關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 資安管理
顯示分類
2025.11.14
標準與框架/資安管理
醫療保健安全存在缺陷,因為其系統之間無法相互通訊

當代醫療健康生態系統高度依賴複雜的技術架構,涵蓋了醫院、遠距醫療平台、雲端服務與大量連網醫療設備。然而,系統的高度碎片化正嚴重阻礙安全團隊建立一個集中化、可操作的安全視野。Prime Therapeutics的首席資訊安全長Cameron Kracke在本次專訪中強調,解決互通性障礙、促進跨機構協作,並將資安思維轉變為業務賦能者,是達成醫療產業整體韌性的關鍵。本報告將詳細探討這些核心挑戰,並根據Kracke的洞察提出全面的策略性建議。

 

核心挑戰:生態系統碎片化的威脅

醫療健康領域的獨特性在於其資料的敏感性與對系統運作時間的極度依賴。維護橫跨醫院、診所、專科中心和第三方夥伴的統一安全可視性,成為一項日益複雜的任務。

在本次 Help Net Security 的訪談中, Prime Therapeutics的首席資訊安全長 Cameron Kracke探討了醫療保健生態系統如何實現統一的安全視覺性。由於醫院、診所、遠距醫療和雲端合作夥伴等眾多機構都參與其中,維護可視性仍然是一項複雜的任務。 Kracke 分享了互通性、協作和策略性投資如何增強整個醫療保健安全領域的韌性。

  1. 實現統一安全可視性的主要障礙是生態系統碎片化,醫療機構通常會將傳統的本地系統與現代雲端原生應用程式以及日益增加的連網醫療設備、用戶端或臨床應用程式整合。
  2. (2) 業界標準存在差異,包括不同的檔案格式、通訊協定和資料交換機制(例如 HL7、FHIR、DICOM),這可能會使互​​通性複雜化,並使跨平台聚合和關聯安全事件變得困難。
  3. 異質網路連接:從安全的內部網路到第三方遠距醫療連接,不同的連接模型可能會造成盲點和不一致的可見性。
  4. 軟體開發生命週期 (SDLC) 的複雜性:多個開發團隊、供應商和發布週期阻礙了安全控制、監控和事件回應流程的標準化。

這些技術和程序上的差異共同阻礙了集中式、可操作的安全視圖的創建,增加了未被發現的威脅和合規性漏洞的風險。醫療機構如何在安全性和臨床可用性之間取得平衡,尤其是在生命取決於系統正常運作時間的情況下?

 

策略性建議與防禦框架的建立

面對上述挑戰,資安團隊的角色必須從被動的「守門員」轉變為主動的「業務賦能者」(Business Enabler),積極尋找能支持組織目標的資安解決方案。

安全團隊應將自身視為業務賦能者,積極主動地尋找能夠支持組織目標的安全解決方案。這份報告提出的主要建議措施:

  1. 解決生態系統碎片化

  • 問題:醫療系統同時整合舊有的本地系統、雲端應用、醫療設備與第三方平台,導致安全事件難以集中管理。

  • 建議:推動標準化的資料與流程整合(如 HL7、FHIR、DICOM 等協定),減少不同系統間的格式差異,提升事件關聯分析能力。

  1. 強化互通性與協作

  • 問題:醫療安全工具來自眾多供應商,造成整合疲勞與警示過載。

  • 建議:在點狀解決方案與整合平台之間取得平衡,避免過度依賴單一供應商(vendor lock-in),同時確保跨平台的互通性。

  1. 將安全嵌入 SDLC(軟體開發生命週期)

  • 問題:多團隊、多供應商、多版本的開發流程,導致安全控制與事件回應不一致。

  • 建議:在 SDLC 中 嵌入安全設計與測試,確保所有新系統與更新版本都具備一致的安全基線。

  1. 資源優化與人才投資

  • 問題:醫療機構普遍面臨預算與資安人才不足。

  • 建議:透過策略性資源分配,優先投資在能提升能見度與防禦能力的工具與人員培訓,減少因警示過載造成的團隊倦怠與流失。

  1. 建立集中化、可行動的安全視圖

  • 問題:異質網路連線(內部網路、遠距醫療、第三方雲端)造成安全盲點。

  • 建議:建立集中化的安全能見度框架,能夠跨系統收集、關聯並分析事件,確保病患資料與臨床服務的持續保護。

 

平衡安全與臨床可用性:心態與文化的轉變

在醫療保健領域,安全措施不能以犧牲臨床可用性或影響病患護理結果為代價。系統的正常運作時間直接關係到生命安全。Kracke建議,資安領導層的心態必須從一概拒絕("no")轉變為協作式的「是,並且」("yes and")方法。這意味著安全團隊需要與業務部門早期合作,將資安風險的緩解視為支持業務成功的手段,而非阻礙因素。這種文化轉型需要時間、持續的實踐以及強有力的領導力,確保團隊在保護敏感資訊與促進成功業務成果之間找到富有創意的平衡點。

 

借鏡公共衛生:建立社區防禦機制

由於威脅行為者持續瞄準敏感的醫療數據,所有的醫療組織都面臨著普遍但獨特的風險。Kracke指出,醫療資安團隊可以從公共衛生領域借鑒經驗,特別是在資訊共享和社區防禦方面。資訊共享是增強集體防禦的關鍵組成部分。當組織之間公開交流威脅情報、漏洞和最佳實踐時,他們能夠更快、更有效地應對新興威脅。像健康部門資訊共享與分析中心(HS-ISAC)和美國聯邦調查局基礎設施保護(FBI InfraGard)這樣的團體,提供了值得信賴的環境來進行這種資訊交換,有助於彌補行業間的差距。

除了資訊共享,建立社區防禦機制也至關重要,例如跨行業的聯合事件應對演練、協調一致的漏洞管理以及共享安全標準的制定。透過提升信任、保持透明度,並將資安視為所有團隊的共同責任,醫療機構才能建立一個更具韌性的安全生態系統,更好地抵禦威脅並支持更安全、更可靠的護理服務交付。

 

結論與前瞻

Prime Therapeutics首席資訊安全長Cameron Kracke的見解明確指出,醫療健康資安生態系統的統一化是一個涉及技術、流程和文化的系統性挑戰。成功的關鍵在於正視現有碎片化問題,推動標準化協定的應用(如FHIR),並在營運中策略性地將安全控制嵌入軟體開發生命週期的早期階段。透過將資安團隊定位為業務賦能者,以及積極參與行業間的資訊共享與協作,醫療機構不僅能保護敏感的病患數據,更能確保臨床服務的連續性和卓越性。這種全面且主動的安全策略,是未來醫療健康領域實現持久韌性的唯一途徑。


資料來源:https://www.helpnetsecurity.com/2025/11/13/cameron-kracke-prime-therapecutics-healthcare-security-ecosystem/
 
Prime Therapeutics首席資訊安全長Cameron Kracke深度剖析醫療健康生態系統在實現統一安全可視性上面臨的挑戰,包括系統碎片化、標準差異與人才短缺。