使用情境,相關授權方案價格高低會影響年度資安預算配置。Intune for MDM 提供每位使用者最多可綁定 5 台 PC/筆電、5 台平板、5 台手機,相較其他品牌 MDM 解決方案,不僅可降低總體成本,還能達到最多設備納管的效益。
結合夥伴之力以深化與強化醫療資安
以更有效率、更安全的方式來管理行動裝置,長庚以現代化且持續創新的解決方案來應對未來的挑戰。事實上,如同許多企業組織,長庚醫院採取的防禦作法包括傳統防毒軟體、防火牆和入侵防禦系統、補丁管理和訪問控制,但由於攻擊手法日新月異,導致可見性不足、反應速度慢、多重工具管理複雜等挑戰。然而,透過微軟 EMS(Enterprise Mobility + Security)及 Intune for MDM 的部署,長庚建立了端點安全防護的平台,在簡化管理流程的前提下,提升可見性和威脅偵測能力,進而加快反應速度。
在評估資安解決方案時,安全性與合規性、管理可視性、整合與擴充性、成本效益,都是長庚優先考量的條件。而在資安合作夥伴的選擇,長庚看重的則是全面的生態系、技術和創新能力、專業的服務團隊,兼具所有條件的微軟成為長庚的首選。
Microsoft Windows 是市佔率最高的電腦作業系統,結合雲端的 Microsoft 365 和 Azure 服務,具備從地到雲的原生系統整合優勢;此外,微軟在資安領域的技術和創新能力符合長庚的高標準要求,再加上台灣微軟團隊及其資安領域合作夥伴自由系統,皆能提供專業且即時的技術支援與服務,確保長庚在系統運行過程可隨時取得有效協助。
除了行動裝置,醫院內部也常有因應用系統而無法直接升級的舊版作業系統,為了避免成為資安破口,長庚也在考量評估導入微軟作業系統內建的 Defender for Endpoint 來整合 EDR,提升可視性和威脅偵測能力,並改善資安人力不足並簡化管理流程,進而提升全面端點防護力。
台灣微軟專家技術群總經理吳子強表示:「資安強化措施和零信任架構的推動,最終目的都在保障醫療機構的資訊安全,為員工、病患及其家屬提供一個更安全的數位環境。微軟也將持續與台灣醫界合作,加速及確保零信任架構的落實,推動台灣醫療產業邁向智慧轉型。」
© 2024 Freedom Systems Inc. All rights reserved.