医护服务的网络安全
 |
|||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
| 过去几年间,医护界别面临越来越多网络攻击。保护病人的电子健康纪录免受不同威胁已成为医护提供者的重要议题。黎先生指出,鉴于病人的资料属高度敏感,医护提供者有责任采取足够的防御和管制措施,以加强收集和上传每项数据时的私隐度和安全性。 | |||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
| 「黑客总是用尽各种方法去攻击电脑系统,而这些攻击对数据私隐、业务运作和服务提供构成风险。」黎先生说。 | |||||||||||||||||||||||||||
| 医护服务的网络安全挑战 |
|||||||||||||||||||||||||||
| 许多普遍针对医护界别的网络攻击都会损害病人的私隐。它们还会严重影响医护提供者有责任维护的业务和数据。黎先生表示,网络钓鱼电子邮件和勒索软件是两种常见于医护界别的网络攻击。 | |||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
| 「勒索软件透过把储存在系统中的数据进行加密,令用户在支付赎金前无法取览数据;而网络钓鱼电子邮件攻击则试图窃取敏感资料,例如用户个人资料,以进行犯罪活动或潜入机构网络以进行欺诈活动,从而获得经济利益。」他解释说。 | |||||||||||||||||||||||||||
| 根据海外医护界别网络安全事件中所汲取的经验,黎先生指出源自内部人士的威胁也受到更多的关注。不论是因员工不满、职员或供应商疏忽、网络不安全和软件过时等,带来与网络罪犯同等程度的风险。 | |||||||||||||||||||||||||||
| 黎先生补充说,随着科技的进步,医护界别面对的另一个网络威胁来自新兴医疗设备。而这些医疗设备利用了「医疗物联网」收集健康数据并连接医疗资讯科技系统。 | |||||||||||||||||||||||||||
| 「借助医疗物联网,医疗设备可以通过互联网自动产生、分析和传送数据。虽然它可以便利数据存取和处理,为医护提供者提供参考时更方便,但由于每个连接点都可能成为新的攻击目标,这就会带来安全威胁。」黎先生阐述。一旦医疗物联网被入侵,受攻击的设备就可能转变为僵尸网络并攻击其他电脑。 | |||||||||||||||||||||||||||
| 医护提供者的网络安全规划 |
|||||||||||||||||||||||||||
| 随着网络威胁扩散,黎先生呼吁企业,包括医护提供者,应更重视网络安全,并投入资源以改善网络安全状况和增强网络复原能力。 | |||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
| 生产力局一直为香港的公、私营机构提供有关网络安全的培训和顾问服务,并管理由政府资助的香港电脑保安事故协调中心(HKCERT)。HKCERT负责协调有关电脑及网络安全事故应变处理的工作,并为本地企业和互联网用户提供网络安全建议。 | |||||||||||||||||||||||||||
| 黎先生说:「网络安全不仅与技术有关。我们主张采用全面规划,将机构的业务流程、营运和数据包括在内,以管理和减低所要面对的网络安全风险。」 | |||||||||||||||||||||||||||
| 他续称:「这亦包括数据管理和用户取览限制,以将数据清楚分类并正确厘定取览权限,并制定通讯和灾难复原机制,使机构在危机出现时可迅速应变和恢复运作。」此外,他还强调提高员工对帐户管理认识和对网络安全保持警惕的重要性。 | |||||||||||||||||||||||||||
| 「最重要的是,机构要定期检讨整个保安策略,适时作出更新及不时举行安全意识培训和演习。」他补充说。 | |||||||||||||||||||||||||||
| 黎先生表示,鉴于一些企业未必具备网络安全专业知识,生产力局一直致力推广「Security-as-a-Business (SECABiz)」,即是把网络安全方案纳入资讯科技供应商的服务配套之中,作为服务要求或增值服务之一。这样,可以鼓励企业安装具备更高安全标准的电脑系统或软件,以防止网络攻击。 | |||||||||||||||||||||||||||
| 用户的安全措施 |
|||||||||||||||||||||||||||
| 电子健康纪录互通系统第二阶段发展计划中的病人平台将于2020年启用,届时病人可通过平台的流动应用程式,查阅其部份健康纪录。谈到应如何保护病人平台的数据私隐和安全时,黎先生建议平台可采用更强的身份验证,例如生物识别,以将资料外泄的风险减至最低。 | |||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
| 在用户方面,他强调应在方便使用和网络安全之间取得良好的平衡,以保护用户的健康资料。致力推动网络安全教育和推广活动,也有助提升公众对安全风险和防范网络攻击措施的认识。 | |||||||||||||||||||||||||||
| 黎先生建议未来病人平台的用户可采取一些基本的流动装置安全措施: | |||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
| 为医护业界提供崭新的网络安全服务 |
|||||||||||||||||||||||||||
| 为了专门协助医护机构防御网络攻击,HKCERT与微软(香港)合作,展开了「医疗保健网络安全试点计划」,运用HKCERT对网络威胁的国际经验和知识,及早发现针对本港医护业界的攻击。 | |||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
| 黎先生说:「协调中心的资料库载有系统曾受网络威胁的数据,我们会将参与机构所提供的互联网协定地址(IP Address)与资料库的数据进行配对,如发现任何网络威胁会立即通知他们,并帮助他们清理受影响的系统。这服务是免费的。」黎先生欢迎本港所有公、私营医院、诊所和其他医护服务提供者参加计划。 | |||||||||||||||||||||||||||
| 他总结:「所有机构,不论行业、地点或规模,均有可能成为网络攻击的目标。为提高医护界别对网络风险的意识,HKCERT将继续留意网络安全的最新发展,并提供配合业界所需的培训和指引,以协助他们检测、遏制和消除网络安全事故。」 | |||||||||||||||||||||||||||
|
|
 |
下一篇 建立及体验「用家为本」的病人平台 |