iT邦幫忙

0

關於資安問題(診所)

各位先進大哥您們好,小弟在公司擔任MIS,上面有一個主管
目前敝公司有投資的醫療事業體,日前小弟到醫療大樓去檢修網路的時候
發現架構上並沒有防火牆與資訊安全的概念,就只是單純ADSL就供全大樓做網路使用
因為有連結到伺服器的醫療系統,我怕這樣子被入侵了那病患的隱私不就全部都流出了
因為我上面的主管不管事,又不想我去動他的架構,問他為什麼當時會這樣子設計
他只回了我因為省錢,反正沒有發生過,請問一下就各位先進們的經驗
小弟應該如何規劃又應該如何來說服公司可以改那邊的架構?
還望各位先進們給予小弟一些意見,謝謝您們

看更多先前的討論...收起先前的討論...
1.收集案例
2.個資法配合
3.請廠商報價,含預估使用前後差異

通常可以請廠商來,為了成交、只要不是太麻煩,廠商多數會同意協助。
sssp116 iT邦新手 5 級 ‧ 2014-06-25 13:52:20 檢舉
謝謝您的提供,目前的確是挺多家廠商接洽過
不過都被主管檔掉了,看來我們現在的狀況
不是廠商怕麻煩而是自己內部怕麻煩
老闆又不願意改善這個認為根本不重要
李大瑋 iT邦研究生 3 級 ‧ 2014-06-25 16:02:56 檢舉
另外因為總額給付
醫療單位支出每筆款項都有斟酌
很多醫院都有這樣現象
HA
不意外
一尾 iT邦研究生 1 級 ‧ 2014-06-25 16:44:27 檢舉
這種事只有在發生事情之後才會有比較大的改變
在還沒有發生什麼大事前
通常都會過一天算一天
因為這個錢花下去就跟買保險差不多

既然身在醫療體係中
要不就跟老大反應說
花這個錢就像打預防針一樣
而改變使用者行為就像要求每個人用餐前要洗手
都是為了長保健康

只是現在的對像不是人
而是資訊環境
蟹老闆 iT邦大師 1 級 ‧ 2014-06-25 17:22:29 檢舉
最快的方式,把病患資料POST一些上網,然後通知上司說個資被盜了,這樣不用寫簽呈馬上獲得預算。
李大瑋 iT邦研究生 3 級 ‧ 2014-06-25 18:10:47 檢舉
很快就可以不用工作了HA
蟹老闆 iT邦大師 1 級 ‧ 2014-06-25 21:26:45 檢舉
jhoward提到:
很快就可以不用工作了

會自保主管吃自己,主管會推MIS吃自己....
GJ iT邦研究生 5 級 ‧ 2014-06-26 10:46:35 檢舉
如果都沒辦法推的話
就先自保吧
有問題時黑鍋就輪不到你背
賽門 iT邦超人 1 級 ‧ 2014-07-24 09:43:53 檢舉
看了這篇PO問,以及多位邦友的回答與討論,我不禁想起那一大堆風行在八點檔的連續劇中的劇情。
不論什麼時候什麼情節,都可以和陷害、黑鍋、背叛牽連在一起。

這篇PO中,我看到各種假想的陷害、黑鍋、背叛同出一徹....偷笑

我想問這位PO問者,你們有沒有用寬頻分享器?什麼品牌型號?有些寬頻分享器功能很強大的。
單從你PO一句沒有防火牆與資安觀念,我就有很多疑問想問你....

1. 所謂資訊安全是一種整體規劃,包括資訊系統在設計上的配合,不單指防火牆與網路架構,請問你有深入瞭解 貴公司的資訊系統架構以及整體網路架構嗎?可以提出現在的網路架構圖嗎?
2. 請問,你打算如何重新規劃?你總要有一套規劃,才能提出來給公司決定是否更新現有架構?
3. 你確定你的新規劃能夠改善現在架構中的資訊安全問題?誠如看一開始就說的,資訊安全還必須考慮資訊系統的設計,你,有對這方面進行瞭解與進行重新規劃?

然後,我想再問你,你有深入瞭解主管當初規劃時與決定現在架構時的想法嗎?
一句省錢,其實也包含了不少訊息在內,請問,你有瞭解這句話背後可能存在的公司大老闆的想法?

擔任資訊主管多年,我常見到一些年輕的廠商業務在經過膚淺的產品推銷術的訓練後就來挑戰企業資訊主管的耐心。
以及,一些還沒什麼技術沉澱的年輕IT員工,聽了廠商產品發表會後,就急著提出要花錢買XXXX產品的說詞。

所謂規劃,所謂技術評估,所謂可行性分析,都只在短短兩三句話裏就完成了....Orz

我要建議這位PO問者,先搞懂資訊安全是什麼,至少,把ISO27001的條文看過一遍,然後在心裏沉澱一下一下一下一下(不是一下下),再來看看 貴公司的網路架構與資訊系統架構那邊有改善空間,再把架構圖與可行性分析文件做出來,寫好後,不急著呈送,再三反覆的推演,直到自已滿意,也有把握說服主管時,再提出吧。
一尾 iT邦研究生 1 級 ‧ 2014-07-24 16:26:17 檢舉
iT邦幫忙MVPsimon581923提到:
把ISO27001的條文看過一遍

全看一遍要花好多時間啊
賽門 iT邦超人 1 級 ‧ 2014-07-24 16:43:51 檢舉
select提到:
要花好多時間啊

所以看完就不會來PO問了....偷笑
加上今天問的: 外部連線內部SQL SERVER
http://ithelp.ithome.com.tw/question/10153097

放在一起看,真是有趣.
10
Blue Jacky
iT邦大師 1 級 ‧ 2014-06-25 12:32:56
最佳解答

個人曾經手四、五個醫療相關單位資訊網路管理

根據以往經驗,憑心論
閣下的問題很難解
尤其是主事者是沒遠見又沒擔當的怕事者

經驗之一
客戶(病患)資料整批出現在中國某網站供人下載
業主經朋友"提醒"才乖乖花錢改善
直接換一家維護廠商,一切就當沒發生過 - 不承認,一切賴給前一家維護廠商。

經驗之二
某醫療公會會員資料整批外洩。
同樣"視"若無睹,反而找藉口把善意提醒的"告密者"換掉 <- 這實在很糟糕
事後一切"蓋"的很完美,就像完全沒發生任何事

勸你慎重行事,不要讓你的責任感與善意害自己丟了工作又揹黑鍋。

看更多先前的回應...收起先前的回應...
sssp116 iT邦新手 5 級 ‧ 2014-06-25 13:46:10 檢舉

相信您也一定曾經有段辛苦的路程啊
在這個行業大家真的都要共勉之
我相信在企業主的考量第一優先肯定是成本為考量優先
不會是只有我現在這個老闆,每個老闆幾乎都一模一樣
痛過一次才會有想改善的想法
我想我目前就是靜待觀察吧,至少有擬出一套發生這樣的問題要怎麼解決為優先了
實實在在的讓他痛一次,才有可能對這方面有所重視

hon2006 iT邦大師 1 級 ‧ 2014-06-25 15:36:20 檢舉

你可以評估一下,如果電腦被入侵,個資外洩會損失多少錢,
你要投入多少錢可以預防這種狀況發生.
然後你老闆就會決定要不要作,
如果出問題也沒有你的事了

sssp116提到:
痛過一次才會有想改善的想法

問題在這個"痛",很可能會讓你自己惹禍(黑鍋)上身
最好是留下你曾經向上反應問題的證據
免得讓半澤直樹在你身上真實上演

個人第一次遇到時,就是輕忽這點
事後硬是被"栽贓"揹了黑鍋
後來都一定以書面簽呈或錄音留下記錄
反而避掉兩次被當"替死鬼"的責任
只是也連帶丟了工作 <- 錄音那次

sten iT邦新手 3 級 ‧ 2014-07-02 14:47:14 檢舉

我和我同事去年也被栽贓過,還好我們都有留紀錄,公司高層才罷手...
我們曾經在週會簡報3次,被攻擊的公司網站、防火牆紀錄...等都成為證據。

8
外獅佬
iT邦大師 1 級 ‧ 2014-06-25 10:34:51

資安不一定要靠防火牆
做好資料加密也是可以的

看更多先前的回應...收起先前的回應...
sssp116 iT邦新手 5 級 ‧ 2014-06-25 10:53:26 檢舉

我懂妳的意思,目前我擔心的是假如被有心人士入侵了
很怕病患個資外洩,還有無其他方式

u8526425 iT邦大師 1 級 ‧ 2014-06-25 11:06:40 檢舉

個資法你有必要去看一下
瞭解狀況才有辦法去做政治上的溝通
得到授權後
再來才是技術問題

sssp116 iT邦新手 5 級 ‧ 2014-06-25 11:09:01 檢舉

是的,當然最重要的還是最後老闆的決策
只是想請教一下是否有做過醫療事業體的
可以供參考
這部分是需要時間去了解來做溝通的

u8526425 iT邦大師 1 級 ‧ 2014-06-25 11:10:12 檢舉

風險揭露的部份
除了你講的個資外洩 (請看懂法源)
系統不穩甚至破壞
變成僵屍網路 (資源無端被消耗)
變成跳板 (警察會找上門)
資料被惡意加密 + 金錢勒索
發生了
誰要負責 ? -> 責任歸屬

u8526425 iT邦大師 1 級 ‧ 2014-06-25 11:12:45 檢舉

資安規劃怕的是沒錢沒權
從來不缺解決方案
你不懂沒關係
你可以帶廠商去簡報

sssp116 iT邦新手 5 級 ‧ 2014-06-25 13:48:13 檢舉

您說的都是其次,當然有錢有權
但是前提是必須讓他痛過一次
廠商已經有好幾家來找過我了
提出去都是被打槍,說根本沒有發生不重要
現在重點很明確,等待痛一次就會花錢改善了
至少有一套配套措施了,接下來就等著看吧

4
michaelwan
iT邦高手 1 級 ‧ 2014-06-25 11:27:48

ADSL後端應該有個IP分享器.
重點在後端的電腦管理, 防火牆相對來說不是最重要的.

看更多先前的回應...收起先前的回應...
花輪 iT邦大師 1 級 ‧ 2014-06-25 11:40:44 檢舉

michaelwan提到:
重點在後端的電腦管理

哈哈~~這也是最難的部分...

你要管,別人還不理你呢! 相信MIS都有這種經驗...不耐煩

sssp116 iT邦新手 5 級 ‧ 2014-06-25 11:58:52 檢舉

現在這個真的是挺困難的
當然小弟只是想要對這個架構做一點改善
重點不是技術也不是防火牆設備等
是想要怎麼提才能讓老闆對這個重視
現在遇到最大的問題都是等遇到了再來解決
沒有遇到就無所謂
說明白點MIS是滅火器,發生火災的時候就可以滅火
但是滅火器又有分乾粉式、氣泡式、水基式,如何有效規劃滅火器
而不是等到已經燒起來了再來打119已經都晚了
這個心態這個觀念我想比什麼都重要
要改變沒辦法百分之百,至少要做到60分
難改的是人啊,相信大家也知道的落寞

sssp116提到:
難改的是人啊

難改的是"老闆", 至於老闆是不是人, 那就不一定了.

蟹老闆 iT邦大師 1 級 ‧ 2014-07-24 09:44:01 檢舉

michaelwan提到:
至於老闆是不是人, 那就不一定了.

哈哈哈哈哈哈

6
李大瑋
iT邦研究生 3 級 ‧ 2014-06-25 16:01:10

現在醫療單位還要雲端藥例查詢
還要有ADSL醫療專線
你老闆應該覺得反正符合要求就好了
真的出事情的話..........就說那是無心之過吧
個資法上路,資料還是保全點好
不過醫療單位很少只用IP分享器,最少也來個VIGOR居易防火牆吧!

jhoward提到:
VIGOR居易防火牆

基本上這跟IP分享器沒太大差異,建議最好使用專業一點的防火牆

8
mytiny
iT邦大師 1 級 ‧ 2014-06-25 23:44:14

我有比較賤的幾點解決辦法:

  1. 看來那個醫療事業體,並不是你的權責單位,建議你明哲保身,
    不要多管閒事惹禍上身,如果你怕良心不安,等你離職那天,
    給政府醫療主官管單位檢舉一下就好(順便說你也請媒體監督一下主管單位)。

  2. 非要給老闆建議,不要用買設備的手段,不但無用還覺得你很煩,
    給老闆說要那個醫療系統的廠商簽下割地賠款的資安條款,
    既符合個資法的精神,你老闆又不用付半毛錢,肯定誇獎你,
    這時那個醫療系統的廠商肯定不幹,自然會跟你老闆據理力爭,
    你就可以隔岸觀虎鬥,廠商落敗明年肯定放手不管,沒系統可用
    老闆自然跳腳,該花的錢自然就會花了,半點不用你費力。

  3. 有邦友建議防火牆相對不重要,我實在要說,最重要的就是防火牆了,
    除了想辦法要老闆自動掏錢買公司的防火牆外,你自己也要給自己買防火牆,
    不管是文字、錄音、影像都可以,就是不要搞個黑色的鍋子玩就對啦

以上小小建議啦!參考看看嘍!

mytiny提到:
有邦友建議防火牆相對不重要,我實在要說,最重要的就是防火牆了

願聞其詳~

slime iT邦大師 1 級 ‧ 2014-06-26 11:08:11 檢舉

mytiny提到:
有邦友建議防火牆相對不重要,我實在要說,最重要的就是防火牆了,

我倒想把網友說的話改一下, "除了防火牆外還有很多事都要注意".
包括:

  1. 這資料如果外洩, 責任歸屬是否在您身上? (權責上您是否"應該"知道有問題? 如果您權責可以處理是否有處理?)
  2. 如果責任在您身上, 有哪些點需要保護? (外部入侵 -> 防火牆, 內部文件簽核/保密機制, 預防外洩機制等)
  3. 要做到這幾點的保護, 需要哪些技術? (防火牆, 防毒軟體, 防 USB copy & 燒錄, 防拍照等)

這樣防火牆主要用在防外部入侵, 而還有其他方面需要考慮, 整體來看, 防火牆就不是唯一要考慮的項目.

slime提到:
防火牆就不是唯一要考慮的項目

+1

但是『重要性』要具體提出才行~~哪個才是最重要的?
1.責任歸屬
2.責任歸屬
3.以上皆是

6
begize
iT邦新手 5 級 ‧ 2014-06-26 09:35:29

我之前的做法是:
寫EMAIL給你老闆建議(可以的話附上中階主管),並附上你的建議,順便CC一份到你的外部信箱作保留證據,等出事時,這封EMAIL就是證據,時間若再拉長一點,可以每半年再發一次,表示你有持續關注這件事~~這樣以後出事也不關你的事情

daniel929 iT邦新手 4 級 ‧ 2014-06-26 13:53:08 檢舉

不需要越級報告 , 請尊重直屬主管

你這樣教他 , 可能他日子以後會很難過

mail給直屬主管 , 信件留底備存即可

14
daniel929
iT邦新手 4 級 ‧ 2014-06-26 11:50:51

請提供你環境的網路架構

通常ADSL Router後端接 分享器後,內部IP未作Mapping實體IP,外界的IP是無法連接至內部伺服器的。

請問貴公司的醫療系統有對外開放嗎? 對外是指 除公司這棟大樓外的人員使用???

如果有,你的擔心可能是必要的

如果沒有,代表你半桶水的知識,請不要妄加判斷,提供給你公司錯誤的建議

我會說這麼重,是因為你提出此問題時,並沒有詳加說明你公司內部網路架構。

架構都沒說清楚 , 一昧的提防火牆

分享器中的NAT功能也算簡單的防火牆 , 這點你知道嗎?

呵..呵..提到重點了

sten iT邦新手 3 級 ‧ 2014-07-02 14:41:34 檢舉

Daniel應該忽略了即使網路不對外,但以ADSL連上INTERNET的話,只要內網聯外,就會有高風險,所以樓主的擔心是很合理的。

我剛接手目前服務的公司時,就是遇到沒有在防火牆和分享器都沒有NAT的USER PC被攻擊,被當殭屍,我同事和我費了很大的力氣重建防火牆規則,重裝USER PC...等一連串步驟才改善。

樓主也已經與廠商提出解決方案了,我認為目前重點在於向主管、老闆"溝通"的用語是否太多技術用詞而艱澀難懂,如果已經很淺顯明白,那麼樓主能做的就是留下紀錄證明自己已經善盡職責,也避免被栽贓揹黑鍋。

我覺得提出任何問題,即使在高手來說是很笨的問題,我們實在不該去批評提問者,因為就是不懂才提問啊,就是遇到麻煩才問大家的建議啊~~任何高手都是從新手開始的,不是嗎?

sssp116 iT邦新手 5 級 ‧ 2014-07-24 07:52:36 檢舉

sten大真的是講到我的心聲了,解決方案不是沒有,我這篇主要的用意就是希望有處理過相關業務的先進們,可以分享彼此的經驗,並不是說要問有沒有什麼解決方式,說真的最重要的就是人,是否能有
提供相關的遊說方式,又或者是以一個專案來進行,這都是這篇文章可以跟大家分享討問的用意,也很開心您有幫我點出我的問題,希望未來彼此能一起加油了^^

6
sssss1101
iT邦新手 4 級 ‧ 2014-06-26 14:19:05

有錢買websense
沒錢香多燒一點

8
darkhsu
iT邦新手 5 級 ‧ 2014-06-26 18:35:19

防火牆是基本中的基本,就像房子的大門一樣,不同的只是大門的花俏程度(笑)

建議你先思考一下你們現在的電腦環境在什麼狀況下會有什麼問題(木馬?病毒?入侵?垃圾郵件?資料外洩?)
找對應的廠商來簡單規畫一下所需成本,並要他們提供相關的資安新聞(重點在於刑責與損失上)
做個簡單的比較表,有做與沒做會有什麼差別
排好優先順序與未來的擴充性,再找主管做個簡報
當然別忘記要不定期發個Mail給主管,提醒這些東西(主要是為了事發後可表明有做到告知提醒)
想要改變,沒有主管甚至更高層的支援是玩不下去的,尤其是在資安這塊【沒事沒感覺,有事痛到死】

如果你做了那麼多,上面還是麻木不仁
那就只剩兩條路了:要碼你也麻木不仁,要碼你換工作

p.s:忘了說,別忘記想想自己想不想或者有沒有時間玩資安,因為很大的可能導入後你要繼續扛著它們~~ XD

6
zcm
iT邦新手 1 級 ‧ 2014-06-26 22:36:12

先詳細研讀個資法並標註因資料外洩罰則及刑則作成一份報告給老闆, 需含建議處理事項!
最後加註主管及老闆批核(要他們簽回), 這份報告會是你萬一出事的保命符!

cyuwww iT邦新手 2 級 ‧ 2014-06-26 23:14:54 檢舉

贊同+1

8
cyuwww
iT邦新手 2 級 ‧ 2014-06-26 23:13:47

小弟看來,
資料應該早就外洩了。
我們公司有專門的網管人員,
專業的高檔防火牆。
可以知道的事實是,
每天都有人在打,
只不過,大部分都打不進來。
但是,小部分仍舊可以成功的進入。
所以,我們還做了第二層保護,就是檢視系統、程式、資料的變動性。
.
貴公司,
不用猜,資料肯定早就人手一份了。
.
個資法的要求是,資料持有之組織,需要有防護之作為;當有作為而資料外洩時,始可減輕責任。
按目前來看,再看看個資法規定,
二者組合在一起,可見;
一旦發生損害,或是被公布洩密的情形,則 貴公司一定破產。
.
故,在責任上,您有義務請上層注意這現象,
但是,為保護您自己,請通知上層時,務必可留下佐證,
例如,以mail方式告知。
假裝回家後想起,於是怕上班時忘記,就先用mail通知。
當然,利用簡訊,也可以按上述方式進行。
或是,
留下證人,例如,故意在別的部門主管前面講,假裝突然想起。
又例如:
在開大會時講,
不用假裝,就直接請主席裁示。
.
再不,就先準備離職,
不然公司突然倒閉,連薪水都領不到。

6
zuyan
iT邦好手 1 級 ‧ 2014-06-26 23:55:32

分享器不重要.....
重要的是在分享器後面的人....
還有你的資料有沒有用處...

分享器與低階防火牆的界限並不明顯

6
sunnylegend
iT邦新手 4 級 ‧ 2014-06-30 13:57:13

該跑的建議、簽呈都要跑一下,

免得到時候被拿去擋刀,

有個文件證明說當時你有提案說要做,

是上頭沒有通過該案,

個人覺得 "人" 才是資安最大的問題...

6
johnnyfang
iT邦新手 4 級 ‧ 2014-06-30 17:42:17

如果決策權在你主管身上,
但是他擺明就是多一事不如少一事,
坦白說,你要改變現狀有很大的難度,
做對了,上面的老闆看到的是你主管,
做錯了,責任是你自己要承擔,

我認為你可以把你認為如何加強現有架構的規劃,
以及做與不做的利害關係找時間寫成簡單的規劃書,
然後用 Email 的方式寄給主管,做不做讓他去評估,

但是日後如果真的發生問題,上頭怪罪到你們團隊,
至少你能舉證你曾經指出這些問題,並且提出相關改善方案。

我要發表回答

立即登入回答