#線上研討會
愈來愈多企業開始從應用軟體開發流程即控管資安品質,採用應用程式安全性的工具進行檢測,但拿到報告之後呢?
本次將分享👉
🔺 Lucent Sky AVM 白箱檢測掃描解決方案🔺
#業界獨家技術 - 找出程式弱點並修正它們,快速協助企業提升程式碼的安全性並符合政府資安法規。
⏰ 播出時間:2021年8月31日(二) 下午2:00
🙋 我要報名:https://bit.ly/3xKJOGZ
弱點掃描法規 在 台灣物聯網實驗室 IOT Labs Facebook 的最佳貼文
醫療IT將有兩大變革!衛福部宣布電子病歷交換中心要改為FHIR架構,還要送草案讓電子病歷上雲
衛福部資訊處處長龐一鳴日前在臺灣資安大會上,宣布要將電子病歷交換中心(EEC)架構改為FHIR交換架構,以符合國際醫療資料交換標準,此外,衛福部還要放寬電子病歷存取權,將允許醫療機構將電子病歷上雲代管。目前衛福部正修改法規,接下來要公開草案、徵詢外部意見。
文/王若樸 | 2021-05-08發表
衛福部資訊處處長龐一鳴表示,衛福部計畫將電子病歷交換中心(EEC)架構改為國際醫療資料交換標準FHIR,他將這種以FHIR格式交換的電子病歷,稱為新世代電子病歷,由4大元素組成。
為強化醫療資安體質,衛福部資訊處處長龐一鳴6日在臺灣資安大會上重磅宣布,衛福部要擁抱HL7國際醫療資料交換標準FHIR,將電子病歷交換中心EEC改為FHIR交換中心,來降低眾多接口產生的資安風險;此外,衛福部也要放寬電子病歷存取權,將允許醫療機構上雲代管,目前正修改法規,接下來要公開草案、徵詢外部意見。衛福部希望藉這些做法,強化醫療資安防護基礎,一方面也希望臺灣醫療資料與國際接軌,要讓國內醫資廠商用符合國際標準的產品,出國「打國際盃」。
從公共衛生看醫療資安,得先養好體質才能預防資安事件
公共衛生出身的龐一鳴指出,醫療資安有如公衛和預防醫學的三段五級策略,公衛中的三段是指人生病的三階段,從無症狀或易感染狀態,到臨床病徵出現,再到傷殘或死亡的階段。這三階段對應到醫療資安,就是無症狀或被刺探狀態;出現弱點、發生資安事件;以及資料遺失、橫向擴散和系統癱瘓。
面對發病過程,公衛有5種策略來應對,像是促進健康、特殊防護、早期診斷早期治療、限制殘障和減少死亡,以及最後的復健。「醫療資安也是如此」,龐一鳴舉例,醫療機構平時就應養成健全體質、蒐集情資來預防事件,並定期進行弱點掃描、做好特殊防護,再來才是資安健檢、加入監控機制(SOC)即時修補問題,達到早期診斷早期治療的效果。
要是發生資安事件,醫療機構也要透過通報應變機制(如ISAC、CERT),來降低資安事件帶來的衝擊。最後一步,則是事件後的復原鑑定。(如下圖)
在這5種做法中,過去,衛福部已在資安事件處理有所著墨,包括近幾年建置的醫療資安情資分享與分析平臺H-ISAC,讓關鍵基礎設施醫院(CI醫院)加入,透過緊急應變處理(CERT)和聯合監控(SOC)等機制,來鞏固醫療資安聯防。
現在,龐一鳴則回過頭聚焦5級策略中的第1級,要培養好所有醫療機構的資安體質,來降低事件發生的可能。「醫院養好體質,可避免未來可能遇到的資安問題,」他比喻,就像這次疫情期間,民眾落實戴口罩,不只防疫,也防止其他耳鼻喉科相關疾病,連健保數據都顯示去年相關門診就醫次數大幅下降。
養體質第一招:電子病歷交換中心EEC改為FHIR架構
同理,為防止病從口入,衛福部打算將醫療院所的「口」防好,也就是簡化電子病歷的交換架構。龐一鳴指出,電子病歷是醫療機構和政府單位最常交換的資料,這些單位包括健保署、國健署、EEC、疾管署、地方衛生所等,由於這些單位彼此不互通,醫療機構得針對不同單位,採用不同交換標準,並配合不同網路工具來執行。
過去,健保署多年來每每針對不同專案,開設專屬VPN來建立加密的資料交換環境,來給醫療院所使用。然而VPN一多,就容易產生資安風險。
因此,龐一鳴認為,要是能先將EEC交換平臺改為FHIR交換平臺,採用主流的國際醫療資料交換標準HL7 FHIR,就能簡化交換流程,不必一對一客製化介接,連帶簡化醫院需使用的網路工具,減少破口出現。他希望,藉由衛福部EEC率先改用FHIR,帶動其他單位擁抱FHIR,跟上國際趨勢、進一步簡化資料交換工作。(如下圖)
他將這種以FHIR格式交換的電子病歷,稱為新世代電子病歷,並由4大要素來推動。首先是資料標準,也就是要將新舊標準平行轉移,讓EEC先採用FHIR、健保署仍採用舊標準,爾後再調整;同時,龐一鳴也要藉此將衛福部內的資料交換,改以電子病歷為單位。(如下圖)
第2要素是連結跨部會資源,透過經濟部補助一年一度的臺灣FHIR聯測,來推動FHIR普及,同時也要協同經濟部輔導廠商的FHIR產品服務等。
再來是透過產官學合作,來發展醫療機構所需的FHIR資料格式轉換工具,以及培育FHIR人才資源。最後則是新世代電子病歷的交換應用,比如發展交換平臺,來試做疫苗護照等應用。
疫苗護照FHIR新機遇,未來還能推廠商打國際盃
龐一鳴坦言,疫苗護照是衛福部擁抱FHIR的另一個契機。目前,WHO、歐盟和世界多國都已倡議推行疫苗護照,要讓民眾透過App,出示自己在該國接種疫苗的證明,來加速出入境和進出特定場所的身分檢查。而這款App,就需要與該國衛生部門資料串接,而他們用來串接接種資料的交換標準,「就是FHIR。」
對臺灣來說,要加入國際疫苗護照行列,就得用FHIR來串接電子病歷中的疫苗接種紀錄。但龐一鳴指出,過去以來,臺灣醫療院所電子病歷交換的主要對象,一直是健保署,因此交換架構是臺灣健保署專用,而非國際通用。於是,要與國際串接資料,臺灣勢必得採用FHIR。
他認為,疫苗護照是臺灣練兵FHIR的大好機會,也能順勢將「國際標準轉化為國內標準。」他期望臺灣趁這次機會實現3個目標,也就是做好FHIR疫苗護照,再來是醫療機構採用FHIR國際標準,讓國內醫學研究更容易與國外互通,最後是臺灣醫資廠商大規模採用FHIR,讓自家產品不再只是臺灣標準,而是遵循放諸四海皆準的國際標準,如此才能「打國際盃。」
龐一鳴指出,這項計畫也已知會衛福部部長陳時中和數位政委唐鳳,盼能落實。
養體質第二招:允許電子病歷上雲託管,放寬存取權
接下來,衛福部養好醫院資安體質的第二招,是要放寬電子病歷存取權,允許電子病歷上雲代管,再由政府監督雲端業者和代管業者。這是因為,對臺灣眾多的專業小型醫療院所來說,管理醫療相關資料十分耗力,委外處理要是出事了,廠商不負法律責任,「導致小診所苦不堪言。」
為解決這個問題,衛福部擬定草案,要開放電子病歷上雲、交由第三方代管。龐一鳴指出,許多雲端業者的醫療資料處理服務,既符合歐盟最嚴格個資法GDPR,也符合美國主流的醫療資料保護法案HIPAA,更遵從國際標準FHIR,對人力不足的小型醫療院所來說,就會是個解方。而政府要做的,就是監管雲端業者和代管業者,多一道把關。
衛福部要開放電子病歷上雲,還有另一個用意。龐一鳴表示,由於長年法規規定,電子病歷只能存放在醫院中,導致醫院用雲相對落後。「但現在是上雲時代,醫院不用雲,大部分醫療AI幾乎不能用,」而開放上雲,就能促進醫療院所對AI的採用。
目前,這套上雲草案已完成內部意見整合,最近將公開草案、徵詢外部意見。龐一鳴希望,藉由改善電子病歷的交換架構和存取權,來打好醫療院所的資安體質。
要將資安稽核納入醫療評鑑,還要強化社交工程防治演練
回到醫療資安層面,衛福部也有幾套做法,來鞏固原有的醫療資安機制。首先是擬定在醫院評鑑中,加入資安稽核項目,來吸引更多醫院加入醫療資安聯防機制。這是因為,受限於資安法規定,衛福部無法全面將聯防機制推動到每家醫院,所以得想辦法讓不同身分的醫院加入。
再來,衛福部也會繼續推動資安人才培訓,並與其他政府部會協商,來強化醫療資安聯防。同時還要提升醫資廠商資安意識,將逐步要求醫資業者備妥資安防護措施。
今年,衛福部也計畫辦理更多演練,來加強醫院資安事件處理經驗。這些演練包括資安事件通報,也就是加入H-ISAC的會員醫院將收到H-ISAC演練警訊,會員醫院得依此回覆,進行通報等等。此外,衛福部也會針對社交工程,辦理模擬演練,至少10家醫院參與演練,並各自提交報告。
衛福部也鎖定聯網程度越來越高的醫療儀器(OT),將醫療儀器生命週期納入資安管理,以6種配套措施來納管,像是汰舊換新、採購評估、教育訓練等等。(如下圖)
近期醫院被勒索軟體攻擊次數下降,盤點5大方法降低事件發生率
最後,龐一鳴盤點近幾年醫療勒索軟體攻擊事件,指出2019年8月,臺灣38家醫院在幾個小內接連遭到WannaCry病毒大規模攻擊,是因為病毒從內網橫向擴散,「我們也藉此檢討EEC架構和健保VPN設置,並來改善。」
在那之後,自2020年至今,臺灣只有零星幾家醫院受到攻擊。比如2020年,只有兩起北部區域醫院和地區醫院的受害通報,今年至今也只有3起通報。(如下圖)
他也歸納出5種方法,來降低勒索病毒威脅,包括落實資安長制度、拒絕釣魚郵件(即社交工程攻擊)、建設好網路防火牆,還有USB管控和IT防禦。他認為前4種是對付80%攻擊的關鍵,而IT防禦雖只擋20%攻擊,但也是重要的防護基礎。
龐一鳴建議,IT防禦範圍包括善用H-ISAC情資分享,來掌握勒索軟體防護攻略,此外還有採用各種資安縱深防禦工具和技術來防範威脅。醫院透過有效的管理方式,就能杜絕大多數的攻擊嘗試,讓IT有餘力應付高明的駭客,而不會因層出不窮的事件疲於奔命,這也是IT防禦的心法。
資料來源:https://www.ithome.com.tw/news/144262
弱點掃描法規 在 陳薇仲 基隆市議員 Facebook 的最佳貼文
【工務處人事處綜發處業務報告檢討|工程之外重要的事情們!】
11月9日(一)是工務處與人事處、綜合發展處的業務報告,我和工務處除了討論道路品質和挖掘勘驗等工程議題,更該從友善和生態的觀點出發,加強無障礙空間、樹木保護以及公用路燈光害等檢視機制。
和人事處討論到公務員課程增加性平與樹木保護流程與知識。綜合發展處主要集中在資訊安全的建議上。除了工程之外,公部門還是要從更多更進步的觀點來做更全面規劃,才能讓基隆成為一個硬體進步而軟體也進步的友善城市。
#工務處
🖥影音:https://vod.kmc.gov.tw/k_video/video/1091109DR_0.mp4
✍#麥金路提升道路品質計畫總檢討
麥金路是安樂區居民主要的通勤道路,從2018年申請到相關經費開始設計,進行管線共管、路平與人行道平整的工程,市府也宣示達成2年內禁挖的示範道路水準,已經在今年10月底完工。相信大家有感受到整體路平的改善,但基於整體工程還是需要改善的狀況,我也一併提出請工務處除了工程的執行外,也可以更注意到排水系統改善、行道樹保護、無障礙友善的建立等。
🌳行道樹不當修剪一再發生
前情提要:https://npptw.org/BQlI8S
行道樹不只是肩負城市小型生態的功能,更是提供樹蔭和綠資源的重點,若樹木被不當對待如植穴過小、不專業的過度修剪,不當修剪、拉扯樹皮所造成的傷口會讓細菌容易進入樹木、植穴過小造成樹木根系發展不全,會造成樹木體質弱化而有在風災時有公安疑慮。
麥金路的行道樹修剪工程在今年6月底被民眾陳情約有10棵樹木過度與修剪的狀況,後續發現有未依照相關法規向審查單位做「修剪申請」的狀況,我們當下也展開協調會,要求工務單位和包商應該完善修剪申請等作業程序,但後續8月底又發現施工單位對10棵行道樹進行大幅度修剪而未送申請的狀況。
除了依照一般常規性的作法──與包商簽訂保活一年的契約,根本無法保護行道樹被好好對待,我再一次要求工務單位必須完善修剪流程,另外,也應該將修剪與移植引入園藝專業,未來若林務局的契約規範與流程確立後,也必須要求廠商遵守契約並完善樹木保護的責任,為樹木打造友善的生活環境、市民也才能享受到舒適的綠蔭。
👩🦼不夠友善的無障礙空間
前情提要:https://npptw.org/BQlI8S
此次麥金路的改善工程屬於前瞻基礎建設的提升道路品質計畫,推動目的是「透過公共建設與友善環境規劃,重新定位社區空間服務機能以健全基礎公共空間與 無障礙設計」因此,建置無障礙友善通行空間是這項計畫的重要目標,麥金路的幾處人行道改善也希望能讓輪椅族可以好好使用人行道,不過在麥金路薑母鴨附近因為原本建築高程關係,而設計成兩層的人行道,若要輪椅族要上下兩層,就只能使用由薑母鴨這一側的斜坡,另外是下層的寬度過窄,而很容易影響輪椅族搭乘無障礙車輛的方便性。無障礙通行環境本身是讓輪椅族享受友善便利的通行與乘車環境,未來會也有越來越多的無障礙車輛,希望工務單位把以此重要的目標,盡力改善目前設計上不友善的狀況。
💦側溝排水改善
我也發現麥金路新做的人行道採用側溝設計,但是在短時間較大雨量下,人行道側溝排水不及,造成路面多處積水,影響機車行車安全,尤其在富景天下的公車候車亭旁的人行道容易積水,等車民眾被經過車輛濺起的積水潑到。就我們所知麥金路這次的改善並不含排水系統,我也建議工務單位要釐清積水的問題──是因為引流還是路側側溝設計的關係(甚至是整體排水系統最大能承受之雨量)──並來協助改善的指標,讓雨天人車通行更安全。
🚧道路挖掘權屬統一
目前管線單位要挖掘公有道路,是需要到基隆市道路挖掘系統登錄,目前工務處也在進行系統改善。然而,在道路維管責任與釐清上,還是有三項管理法規未統整的情形,三項法規用不同的標準──兩個是材質、一個是寬度──來區分工務處與區公所維管道路,我也希望工務處來協助統整法規並統一分工基準,以免每次遇到道路維護管理都需要花很多時間釐清權屬單位。
我也特別以「挖掘後沒勘驗而沒及時補上標線,造成民眾權利損失的案子」來提醒工務處,遇到如下水道範圍較大、期程較長的工程,要改善勘驗程序,以確實依照程序、落實勘驗,即時檢測到路面回復的狀況,才能確保道路品質。
💡降低能源浪費與光害
公用路燈若未經審慎評估而設置,很容易導致光害──夜間生態被破壞、動物生理機制與造成人體健康問題等。在路燈的設置上,我們很容易陷入二元對立的問題:很暗和全亮、危險與安全。
但《市區道路及附屬工程設計規範》中其實有規範到路燈在不同區域(人少或車流少)會規範不同的趙明輝度。目前暖暖與中山區已經裝設超過八成的智慧路燈,但現在卻全數關閉調光功能,我建議工務處應盡快建立裝設路燈的機制,並提供不同的工具,例如可以使用低色溫路燈,而人行道照明可以使用矮燈柱減少散射,產業道路可以多使用反射的指向條,讓路燈的裝設不是只在裝與不裝的二元對立中,而可以建立機制搭配善用工具來減少光害與能源浪費,更有效進行路燈的裝設的評估與管理。
⚡️能源轉型:節電政策的下一步
這次業務報告,針對每一個局處我都會詢問 #能源轉型 的業務,工務處更不用說,因為工務處是節電、節能相關業務的主責單位,也是本市能源轉型是否能夠好好推動跟成功的關鍵。上週我在社會處業務報告時己經跟社會處吳處長討論過關於「能源弱勢」(普遍定義:一個家戶的「能源支出」占比超過全戶所得10%)的問題。
💡與社會處討論「能源弱勢」:https://tinyurl.com/y5wqvoao
我認為要改善能源弱勢的現象,必需由工務處主導、社會處協力,讓我們從「協助弱勢家庭取得(價格低廉但可能非常耗電且危險)的電器」,轉換為「弱勢家庭需要怎麼樣的(有效、節能、安全的)能源服務」,來降低弱勢家庭的能源支出的佔比,並提升用電安全,避免持續使用效能不佳、耗電又危險的電器,反而花更多錢付電費。
社會處長已經答應會進行研議,我希望工務處能夠以專業和經驗,以及節電、用電安全的知識來規劃。例如,可以結合社區節電種子、低碳社區的業務,在拜訪弱勢家庭時同時進行「用電健檢」,來改善家戶用電狀況或傳授安全用電、節電知識,或與社會處討論如何來強化家電汰換補助的計畫內容。
➡️工務處長回覆:麥金路的行道樹的確是有這個疏失,未來會研議保活的期限並調整契約,而排水的狀況會來調整引流板與加設洩水孔。道路挖掘的問題首先會以新系統並搭配大型挖掘工程的程序檢討來改善。光害則希望有產發處相關的盤點經驗或示範點來做嘗試。而在能源轉型的部分,目前工務處有對用電大戶做能源診斷,處長認為協助能源弱勢進行能源診斷服務是可以思考的,學校也可一併納入,後續會跟社會處合作並討論如何挹注資源。
#人事處
🖥影音(人事處、綜發處):https://vod.kmc.gov.tw/k_video/video/1091109DR_1.mp4
❤️公務人員培訓:性別平等相關課程
針對公務人員培訓提升性別平等、多元性別主題,我一直持續在議會提案並跟市府建議,非常感謝人事處,今年舉辦了共有兩百多位公務同仁參與的三場性別平等主題課程,我認為這對性別平等業務的推動非常有幫助。也感謝人事處將延續今年的規劃,在明年進行CEDAW的專班、認識多元性別及性別平權專班,以及性別平等電影賞析課程。
因此我提出,希望明年的課程中可以持續深化相關議題,並融入實務操作,以及第一線狀況理解及演練。同時,也希望人事處可以持續和深耕相關議題的團體進行合作,提供公務同仁們實用的課程。
🌱公務人員培訓納入樹木保護流程與知識
我從第3次定期會開始就用許多不當修剪的案例和各個單位討論如何強化基隆市行道樹、公有樹木的保護機制。尤其市府的許多單位的工程都可能涉及樹木修剪,包括進行人行道改善工程的工務處、維管產業道路的產發處、民政處和各區公所的零星工程,甚至觀銷處的步道工程都可能和樹木修剪相關。
除了建立相關機制,最重要的還是相關單位能夠重視行道樹修剪這件事。希望可以透過課程訓練加強各級承辦人對樹木的認識、並了解府內的資源與機制,進而達到保護樹木的目標。如都發處從去年開始舉辦樹木修剪工作坊,希望可以協助都發處擴大辦理,或是搭配民間團體會舉辦免費的樹木課程,我也建議可以由人事處整合這些課程資訊,並用公務人員時數來鼓勵工程相關的承辦人參加這些課程。
➡️人事處回覆:會持續與性別平等的專業團體來合作,相關課程明年的規劃會來研議融入實務操作的部分。樹木修剪的課程都有實數。
#綜發處
🖥影音(人事處、綜發處):https://vod.kmc.gov.tw/k_video/video/1091109DR_1.mp4
💻資安服務的全面測試
去年5月時,因為市府同仁誤點了勒索信件而造成市府內網和公文的損害,針對這個部分的宣導和演練是否有事前與事後的檢討,來加強市府同仁資訊安全的觀念。另外,基隆市府一直在進行行政院補助地方政府加強資安維護的服務建置,這個部分是否有相關的測試及早找出弱點?在汰換電腦方面,是僅有硬體還是會搭配軟體系統升級,以降低系統的弱點?
✉️公文交換系統修復工程進度報告
上一次定期會業務報告時,我和綜發處討論過因去年市府網站被勒索病毒入侵,造成公文系統損壞,使同仁難以查詢、連結過去公文檔案的問題,造成部分基層同仁辦公上的困難。當時,綜發處回覆我,部分公文還是必須以人工的方式協助查找,相關的資訊工程正在進行但有難度,無法回覆確切可以修復完成的期程。時間已經經過半年,我請綜發處說明,目前公文系統修復工程的進度以及未來的維運機制。另外,也希望開始建立各議員研究室的電子公文單位,加快公文交換效率。
✏️「司法院釋字第七四八號解釋施行法」施行後: 各機關表單、資訊系統、網頁調整
中央發布「配合釋字七四八號解釋施行法施行後,各機關表單、資訊系統、網頁調整參考指引」要求地方政府針對相關表單、填報系統和網頁進行合乎新法規定及友善的調整,感謝綜發處回覆在今年10月5日提報性平委員會通過結案。但在我們辦公室仔細檢視目前市府及各單位網站上提供的各填報表單,還是發現了需要改善的地方,以育兒津貼申請表來說,中央的指引建議應將「父、母」改成「申請人1/申請人2」,但我們目前不管是區公所還是教育處提供下載的表單中,在括號中還是以「父、母」來指引填寫。
另外,除了有關「司法院釋字七四八號解釋施行法」相關的友善調整外,我們也發現了很多需要與時俱進調整的部分,例如,我們在安樂區公所網站上下載到2020年9月上傳公告的社會救助調查表中,竟然還有「平地山胞」、「山地山胞」的勾選項目。(區公所已於11/9更新)原住民正名運動從1980年代開始,經過了那麼多運動前輩的努力和整體社會的進步,直到1994年憲法修正,我認為在2020年的今天出現這樣的內容是我們不能接受的。另外,現在已經不太使用「殘障」而多是使用「身心障礙」,仍然散見在各表單。我覺得有必要全面的來檢視各單位下載文件及表單內容,希望綜發處作為市府專業的資訊管理單位,在協助各單位網站更新時,也可以來統籌要求各局處進行檢討、更新,並撤下已經沒有在使用的表單。
➡️綜發處回覆:資訊科長回覆說針對資安防護都有進行弱點掃描,另外市府內部的電腦裝設若跟不上軟體系統的話會根本跑不動,因此會以硬體更新為主。公文修復的狀況正在進行。在表單調整的部分因為資訊科還是屬於技術人員,主要要支援技術,內容還是要以各單位為主來檢視。