醫療照護受益AI 伴隨6資安風險
數位醫療以醫療資訊驅動轉型與永續,勢不可擋,資誠智能風險管理諮詢董事林于翔日前以生成式AI在醫療照護產業的應用,提出趨勢與風險掌握看法,指出醫療機構在資訊整合、權限控管、合規壓力、跨部門協作等痛點,並從FHIR等國際標準、資料治理、負責任AI、零信任資安策略等,協助醫院提升資訊互通、資安防護與AI合規。
林于翔表示,AI技術在醫療產業的應用正迅速擴展,涵蓋從智慧醫療軟體的導入到臨床試驗的數據分析等多個方面,AI技術應用,不僅能提升診斷準確性與效率,同時更能改善病患整體就醫體驗。然而,全球醫療產業也正面臨6項資安威脅。
攻擊臨床實境化 資安防線回應短
首先,針對「臨床實境化」設計攻擊劇本。駭客行動變得更具破壞性,如在手術或病患住院高峰期,啟動勒索軟體;透過攻擊製藥廠環控系統,使新藥試驗失敗衍生產業信任危機。
其次,生醫產業聯防資安聯盟崛起。全球越來越多跨院所、跨產業合作機制浮現,如共享威脅情報平台、資安紅藍分隊攻防演練等,使醫療與生技業聯手對抗組織化駭客團體。
第三,AI導入醫療資安防線回應時間縮短。隨AI與ML用於資安事件監控與威脅分析,醫事機構可提前偵測異常登入、異常資料存取,提升對供應鏈攻擊、勒索軟體、內部人員風險的反應速度。
雲醫療資料架構 資安攻擊新焦點
第四,攻擊鏈更專業。駭客越來越重視攻擊前的偵察與「武器化」,針對醫療影像系統如PACS、電子病歷(EMR/EHR)與醫療裝置(IoMT)情報收集,攻擊行動更精準與定向。
第五,雲醫療資料架構成攻擊新焦點。隨醫院與生技公司採AWS、Azure、GCP等多雲環境儲存病患基因資料、藥物試驗等數據,駭客正加速挖掘其中設定錯誤與API漏洞。
第六,自動化釣魚與社交工具滲透醫護社群。駭客用大語言模型生成的駭客工具在暗網販售,如仿造醫師溝通語氣的釣魚郵件,或模擬供應商合約文件的誘騙附件,攻擊目標包括醫學中心、診所、製藥廠與健保機構。
健康台灣深耕計畫 聚焦三大治理
醫院與科技商目前普遍關注的議題包括,如何打破資料孤島,提升資訊互通與決策效率;因應資安威脅與法規,強化資料安全與隱私以及善用AI與數據分析,合規推動智慧醫療落地。林于翔指出,這些重點正呼應政府健康台灣深耕計畫的政策方向。
林于翔認為,要推動深耕計畫,核心在回應醫療需求增加但醫護人力短缺的挑戰,藉由補助與政策引導協助醫療機構改善工作環境,提升醫療品質與服務永續;推動國際標準、強化資安與AI治理等措施;其中,深耕計畫範疇三明確聚焦在資安、資料與AI三大治理面向,有助指引醫療院所提升資訊安全、資料品質與負責任AI應用的治理。
客製化專業助攻 資安資料AI治理
林于翔指出,資誠風控服務團隊可依醫院需求,針對深耕計畫範疇三提出相關協助。其中,在資安治理方面可協助建構零信任資安策略,建構細粒度存取、持續驗證、最小權限,結合SOC監控、紅藍隊演練等機制,強化資料安全與韌性,符合國際標準。
在資料治理方面,可協助推動FHIR合規,進行資料盤點、建模、轉換、驗證、術語治理,建立高品質、可追溯資料治理體系並支援脫敏、匿名化、存取控管與稽核;在AI治理方面可協助建立制度、負責任AI政策與全生命週期管理,涵蓋模型來源揭露、偏見檢測、合規審查與效能驗證並結合ISO 42001等。
合規安全永續 打造智慧醫療環境
林于翔強調,資誠將持續協同醫療產業夥伴,優化資訊治理、資安防護與AI應用,協助醫療機構穩健因應政策趨勢,強化永續競爭力,為台灣智慧醫療的發展貢獻專業,助力醫療產業打造合規、安全、永續的智慧醫療環境。
