今日實作:整理三個現況問題

台灣醫院資安痛點分析 – 三大現況問題

前言

台灣的醫院在醫療服務上相當先進，但在資訊安全方面卻屢屢傳出問題。無論是病歷外洩、勒索病毒攻擊，還是系統中斷，都讓社會對醫院的資安防護能力產生疑問。身為資訊室的一員，我常常在第一線感受到這些問題帶來的壓力。

這篇文章我整理出台灣醫院目前最明顯的三大資安痛點：人力不足、系統老舊與資安文化缺乏。這三個問題相互交織，使得醫院在面對資安挑戰時，往往處於被動甚至無力的狀態。

一、人力與資源不足

現況

大部分醫院的資訊室編制相當精簡。許多醫院資訊室人員不到十人，卻要負責全院所有電腦設備、伺服器、網路、資訊系統，以及資安相關工作。這種「小兵打大仗」的情況，導致人員往往只能疲於救火，難以投入長期的資安規劃。

問題

1. 無法專責資安：同一個人既要修電腦、又要維護伺服器，還要兼顧資安監控。
2. 難以持續學習：資安技術更新快，但資訊室人員常因日常雜務，無法參與專業培訓。
3. 外包依賴度高：醫院不得不仰賴外包廠商，但外包並非隨時在場，反應速度有限。

結果

人力不足讓資安變成「知道該做，卻沒有人力做」，問題長期累積。當駭客入侵或資料外洩時，醫院才發現防護遠遠不足。

二、系統與設備老舊

現況

醫院系統的複雜度極高，包括電子病歷（EMR）、檢驗資訊系統（LIS）、影像系統（PACS）、掛號與行政系統等，彼此之間必須互相整合。然而，許多系統建置已超過十年，甚至仍在使用 Windows 7 或更舊版本的伺服器。

問題

1. 無法及時更新：醫院 24 小時運作，系統很難停機更新，導致漏洞修補不即時。
2. 相容性問題：新系統與舊系統混雜，導致升級困難。
3. 醫療設備無法替換：像是 MRI、X 光機附帶的電腦，往往使用特定舊版系統，替換成本過高。

結果

系統老舊直接成為駭客的最佳目標。他們專挑這些沒更新的漏洞下手，一旦入侵，就能輕易竊取病歷或癱瘓醫院作業。這也是為什麼醫療院所經常被勒索病毒攻擊。

三、資安文化與意識不足

現況

即便資訊室努力建置了防火牆、加密系統與權限控管，但若醫護人員缺乏資安意識，系統依然會被攻破。台灣不少醫院仍存在以下問題：

1. 密碼習慣不佳：很多帳號密碼沿用多年，甚至多個人共用同一組帳號。
2. 防釣魚信意識薄弱：醫護人員忙碌，常常直接點擊郵件中的連結或附件。
3. 把資安當成資訊室責任：多數醫護認為「資安與我無關」，忽略自身操作的風險。

結果

資安文化的缺乏，使得人往往成為最大的漏洞。根據許多調查，超過 70% 的資安事件源自人員操作失誤，而不是純技術問題。

台灣醫院三大資安痛點比較表

總結與建議

台灣醫院的資安痛點可以歸納為三大面向：

• 人力不足 → 沒有專責人員，防護力不足。
• 系統老舊 → 漏洞無法及時修補，駭客輕易入侵。
• 資安文化不足 → 醫護人員操作失誤成為最大破口。

要解決這些問題，除了政府必須投入更多資源、要求醫院建立專責資安單位外，醫院本身也需要逐步改善：

1. 增加資訊室編制，至少要有專人專責資安工作。
2. 制定系統汰換計畫，避免一味依賴老舊設備。
3. 持續推動資安教育，讓醫護人員了解「資安就是病人安全」。

唯有同時從人、系統與文化三方面著手，台灣醫院才能真正提升資安水準，守護病人的信任與隱私。