前情提要:今年大二的我，從大一下開始進入桃園醫院資訊室工作，在暑假時參與一年一度的資通安全實地稽核，並深刻了解到資安在醫院的重要性。因此，我決定這次以醫院資訊室的資安為題，進行為期30天的實作，希望能透過這次鐵人賽，讓我更了解資訊室的資安內容。

今日實作:找一則醫院資安新聞並寫心得

醫院資安新聞觀察 — 強化醫院防禦：台灣對抗「CrazyHunter」勒索攻擊的政策與啟示

新聞重點

2025 年 8 月中旬，台灣政府針對醫療院所受到駭客勒索攻擊的風險，宣布了一系列強化醫院資安的措施。這些攻擊事件包含 MacKay（馬偕醫院）與彰化基督教醫院先後遭受「CrazyHunter」勒索軟體入侵，導致系統癱瘓、病患資料被盜賣等嚴重後果。為了防範類似事件，數位發展部與衛生福利部將合作推動四項重點策略：資安演練（含國內外白帽駭客參與模擬演練）、培育資安人才、制度指引制定，以及加強稽核與檢查。

另外，有些醫院已經安裝了 Endpoint Detection & Response（EDR）工具，以減少被惡意程式入侵的風險；在政策上也針對勒索軟體攻擊制定「24 小時、48 小時、72 小時」等分階段應變指引，以利第一時間控制損害與恢復系統。

心得與分析

這則新聞對我來說有幾個很重要的啟示，同時也讓我反思醫院資訊室可以怎麼做得更好：

1. 政策先導很關鍵

政府主動推出制度指引與演練，代表醫院資安不只是技術問題，也需要有制度、法規與流程的支持。沒有政策與上層支持，單靠資安人員做防禦會力不從心。

2. 實作工具與技術有落差

馬偕醫院等已有安裝 EDR，但仍然被勒索軟體攻擊。這說明即便技術有導入，也可能因為被攻擊者利用漏洞（像帳號弱密碼、釣魚攻擊、內部權限濫用等）而被突破。醫院資訊室需要做到不僅「有裝」，而且「用得好」──定期更新、監控異常行為、權限最小化等。

3. 演練與應變流程不可或缺

制定「被攻擊後該怎麼做」的步驟（24/48/72 小時）非常實際。這樣的流程可以幫助資訊室在事件發生時不慌亂，迅速控制損害、恢復系統。做模擬演練能讓人熟悉流程，能更快反應。

4. 人才與檢查制度需加強

培育資安人才、引進白帽駭客參與演練、強化稽核檢查，這些都是提升整體防禦能力的關鍵。資訊室要有持續學習與監督機制，不讓安全控制變得形式化或停留在「有政策」而沒有落地。

小建議／下一步行動

基於這則新聞與心得，假設我是醫院資訊室的一員，我可能會做這些事情來強化防禦：

• 檢查所有使用者帳號是否有強密碼＋是否有使用多因素驗證（2FA）；
• 實際做一次內部的「釣魚郵件演練」，看看同仁中有多少人會點擊，再做教育；
• 建立一個小型監控儀表板，監控是否有可疑的登入異常或權限請求（如有誰在深夜存取敏感資料）；
• 確定備份策略：資料備份是否離線或異地、備份能否快速還原，以防系統被加密後資料不可用。