若醫療儀器並非直接連入網路, 而是用介接方式,如何修正
若醫療儀器並非直接連入網路,而是採用介接方式(例如透過閘道器 (Gateway)、設備伺服器 (Device Server)、資料擷取盒或中介電腦連線),資安風險評估需要修正,將重點從單一設備轉移到整個介接系統及其邊界。核心原則是將介接層視為一個關鍵控制點,並加強對該點及其連接路徑的風險分析與防護。
資安風險評估的修正重點
- 擴大資產盤點範圍:
不僅要評估醫療儀器本身,更要將介接設備(閘道器、伺服器等)、傳輸線材(有線或無線)、傳輸協定、相關應用系統及實體環境納入資產清單。
- 重新定義系統邊界與資料流:
明確繪製資料流動圖:從醫療儀器產生資料,經過介接設備,最終到達醫院資訊系統 (HIS/PACS) 的完整路徑。
將介接設備視為一個「邊界主機」或「控制系統群組」,評估其與內部隔離網域和醫院 Intranet 之間的連線風險。
- 威脅分析著重於介接層:
介接設備的脆弱性:評估介接設備本身的作業系統、應用程式、韌體是否存在已知弱點(例如未更新的軟體、預設密碼)。
資料傳輸過程的風險:分析資料在從儀器傳輸到介接設備、再傳輸到核心系統的過程中,是否有被竊聽、篡改或阻斷的風險。應考慮使用安全的通訊協定和加密措施。
未經授權的存取:介接設備可能成為駭客從外部網路進入內部隔離網域的跳板。
- 風險控制措施的調整:
網路區隔 (Network Segmentation):將醫療儀器及其介接設備所在的網域與醫院其他辦公網路進行嚴格邏輯或實體區隔,並使用防火牆限制不必要的連線。
身份驗證與授權:確保只有經過授權的人員或系統能夠存取介接設備及相關資料。
日誌記錄與監控:啟用介接設備的日誌功能,監控異常的存取行為或連線嘗試,以便及時發現資安事件。
修補程式管理:針對介接設備上的軟體和韌體建立定期的修補程式更新機制,確保其安全性。
容錯與備援:評估重要組件的容錯機制(例如終端設備斷線儲存/連線重傳),提升系統資安韌性。
- 總結
介接方式雖然提供了一層緩衝,降低了儀器直接暴露於外部網路的風險,但風險並未消失,而是轉移到介接設備本身。因此,風險評估需要全面考慮這個新的攻擊面,並實施針對性的防護措施,以確保整個醫療資訊傳輸鏈的完整性、機密性和可用性。
