医护服务的网络安全

「医护机构需要一套整全方法去管理网络安全风险，当中包括资讯科技应用、业务流程、数据管理程序、用户取览限制管理和事故后复原机制等。」

黎少斌先生
香港生产力促进局（生产力局）
首席数码总监

保护病人的电子病历免受网络威胁，已成为医护提供者的重要议题

过去几年间，医护界别面临越来越多网络攻击。保护病人的电子健康纪录免受不同威胁已成为医护提供者的重要议题。黎先生指出，鉴于病人的资料属高度敏感，医护提供者有责任采取足够的防御和管制措施，以加强收集和上传每项数据时的私隐度和安全性。

「黑客总是用尽各种方法去攻击电脑系统，而这些攻击对数据私隐、业务运作和服务提供构成风险。」黎先生说。

医护服务的网络安全挑战

许多普遍针对医护界别的网络攻击都会损害病人的私隐。它们还会严重影响医护提供者有责任维护的业务和数据。黎先生表示，网络钓鱼电子邮件和勒索软件是两种常见于医护界别的网络攻击。

「勒索软件透过把储存在系统中的数据进行加密，令用户在支付赎金前无法取览数据；而网络钓鱼电子邮件攻击则试图窃取敏感资料，例如用户个人资料，以进行犯罪活动或潜入机构网络以进行欺诈活动，从而获得经济利益。」他解释说。

根据海外医护界别网络安全事件中所汲取的经验，黎先生指出源自内部人士的威胁也受到更多的关注。不论是因员工不满、职员或供应商疏忽、网络不安全和软件过时等，带来与网络罪犯同等程度的风险。

黎先生补充说，随着科技的进步，医护界别面对的另一个网络威胁来自新兴医疗设备。而这些医疗设备利用了「医疗物联网」收集健康数据并连接医疗资讯科技系统。

常见的网络攻击有勒索软件和网络钓鱼电邮，而医疗物联网亦可成为网络威胁的来源

「借助医疗物联网，医疗设备可以通过互联网自动产生、分析和传送数据。虽然它可以便利数据存取和处理，为医护提供者提供参考时更方便，但由于每个连接点都可能成为新的攻击目标，这就会带来安全威胁。」黎先生阐述。一旦医疗物联网被入侵，受攻击的设备就可能转变为僵尸网络并攻击其他电脑。

医护提供者的网络安全规划
随着网络威胁扩散，黎先生呼吁企业，包括医护提供者，应更重视网络安全，并投入资源以改善网络安全状况和增强网络复原能力。

生产力局一直为香港的公、私营机构提供有关网络安全的培训和顾问服务，并管理由政府资助的香港电脑保安事故协调中心（HKCERT）。HKCERT负责协调有关电脑及网络安全事故应变处理的工作，并为本地企业和互联网用户提供网络安全建议。

黎先生说:「网络安全不仅与技术有关。我们主张采用全面规划，将机构的业务流程、营运和数据包括在内，以管理和减低所要面对的网络安全风险。」

生产力局一直为香港的公、私营机构提供网络安全培训和顾问服务

他续称:「这亦包括数据管理和用户取览限制，以将数据清楚分类并正确厘定取览权限，并制定通讯和灾难复原机制，使机构在危机出现时可迅速应变和恢复运作。」此外，他还强调提高员工对帐户管理认识和对网络安全保持警惕的重要性。

「最重要的是，机构要定期检讨整个保安策略，适时作出更新及不时举行安全意识培训和演习。」他补充说。

黎先生表示，鉴于一些企业未必具备网络安全专业知识，生产力局一直致力推广「Security-as-a-Business (SECABiz)」，即是把网络安全方案纳入资讯科技供应商的服务配套之中，作为服务要求或增值服务之一。这样，可以鼓励企业安装具备更高安全标准的电脑系统或软件，以防止网络攻击。

采用更强的身份验证，例如生物识别，有助减低资料外泄的风险

用户的安全措施

电子健康纪录互通系统第二阶段发展计划中的病人平台将于2020年启用，届时病人可通过平台的流动应用程式，查阅其部份健康纪录。谈到应如何保护病人平台的数据私隐和安全时，黎先生建议平台可采用更强的身份验证，例如生物识别，以将资料外泄的风险减至最低。

在用户方面，他强调应在方便使用和网络安全之间取得良好的平衡，以保护用户的健康资料。致力推动网络安全教育和推广活动，也有助提升公众对安全风险和防范网络攻击措施的认识。

黎先生建议未来病人平台的用户可采取一些基本的流动装置安全措施：

		从官方网站或官方应用程式商店下载病人平台流动应用程式
		避免使用公共设备或公共无线网络（wifi）登入病人平台
		在流动装置上查看和储存个人资料和电子健康纪录前，应考虑实际需要
		切勿解除流动装置原厂锁定的权限（root or jailbreak）
		为流动装置／无线网络（wifi）路由器设定高强度密码
		适时安装软件修补程式
		定期更新防毒软件
		切勿打开可疑电邮
		计划预防措施，以免流动装置丢失时资料外流