【臺灣資安大會直擊】醫院OT資安不能照辦公室IT那套!應先盤點、縮小範圍,再談防護
醫療儀器現場的資安困境
在醫療現場,醫護人員正在搶救病人,若醫療儀器突然要求輸入長達16位、包含英文、數字與符號的密碼,這將嚴重影響搶救效率。擁有近30年醫療儀器工程資歷的張韶良指出,辦公室IT的資安規則,如強制長度與複雜度的密碼設定,無法直接套用於醫療儀器場域。
OT資安與IT資安的差異
醫療場域中的操作型技術(Operation Technology, OT)與傳統IT系統有本質差異。OT系統的首要目標是「確保病人生命安全」,而非資料的機密性或完整性。因此,資安規則必須以「不影響醫療作業」為前提,進行調整與設計。
資安應先盤點與縮小範圍
專家建議,醫院應先對OT系統進行完整盤點,釐清哪些設備屬於關鍵醫療儀器,再針對這些核心系統設計專屬的資安策略。不應將辦公室IT的資安規範一概套用,以免造成系統無法運作或醫療流程中斷。
資安服務與實務建議
- 進行網段隔離性檢測,確保IT與OT網路環境分離。
- 執行IT與OT的資安攻防演練,以驗證實際防護能力。
- 建立專屬的OT資安檢測與健診機制,並提供顧問服務。
- 參考衛生福利部基層醫療院所資安防護參考指引,擴大資安範圍至整體資通系統。
醫療機構必須重新檢視系統分區策略、資料加密機制,以及跨機構互動時的身分與存取管理,以確保資安措施與醫療作業需求相匹配。