報導摘要

根據 Imprivata 2025 年的《醫療共享行動裝置現況報告》，儘管共享行動裝置能為醫院節省成本並提升工作效率，但其所帶來的資安風險正日益嚴峻。報告指出，高達 79% 的受訪者表示，醫護人員在使用共享裝置時仍會共用帳號憑證，而 74% 的裝置在用後並未登出。這些不當習慣讓敏感的病患數據面臨極高風險，特別是在裝置遺失或被盜時。此外，高達 49% 的受訪者對共享裝置上的病患數據安全表示不信任，這在 HIPAA 等嚴格法規規範的醫療產業中，是一個值得警惕的現象。

資安風險

此報告揭示了醫療共享行動裝置的幾個主要資安風險：

1. 憑證共享與未登出：這是最直接且最嚴重的風險。當多位使用者共用一組憑證，或裝置在用後未登出，任何取得該裝置的人都能輕易存取敏感的病患個資（PHI）。這使得身分認證形同虛設，為資料外洩創造了機會。
2. 缺乏正式管理流程：許多醫療機構仍缺乏一致的裝置分發政策，高達 46% 採用口頭交接，28% 甚至使用「先到先得」模式，且沒有任何追蹤紀錄。這導致資安事件發生時，無法追溯是誰在何時、何地存取了什麼資料，難以追究責任。
3. 實體遺失與盜竊：報告指出，每年有 23% 的共享行動裝置遺失。裝置遺失不僅造成成本損失，更重要的是，若裝置未加密或登出，其上的病患數據將暴露在風險之中，可能導致嚴重的隱私外洩。
4. 影子 IT 與 BYOD 風險：81% 的醫護人員在共享裝置無法使用時，會轉而使用個人裝置處理公務。這種「影子 IT」行為不僅規避了組織的資安政策，也大幅擴大了攻擊面，增加了惡意軟體入侵和資料外洩的風險。

安全影響

上述資安風險將對醫療機構帶來多層面的安全影響：

1. 病患隱私外洩：這是最嚴重的後果。病患個資外洩會導致嚴重的隱私權侵害、法律訴訟，以及高額的罰款，特別是在 HIPAA 等法規之下。
2. 工作流程延遲：裝置遺失或管理不當會浪費醫護人員寶貴的時間來尋找裝置，平均每週每位員工需耗費 3 小時。這不僅降低了工作效率，也可能延誤病患的即時照護。
3. IT 部門負擔加重：IT 團隊因缺乏集中化管理系統，花費大量時間在低價值任務上，例如追蹤裝置、設備維護等。這種缺乏可見性的情況也讓他們難以偵測惡意或疏忽行為。
4. 信任與聲譽危機：資安事件會嚴重損害醫療機構在病患和公眾之間的信任，造成長期的聲譽損害。

行動建議

為有效解決這些問題，報告建議醫療機構採取以下措施：

1. 實施統一認證與存取策略：建立強大的身分識別與存取管理（IAM）系統，確保每個使用者都透過唯一的憑證登入。應推廣生物識別、單一登入（SSO）等現代化認證方式，取代傳統的帳號密碼。
2. 建立正式管理與追蹤機制：導入行動裝置管理（MDM）或資產管理系統，自動追蹤裝置的分配、使用與交接。這能確保裝置的使用具備可追溯性，並在遺失時能即時鎖定或清除資料。
3. 強化裝置實體安全：在裝置上啟用加密功能，並設定自動登出與鎖定功能。同時，建立明確的政策，規範遺失裝置的處理流程，並教育員工其重要性。
4. 制定並執行資安政策：制定關於共享裝置使用的明確政策，包括禁止憑證共享、定期登出、禁止使用個人裝置處理公務等，並確保所有員工都接受相關的教育訓練。

結論

醫療共享行動裝置是提升效率的關鍵工具，但其資安管理上的漏洞已成為一個迫切的威脅。憑證共享、非正式的交接流程、以及裝置遺失等問題，不僅危及病患的隱私與安全，也對醫療工作流程和 IT 團隊造成了沉重負擔。面對這些挑戰，醫療機構必須從根本上改變其資安策略，從被動應變轉為主動管理。透過導入現代化的身分認證、自動化的裝置追蹤，並建立嚴格的資安政策，才能在享受科技便利的同時，確保病患數據的安全與信任。

資料來源：https://www.helpnetsecurity.com/2025/08/01/shared-mobile-device-security-healthcare/