摘要
台灣醫療體系日益面臨嚴重的網路安全威脅,尤其以勒索軟體攻擊最為猖獗,對醫療服務運作與病患安全構成重大衝擊。現代勒索軟體已進化為高度產業化、平台化的犯罪模式,結合釣魚郵件、系統漏洞與側向移動技術進行複合式攻擊,難以偵測且破壞性極大。面對這些挑戰,醫院應從基礎做起,包括定期修補系統、導入端點偵測與回應(EDR)、延伸偵測與回應(XDR)、管理式偵測與回應(MDR),並落實網路分段以降低橫向擴散風險。此外,建立資安教戰手冊與輪值應變機制、實施離線與加密備份、建構零信任架構以及依規定進行資安事件通報,都是醫療機構提升資安韌性的關鍵作法。整體策略需從技術與制度雙軌並進,打造可持續、可恢復的資安防護能力。
English Abstract
Keywords: Ransomware, Healthcare Cybersecurity, Zero Trust Architecture, EDR/XDR/MDR, Incident Reporting
Segmentation and Backup Strategy
Taiwan’s healthcare system is increasingly threatened by cybersecurity risks, particularly ransomware attacks that severely disrupt operations and compromise patient safety. Modern ransomware has evolved into an industrialized and platform-based criminal model, utilizing phishing, system vulnerabilities, and lateral movement for complex, evasive attacks. To counter these threats, hospitals must strengthen foundational defenses—such as regular patching, deploying Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), and Managed Detection and Response (MDR) systems. Network segmentation can further contain malware spread, while implementing offline, encrypted backups and a Zero Trust architecture adds layers of resilience. Establishing incident playbooks, rotating response teams, and timely breach reporting are also critical. A dual-track strategy integrating technology and governance is essential for building sustainable and recoverable cyber defense in healthcare.
背景
隨著全球數位醫療的蓬勃發展,台灣也正快速邁入全面數位化的醫療時代。如今,在臨床工作中,幾乎每一項任務都仰賴資訊系統來完成。從病歷記載、檢驗開立、影像檢查,到處方、與健保申報,每個環節都離不開資訊系統。過去,我們大量使用紙本來保存病患資料與放射線影像,但隨著科技演進,這些資料如今已全面無紙化,並以數位方式儲存於地端或雲端硬碟上。這些個人醫療資料對駭客而言,是極具價值的目標,因此形成資安攻擊的熱點。
目前,醫療院所所面對的資安威脅形式多樣,舉凡勒索軟體、網路釣魚與社交工程、內部威脅、服務阻斷攻擊 DDoS 、醫療設備駭侵、服務阻斷攻擊(DDoS, Distributed Denial of Service) 等屬常見 (表格一)。
表格一 : 醫院常見的網路安全威脅類型
| 網路安全威脅類型 | 說明 |
|---|---|
| 勒索軟體 | 駭客加密醫院資料並要求贖金 |
| 網路釣魚與社交工程 | 透過偽造電子郵件 欺騙醫護人員提供登入憑證,進而入侵系統 |
| 內部威脅 | 員工或承包商濫用存取權限,竊取或洩漏病患資料 |
| 服務阻斷攻擊 DDoS | 透過 大量惡意流量癱瘓醫院網路,導致關鍵系統無法運作 |
| 醫療設備駭侵 | 攻擊者入侵 連網醫療設備(如 胰島素幫浦、心律調節器),影響病人安全 |
然而,在所有威脅當中,最嚴重、破壞性最高的莫過於「勒索軟體攻擊」。其他類型的網路攻擊可能無法帶給駭客立即的金錢利益,但勒索軟體卻能直接癱瘓醫療系統,並要求高額贖金以解鎖資料,對醫療機構而言是極大的風險與挑戰。2024 年,Change Healthcare 遭受網路攻擊,對全美醫療系統造成重大衝擊,不僅使受影響的醫療機構獲得總計 2,200 萬美元的補償,還導致 94% 的醫院營運中斷,其中近六成每天的營收損失超過 100 萬美元。類似事件早在 2020 年也曾發生於德國杜塞道夫大學醫院,因勒索軟體攻擊造成醫療延誤,最終導致一名病人死亡,凸顯資安事件對病人安全的潛在
勒索軟體:席捲台灣醫療體系的資安風暴
2025年以來,台灣已經接連發生多起勒索病毒攻擊事件,引發醫界與社會的高度關注。從三月份「瘋狂獵人(Crazy Hunter)」攻擊馬偕醫院,隨後彰化基督教醫院也遭到入侵,繼而,駭客也宣稱高雄榮總會遭受到網路攻擊,五月位於中壢的長慎醫院受未知勒索軟體的攻擊,這一波波事件都警示我們:勒索病毒已成為台灣醫療資安中最不可忽視的威脅之一。
勒索軟體類型
勒索軟體可分為多種類型,其中以加密勒索軟體(Crypto Ransomware 或 Encryptors)最為人熟知且具破壞性。這類軟體會加密系統中的檔案與資料,若無正確的解密密鑰,使用者將無法存取任何內容。另一種常見類型是鎖定型勒索軟體(Lockers),它會完全鎖住使用者的系統,使檔案與應用程式無法啟用,並通常顯示鎖屏畫面及勒索訊息,甚至加上倒數計時器,強化緊迫感以迫使受害者快速付款。此外,恐嚇軟體(Scareware)則是假冒的安全軟體,聲稱偵測到病毒或其他問題,誘使使用者支付費用來「修復」,有些甚至會鎖住電腦或不斷跳出警告視窗,雖然通常不會破壞檔案,但仍造成使用者困擾與恐慌。最後,洩漏勒索軟體(Doxware 或 Leakware)則以公開個人或企業敏感資料為威脅手段,藉此迫使受害者支付贖金,以防止資料外洩。這些變種共同揭示了勒索軟體日益精緻且多元的攻擊手法,以及其對個人與組織資料安全的重大威脅。
表格二 : 醫院常見的勒索軟體類型
| 類型 | 特徵 | 影響 |
|---|---|---|
| 加密型 | 加密檔案,需解密金鑰才能使用 | 無法存取資料 |
| 鎖定型 | 鎖住整個系統,顯示倒數勒索訊息 | 系統無法操作 |
| 恐嚇型 | 假冒警告,誘導付費 | 有鎖定畫面,但不傷害檔案 |
| 洩漏型 | 威脅公開敏感資料 | 擔心隱私外洩,被迫付款 |
勒索軟體攻擊的典型流程與現代技術演進
勒索軟體攻擊通常依照特定的步驟循序漸進,展現出高度組織化與技術成熟度。首先(第1階段),攻擊者透過釣魚電子郵件、弱密碼或已知系統漏洞等方式,取得合法的進入權限。接著(第2階段),他們會在系統中植入惡意程式,並利用這些程式進一步掌握系統運作方式。第三階段,攻擊者會建立後門,確保在不被發現的情況下可持續存取系統。隨後(第4階段),他們進行橫向移動,滲透至組織內其他裝置與系統,並試圖取得更高的系統管理權限。當具備完整控制權後(第5階段),攻擊者便會啟動加密行動,封鎖重要資料與系統運作,並提出贖金要求。
馬偕醫院攻擊事件
本次馬偕醫院攻擊事件為例,駭客透過多種滲透手法成功入侵醫院的IT系統,揭示出當前醫療機構在網絡安全上的脆弱性。首先,攻擊者利用主機未修補的漏洞發動攻擊,並採用了「BYOVD」(Bring Your Own Vulnerable Driver)技術,這是駭客利用使用者自行安裝的易受攻擊驅動程式來提高權限的一種手法。例如,駭客透過合法驅動程式軟體(如 Zemana AntiMalware 的 zam64.sys)成功獲取了系統的高權限,從而進一步入侵系統。接著,駭客利用各種滲透工具,成功攻佔了醫院的AD(Active Directory)主機,並進一步控制了內部網絡。隨後,駭客通過AD群組策略(GPO)將經過修改的勒索軟體「Crazy Hunter」散播至院內所有設備,這款勒索軟體是基於Prince Ransomware改編的,並專為簡體中文使用者設計。駭客利用SharpGPOAbuse工具,依據醫院的網絡規則在整個院區內迅速傳播,將設備中的資料加密,同時刪除還原備份,導致資料無法恢復,進一步增加了資料外洩的風險。這一事件也凸顯了網頁漏洞、活動目錄及群組原則物件等安全漏洞在網絡攻擊中可能扮演的重要角色。(圖一)
圖一、馬偕醫院駭客攻擊事件
醫療院所的防禦策略
為了有效防範勒索軟體,醫院應採取下列策略:
強化系統基本資安措施
定期更新病毒碼,進行滲透測試與弱點掃描,關閉不必要的對外連接,社交工程演練與教育訓練,提高全院使用者資安警覺性,避免點擊可疑連結或洩露帳密。
參與情資分享系統
為提升整體醫療體系面對資安威脅的韌性,衛生福利部已推動擴大全國醫療機構參與資安情資分享網絡。過去,此網絡僅限急救責任醫院(亦即關鍵基礎設施醫院)參與,如今則擴大邀請全國中小型醫院共同加入,形成一個更具防禦深度與協作效益的資安聯防體系。該系統以「早期預警」為核心,架構出三大支柱,包括:H-ISAC(醫院資安資訊共享與分析中心)、H-CERT(醫院資安事件應變中心)與H-SOC(醫院資安營運中心),各自發揮關鍵功能 (圖二)。
H-ISAC負責資安情資的蒐集、整合與分析,分享如惡意軟體指標(IoC)、入侵手法與攻擊路徑,並對外發布事件通報,提供早期預警機制。當實際發生資安事件時,H-CERT即扮演關鍵的事件處理角色,負責制定偵測規則、分析攻擊行為、回報處理狀況,並根據事件經驗提供後續調整建議,以確保整體系統具備高度應變能力。這種即時的戰術性支援,對中小型醫療機構尤為重要,因其自身資源有限,仰賴中央支援與標準化流程來迅速應對事件。此外,H-SOC則由專業資安服務廠商進駐與支援,提供24小時不間斷的資安監控服務。無論是異常流量、系統異常登入或勒索軟體入侵等異常行為,都能在第一時間通報與反制,進一步提升醫院資安防護的縱深與即時性。當遇到重大突發事件,如大規模勒索病毒攻擊或系統性資安漏洞時,緊急應變小組將立即啟動,依據即時情資調度人力與技術資源,進行應急處置,確保醫療服務不中斷,病患資料不受侵害。整體而言,透過H-ISAC、H-CERT與H-SOC三位一體的協同運作機制,加上緊急應變小組的即時支援,全國醫院已逐步建立起一套完整、可持續、具擴充性的資安防護網,不僅鞏固個別醫療機構的資訊安全,也進一步保障全民健康資料與醫療服務系統的穩定與安全。
圖二、台灣醫院資安聯防體系
建立資安教戰手冊與輪值應變機制
多數勒索軟體攻擊事件常發生於深夜或週末,這些時段醫院僅有少數值班人力,若缺乏清楚的應變手冊或通報流程,值班人員往往措手不及,進而導致事態擴大。為因應此類資安威脅,我本人撰寫了衛生福利部第一份勒索軟體事件應變手冊,並舉辦多場線上模擬演練課程,超過2000人次參與,整體成效顯著。
應變手冊內容依據事件處理的時間節點,分為三個階段:立即應對、遏制與診斷,以及恢復與重建,確保各單位可依步驟迅速應變並降低損害。
在第一階段:立即應對中,當發現系統疑似遭受勒索軟體攻擊時,需立即隔離受感染系統,包括斷開網路連線以防止病毒橫向擴散,但避免完全關機以保留易揮發性資料。同時禁用遠端存取工具,以遏止駭客進一步操控。接著,啟動事件應變團隊,由資安部門主管或資安長召集人員,迅速組建應變小組,依權責啟動橫向與縱向通報流程。
進入第二階段:遏制與診斷,應先識別勒索軟體類型,透過分析勒索訊息、加密副檔名、C2(命令與控制)中繼站、惡意程式特徵碼等,釐清攻擊來源與可能的解密對策。手冊中亦列出常見解密工具資源,供技術人員參考。接下來需收集入侵指標(IoCs),包括受害主機資訊、惡意程式的植入時間、檔案雜湊值、可疑IP與網域等,並在24小時內通報H-ISAC共享情資,協助全體醫療機構提早防範類似攻擊。同時,也應找出攻擊路徑,釐清是否透過已知漏洞、VPN弱點或遠端桌面協定進行滲透,做為未來強化資安設計之依據。整個過程中,須由醫院領導階層、第一線指揮官及專業技術團隊三方協作,並完成證據保全與通報作業,於知悉事件一小時內通報主管機關,並同步檢查備份完整性。
最後進入第三階段:恢復與重建,首先需評估損害與系統優先級,判定哪些系統對病人照護具關鍵影響,優先啟動復原流程。同時確認備份資料的可用性與還原可行性,才能有序展開後續作業。接著進行清理與系統重建,利用驗證過的乾淨備份還原系統,並針對受感染設備進行重灌及安全性修補,確保不再留下後門或漏洞。最後,須進行透明溝通與記錄文件作業,主動向內部員工與外部合作單位說明事件狀況,降低信任衝擊,並依規定完成續報與結報,建立事件處理的完整紀錄,做為未來資安演練與政策改善的依據。
透過上述三階段的標準化應變流程,醫院能在資安事件發生時迅速啟動防禦機制,有效遏止災害擴散,保障醫療營運持續性與病患資料安全,進一步強化醫療體系整體資安韌性(表三)。
表三、三階段應變摘要表格
| 階段 | 主要任務 | 執行重點 | 主要負責單位 |
|---|---|---|---|
| 第一階段 (T0 ~ T+1 小時) | 立即應對 | 隔離受感染設備(斷網但勿關機) 禁用遠端存取 組建應變小組並通報 | 值班人員、資安主管 |
| 第二階段 (T+1 ~ T+24 小時) | 遏制與診斷 | 識別勒索軟體(檔名、副檔名、C2) 蒐集IoCs並24小時內回報H-ISAC 找出入侵手法與路徑 | 資安團隊、H-ISAC |
| 第三階段 (T+1 天 ~數天內) | 恢復與重建 | 評估損害與系統優先順序 清理與從乾淨備份重建系統 完成通報、內外部溝通 | 醫療資訊單位、管理高層 |
醫療機構資安事件通報
當醫療院所遭遇資安事件時,需依循標準的事件通報流程,確保相關單位能即時掌握情況並採取應對措施如下。
表四、醫療機構資安事件通報與應變流程摘要表
| 流程階段 | 說明 |
|---|---|
| 資安事件通報 | 公務醫院通報至 N-CERT,非公務醫院通報至 H-ISAC |
| 犯罪調查啟動 | 若為駭侵事件,須向 調查局資安工作站報案 |
| 個資外洩通報 | 發生個資外洩時,72小時內填寫「個人資料侵害事故通報紀錄表」並通報 地方衛生局 |
| 結案報告繳交 | 1個月內完成調查、處理及改善報告,送交主管機關 |
部署主動防禦系統(EDR/XDR/MDR)
端點檢測與回應(EDR)、管理檢測與回應(MDR)、以及延伸檢測與回應(XDR)共同構築出現代醫療機構面對勒索軟體威脅的多層次防禦機制。在醫療機構裡面,電腦、護理站的筆電、醫療設備等都叫做「端點」。這些端點經常是駭客發動勒索軟體攻擊的入口。所以,我們需要一套能即時監控這些端點的工具,這就是「端點檢測與回應(EDR)」。EDR 就像是每台裝置旁邊的警衛,一發現有奇怪的行為(像是突然大量加密檔案),就能立刻把有問題的裝置隔離,防止病毒擴散到整個系統。例如,某位護理師的筆電被感染,EDR 可以在資料外洩前先把這台筆電封鎖。但很多醫院沒有足夠的人力來全天候盯著這些警報,因此可以透過「管理檢測與回應(MDR)」這種外包的資安服務來幫忙。MDR 有專業人員 24 小時在線上,幫醫院監控系統安全,一旦發現問題就會立即通知並協助處理。舉例來說,即使半夜醫院 IT 人員不在,MDR 也可以幫忙攔截正在發動的勒索攻擊,減少損害。
再進一步,駭客往往不是只從一個地方入侵,可能同時從電腦、網路、甚至雲端系統進攻。這時候我們需要更進階的工具:「延伸檢測與回應(XDR)」。XDR 可以把端點、網路和雲端的資安訊號整合起來,看得更全面,也能更快發現攻擊的源頭。比如說,一封釣魚信進入了信箱,XDR 不只能發現這封信,還能追蹤使用者點擊後產生的異常網路連線,提早阻止整個攻擊流程。總結來說,EDR 是即時監控每台設備,MDR 是外包的全天候資安團隊,XDR 是整合所有安全訊號的進階系統。三者配合,就像醫院有警衛(EDR)、夜間保全(MDR)、和中央監控中心(XDR),能讓醫療資訊系統更安全、更有防禦力,對於醫療機構而言,導入這些技術已非可有可無的選項,而是保障病患安全與醫療持續性的必要投資。
網路分段遏制勒索軟體
網路分段是一項關鍵資安技術,能依功能或部門切割網路,防止勒索軟體橫向擴散,將攻擊範圍限縮於局部區段。即使端點被感染,也能阻止惡意程式碼跨區擴散,保護病歷伺服器、醫療設備與備份資料。透過獨立的存取控制與權限管理,加強系統隔離與安全監控。流量集中也有助於偵測異常行為,加速應變。備份區段的獨立隔離更能確保關鍵資料不被加密破壞,提供穩固的系統復原基礎。
落實分散、加密備份策略
醫療機構須採多層次備份策略以防勒索軟體風險,包含離線與地理分散備份,避免資料同時受損。備份資料應採用不對稱與端對端加密(如 AES-256),並與金鑰分開儲存,強化保護。快照備份可快速還原系統,縮短復原時間。備份應儲於獨立或離線網路,並定期驗證資料完整性與恢復能力。實施不可變備份與隔離技術,防止資料遭竄改或刪除。加上多重認證與定期金鑰輪換,可確保備份安全與災難應變可靠性。
導入零信任架構
零信任的核心理念是「不預設任何人或裝置可信」,無論是院內人員還是外部系統,每一次存取都需要重新驗證身份與授權。舉例來說,就算是一位資深醫師使用熟悉的電腦登入,也必須經過多因子驗證、位置與行為分析等機制確認身分,並根據他當下的任務限制存取範圍,避免存取與他職責無關的資料。同樣地,即使是系統之間的自動化交換,也需透過嚴格的驗證與授權機制進行。零信任架構通常包括身分與存取管理(IAM)、多因子驗證(MFA)、微分段(Micro-segmentation)、持續監控與威脅偵測等技術。在醫院實施零信任,不僅能強化端點與網路的防護,也能確保病患資料的隱私與系統的可用性,大幅降低勒索軟體成功滲透與擴散的風險。導入零信任不只是技術升級,更是醫療資訊安全思維的根本轉變。
結語
勒索病毒已成為醫療資安最大威脅之一,其攻擊背後可能不單是金錢目的,甚至存在國家級資助的背景。面對這類高度複雜的攻擊,醫療機構唯有從系統、流程、教育與備份等多面向建立防線,才能真正提升資安韌性,守住病患安全與醫療品質的最後防線。
參考資料
- Kelly BS, Quinn C, Belton N, Lawlor A, Killeen RP, Burrell J. Cybersecurity considerations for radiology departments involved with artificial intelligence. Eur Radiol. 2023;33(12):8833-8841.
- Cartwright AJ. The elephant in the room: cybersecurity in healthcare. J Clin Monit Comput. 2023;37(5):1123-1132.
- Gabbay-Benziv R, Ben-Natan M, Roguin A, et al. When the lights go down in the delivery room: Lessons from a ransomware attack. Int J Gynaecol Obstet. 2023;162(2):562-568.
- Portela D, Nogueira-Leite D, Almeida R, Cruz-Correia R. Economic impact of a hospital cyberattack in a national health system: Descriptive case study. JMIR Form Res. 2023;7:e41738.
- Dameff C, Tully J, Chan TC, et al. Ransomware attack associated with disruptions at adjacent emergency departments in the US. JAMA Netw Open. 2023;6(5):e2312270.
- Hoffman TW, Baker JF. Navigating our way through a hospital ransomware attack: Ethical considerations in delivering acute orthopaedic care. J Med Ethics. 2023;49(2):121-124.
- Neprash HT, McGlave CC, Cross DA, et al. Trends in ransomware attacks on US hospitals, clinics, and other health care delivery organizations, 2016-2021. JAMA Health Forum. 2022;3(12):e224873.
- Choi SJ, Johnson ME. The relationship between cybersecurity ratings and the risk of hospital data breaches. J Am Med Inform Assoc. 2021;28(10):2085-2092.
- Dameff C, Pfeffer MA, Longhurst CA. Cybersecurity implications for hospital quality. Health Serv Res. 2019;54(5):969-970.
- Zhao JY, Kessler EG, Yu J, et al. Impact of trauma hospital ransomware attack on surgical residency training. J Surg Res. 2018;232:389-397.
- Coventry L, Branley D. Cybersecurity in healthcare: a narrative review of trends, threats and ways forward. Maturitas. 2018;113:48-52.
