回應「資安，智慧醫療的罩門」

文／魏世昌

閱讀貴報讀者投書「資安，智慧醫療的罩門」一文，筆者想以身為一個資訊人員的角度提出一點自己的看法。

首先，醫療機構遭駭客入侵，顯然表示該醫療機構的主機連上了網際網路，才讓駭客有機可乘。然而問題在於，即令基於打擊疾病，照顧病人的任務，或協助醫師更快正確診斷，醫院間需要病歷資料分享，醫療機構的主機也絕不該連上網際網路，尤其主機裡面有非常重要且涉及個人隱私的醫療資料。換言之，為保護內部重要資料，阻擋來自外部網路的安全威脅，醫療機構應以網路實體隔離的方式，在存有重要資料的主機系統與員工使用的終端設備之間建立「端末管理系統」，以期有效控管資料存取。

此外，存放病人病歷資料之主機，除作業系統既有的安全設定外，應規劃安全等級較高之密碼辨識系統，以強化身分辨識之安全機制，防制非法使用者登入主機進行盜取、破壞等情事；必要時，使用電子簽章及電子信封等各種安全控管技術，以提昇網路作業之安全性。

其二，筆者長期在資訊業服務，據我所知，台灣產業界有做得相當好的防毒與網路安全軟體，既然能夠防毒，其實就表示他們很懂得駭客入侵的技術。所以我無法理解的是，即使政府請不到最頂尖的人才在政府機關任事，替政府資安把關，為什麼不找他們合作？而非要等到資安攻擊事件造成直接的經濟成本損失，顯而易見並難以估計，才意識到資訊安全的必要性？