| 0 |
李委員坤城:(12時45分)謝謝主席,我們請邱部長,還有資訊處李處長。 |
| 1 |
邱部長泰源:委員好。 |
| 2 |
李委員坤城:大家都很關心今年至今大概有三家醫院受到駭客攻擊,2月6號的時候馬偕醫院受到中國駭客的勒索病毒的攻擊,據說有五百多部電腦當機,駭客勒索150萬美金,據說有1,660萬筆個資外洩給詐團,我不曉得有沒有1,660萬筆的病歷個資給詐團這件事情? |
| 3 |
邱部長泰源:剛剛委員所提的前面那兩家大型的醫療院所,我們都有立即做處理…… |
| 4 |
李委員坤城:像馬偕嘛,然後彰基是在3月初嘛。 |
| 5 |
邱部長泰源:也提出了SOP,也針對60家比較大型的、關鍵型的醫院來做好…… |
| 6 |
李委員坤城:我先問一下,目前這三次的駭客攻擊,我們有沒有病歷個資外洩了? |
| 7 |
邱部長泰源:請李處長回答。 |
| 8 |
李處長建璋:第一個的1,660萬筆這部分是駭客主張,但是現在還沒有辦法確認,因為此案調查局已經在處理,我們看不到那個資料,他主張說這是馬偕的,但是也沒有辦法去驗證,所以這是他們主張的,那也沒有…… |
| 9 |
李委員坤城:就我們的部分來講,你們有去查調,那有沒有病歷資料外洩的可能性? |
| 10 |
李處長建璋:這個也是要調查局去調查,因為我們沒有調查權,我們衛福部是管理、輔導他們來做資安防守,所以要以調查局的說法,他們已經把這些跡證都收集起來,要以他們的說法為主。 |
| 11 |
李委員坤城:所以病歷有沒有外洩,目前在調查當中,你們也還不知道就對了? |
| 12 |
李處長建璋:對,調查局才能說明。 |
| 13 |
李委員坤城:好。馬偕是在2月6號,然後彰基是在3月1號,所以你們在3月中旬有提出一個醫院面對勒索軟體攻擊的應變教戰手冊,是不是?這是處長你這邊所提供出來的嘛? |
| 14 |
李處長建璋:是。 |
| 15 |
李委員坤城:我的意思是說,3月中旬教戰守則出來之後,結果這兩天桃園的長慎醫院又受到駭客攻擊了,所以長慎醫院沒有在你們所謂那60家基礎關鍵的醫院裡面,是不是? |
| 16 |
李處長建璋:是,它不在。 |
| 17 |
邱部長泰源:因為它比較小型啦。 |
| 18 |
李委員坤城:它也不算小型,它在桃園中壢算是大型的長照醫院。 |
| 19 |
李處長建璋:是,我們當初定義國家關鍵基礎設施醫院,就是用急救重度及責任醫院以上來定義的,所以它不在這個定義範圍之內。 |
| 20 |
李委員坤城:那可見除了那60家之外,幾乎全臺灣我認為大概,當然第一個,你能力也有限;第二個,但是我認為這個要持續做下去,當然你先做60家,你們認為是關鍵基礎的必須要做,但是除了這60家之外,我覺得現在其他各個醫院的資安能力明顯不足,光靠你們的資訊處要去做全國的統籌,大概能量也不夠,所以我問一下邱部長,我覺得要把此事當成國安事件來處理…… |
| 21 |
邱部長泰源:是。 |
| 22 |
李委員坤城:因為他現在入侵醫院網路,然後比如說他把病人的個資拿出來,不曉得他要做什麼樣的用途,有可能有國安上面的一些疑慮,所以這方面是不是應該要跨部會合作來處理,光靠你們的資訊處,我想大概沒有辦法有這個能量來做。 |
| 23 |
邱部長泰源:是,我們其實在做這件事情都有跟數發部…… |
| 24 |
李處長建璋:對,我們跟資安署還有國安會都有聯絡。 |
| 25 |
李委員坤城:對,但是這個應變守則只有for這60家而已,接下來有沒有繼續要怎麼做?因為你們講了之後,結果第三家又出現了,或許搞不好幾天之後,第四家、第五家又出現了,都有可能啊! |
| 26 |
邱部長泰源:委員所提的這個部分,也是我們應該要努力的方向,我想既然60家大間的都能夠保護起來了,應該這樣的處理模式把它縮小來指導所有的醫院,我認為應該是可以去進行的。 |
| 27 |
李委員坤城:我問一下處長,目前你們有沒有把全國的醫療機構做資安的分類,就是各個醫療機構是屬於哪一級的,然後它的人力跟經費到底夠不夠,你們有做這個資安分類嗎? |
| 28 |
李處長建璋:報告委員,我們就是依據資通法,所以我們只有針對關鍵基礎設施醫院做這樣的盤點,那超過的話,就像委員講的,大概也沒有這樣的能量去…… |
| 29 |
李委員坤城:好,那60家裡面,你們是做怎麼樣的分類? |
| 30 |
李處長建璋:這60家全部都是最高等級的。 |
| 31 |
李委員坤城:最高等級的? |
| 32 |
李處長建璋:對。 |
| 33 |
李委員坤城:最高等級的意思是說它的資安能力也夠,經費也夠嗎還是怎麼樣?我的意思就是說,你們有沒有針對…… |
| 34 |
李處長建璋:我們主要是訂標準,標準就是比如它一年要接受多少的稽查,然後參加什麼樣的演練,這些醫院過去三年我們已經花了很大的力氣,全部都已經由專家委員去稽核完一次了,相關的缺失報告全部都有回饋給這些醫院,未來會面臨最大的就是勒索軟體,所以遇到勒索軟體應該怎麼處理,我們也召集全國的醫院來教育,然後也給它應變手冊。 |
| 35 |
李委員坤城:你講的是全國的醫院還是只有這60家而已? |
| 36 |
李處長建璋:全國的,教育的部分是全國的醫院。 |
| 37 |
李委員坤城:這個有開始做了嗎? |
| 38 |
李處長建璋:全國醫院的資安長會議,在上個月都已經去教完了,對,教育是有做完,但是他們沒有…… |
| 39 |
李委員坤城:結果這個月前兩天還會發生…… |
| 40 |
李處長建璋:就是資安進去第一個要經費,第二個要人力,他們現在沒有這兩個。 |
| 41 |
李委員坤城:處長他提到一個重點,部長,你這邊要考量,我希望在經費上面,衛福部是不是能夠提高給各個醫院的資安經費,而且這個資安經費要專款專用。第二個就是要提升各個醫院裡面資安職系人員的質與量,因為我不太清楚,現在各個醫院裡面資安職系的人員比例是多少,你們可能要去做個調查,那到底有沒有這個能力,我有給你這個經費,到底你有沒有這個能力來處理這件事情。還有要升級醫療資安的聯防能量,就是我剛才提到的,除了數發部之外,你自己的資訊處一定沒辦法去做這件事情。 |
| 42 |
我提三個建議,此事除了衛福部之外,我認為層級要拉高,甚至要拉到院的部分來做處理,不然你們自己去跟數發部講,我覺得都不如由一個政委或是院長來處理會更重視這件事情。因為這個事情我認為並不單純,你看幾乎一個月就一件,接下來我覺得要積極去防範這件事情,好不好?謝謝部長。 |
| 43 |
邱部長泰源:好。謝謝委員。 |
| 44 |
主席:謝謝李委員,謝謝部長。 |
| 45 |
洪孟楷、洪孟楷、洪孟楷委員不在。 |
| 46 |
請陳培瑜委員質詢。 |