臺北市醫師公會80周年專刊同步刊登
前言
臺灣醫療體系日益面臨嚴重的網路安全威脅,尤其以勒索軟體攻擊最為猖獗,對醫療服務運作與病患安全構成重大衝擊。現代勒索軟體已進化為高度產業化、平台化的犯罪模式,結合釣魚郵件、系統漏洞與橫向移動技術進行複合式攻擊,難以偵測且破壞性極大。面對這些挑戰,醫院應從基礎做起,包括定期修補系統、導入端點偵測與回應(EDR)、延伸偵測與回應(XDR)、管理式偵測與回應(MDR),並落實網路分段以降低橫向擴散風險。此外,建立資安教戰手冊與輪值應變機制、實施離線與加密備份、建構零信任架構以及依規定進行資安事件通報,都是醫療機構提升資安韌性的關鍵作法。整體策略需從技術與制度雙軌並進,打造可持續、可恢復的資安防護能力。
背景
隨著全球數位醫療的蓬勃發展,臺灣也正快速邁入全面數位化的醫療時代。如今,在臨床工作中,幾乎每一項任務都仰賴資訊系統來完成。從病歷記載、檢驗開立、影像檢查,到處方、與健保申報,每個環節都離不開資訊系統。過去,我們大量使用紙本來保存病患資料與放射線影像,但隨著科技演進,這些資料如今已全面無紙化,並以數位方式儲存於地端或雲端硬碟上。這些個人醫療資料對駭客而言,是極具價值的目標,因此形成資安攻擊的熱點。
目前,醫療院所所面對的資安威脅形式多樣,舉凡勒索軟體、網路釣魚與社交工程、內部威脅、服務阻斷攻擊DDoS(DDoS, Distributed Denial of Service)、醫療設備駭侵等屬常見(表一)。
然而,在所有威脅當中,最嚴重、破壞性最高的莫過於「勒索軟體攻擊」。其他類型的網路攻擊可能無法帶給駭客立即的金錢利益,但勒索軟體卻能直接癱瘓醫療系統,並要求高額贖金以解鎖資料,對醫療機構而言是極大的風險與挑戰。民國113(2024) 年,Change Healthcare 遭受網路攻擊,對全美醫療系統造成重大衝擊,不僅使受影響的醫療機構獲得總計2,200 萬美元的補償,還導致94%的醫院營運中斷,其中近六成每天的營收損失超過100 萬美元。類似事件早在民國109(2020)年也曾發生於德國杜塞道夫大學醫院,因勒索軟體攻擊造成醫療延誤,最終導致一名病人死亡,凸顯資安事件對病人安全的潛在威脅。
勒索軟體:席捲臺灣醫療體系的資安風暴
民國114(2025) 年以來, 臺灣已經接連發生多起勒索病毒攻擊事件,引發醫界與社會的高度關注。從三月份「瘋狂獵人(Crazy Hunter)」攻擊臺北A 醫院,隨後彰化B 醫院也遭到入侵,繼而,駭客也宣稱高雄C 醫院會遭受到網路攻擊,五月位於中壢的D 醫院受未知勒索軟體的攻擊,這一波波事件都警示我們:勒索病毒已成為臺灣醫療資安中最不可忽視的威脅之一。
勒索軟體類型
勒索軟體可分為多種類型,其中以加密勒索軟體(Crypto Ransomware 或 Encryptors)最為人熟知且具破壞性。這類軟體會加密系統中的檔案與資料,若無正確的解密密鑰,使用者將無法存取任何內容。另一種常見類型是鎖定型勒索軟體(Lockers),它會完全鎖住使用者的系統,使檔案與應用程式無法啟用,並通常顯示鎖屏畫面及勒索訊息,甚至加上倒數計時器,強化緊迫感以迫使受害者快速付款。此外,恐嚇軟體(Scareware)則是假冒的安全軟體,聲稱偵測到病毒或其他問題,誘使使用者支付費用來「修復」,有些甚至會鎖住電腦或不斷跳出警告視窗,雖然通常不會破壞檔案,但仍造成使用者困擾與恐慌。最後,洩漏勒索軟體(Doxware 或 Leakware)則以公開個人或企業敏感資料為威脅手段,藉此迫使受害者支付贖金,以防止資料外洩。這些變種共同揭示了勒索軟體日益精緻且多元的攻擊手法,以及其對個人與組織資料安全的重大威脅。
勒索軟體攻擊的典型流程與現代技術演進
勒索軟體攻擊通常依照特定的步驟循序漸進,展現出高度組織化與技術成熟度。首先(第1 階段),攻擊者透過釣魚電子郵件、弱密碼或已知系統漏洞等方式,取得合法的進入權限。接著(第2 階段),他們會在系統中植入惡意程式,並利用這些程式進一步掌握系統運作方式。第3 階段,攻擊者會建立後門,確保在不被發現的情況下可持續存取系統。隨後(第4 階段),他們進行橫向移動,滲透至組織內其他裝置與系統,並試圖取得更高的系統管理權限。當具備完整控制權後(第5 階段),攻擊者便會啟動加密行動,封鎖重要資料與系統運作,並提出贖金要求。
臺北A 醫院攻擊事件
本次以A 醫院攻擊事件為例,駭客透過多種滲透手法成功入侵醫院的IT 系統,揭示出當前醫療機構在網絡安全上的脆弱性。首先,攻擊者利用主機未修補的漏洞發動攻擊,並採用了「BYOVD」(Bring Your Own Vulnerable Driver)技術,這是駭客利用使用者自行安裝的易受攻擊驅動程式來提高權限的一種手法。例如,駭客透過合法驅動程式軟體( 如Zemana AntiMalware 的zam64.sys)成功獲取了系統的高權限,從而進一步入侵系統。接著,駭客利用各種滲透工具,成功攻占了醫院的AD(Active Directory)主機,並進一步控制了內部網路。隨後,駭客通過AD 群組策略(GPO)將經過修改的勒索軟體「Crazy Hunter」散播至院內所有設備,這款勒索軟體是基於Prince Ransomware 改編的,並專為簡體中文使用者設計。駭客利用SharpGPOAbuse 工具,依據醫院的網路規則在整個院區內迅速傳播,將設備中的資料加密,同時刪除還原備份,導致資料無法恢復,進一步增加了資料外洩的風險。這一事件也凸顯了網頁漏洞、活動目錄及群組原則物件等安全漏洞在網路攻擊中可能扮演的重要角色。(圖1)
醫療院所的防禦策略
為了有效防範勒索軟體,醫院應採取下列策略:
1.強化系統基本資安措施
定期更新病毒碼,進行滲透測試與弱點掃描,關閉不必要的對外連接,社交工程演練與教育訓練,提高全院使用者資安警覺性,避免點擊可疑連結或洩露帳密。
2.參與情資分享系統
為提升整體醫療體系面對資安威脅的韌性,衛生福利部已推動擴大全國醫療機構參與資安情資分享網絡。過去,此網絡僅限急救責任醫院(亦即關鍵基礎設施醫院)參與,如今則擴大邀請全國中小型醫院共同加入,形成一個更具防禦深度與協作效益的資安聯防體系。該系統以「早期預警」為核心,架構出三大支柱,包括:H-ISAC(醫院資安資訊共享與分析中心)、H-CERT(醫院資安事件應變中心)與H-SOC(醫院資安營運中心),各自發揮關鍵功能(圖2)。
H-ISAC 負責資安情資的蒐集、整合與分析,分享如惡意軟體指標(IoC)、入侵手法與攻擊路徑,並對外發布事件通報,提供早期預警機制。當實際發生資安事件時,H-CERT 即扮演關鍵的事件處理角色,負責制定偵測規則、分析攻擊行為、回報處理狀況,並根據事件經驗提供後續調整建議,以確保整體系統具備高度應變能力。這種即時的戰術性支援,對中小型醫療機構尤為重要,因其自身資源有限,仰賴中央支援與標準化流程來迅速應對事件。此外,H-SOC則由專業資安服務廠商進駐與支援,提供24 小時不間斷的資安監控服務。無論是異常流量、系統異常登入或勒索軟體入侵等異常行為,都能在第一時間通報與反制,進一步提升醫院資安防護的縱深與即時性。當遇到重大突發事件,如大規模勒索病毒攻擊或系統性資安漏洞時,緊急應變小組將立即啟動,依據即時情資調度人力與技術資源,進行應急處置,確保醫療服務不中斷,病患資料不受侵害。整體而言,透過H-ISAC、H-CERT 與H-SOC 三位一體的協同運作機制,加上緊急應變小組的即時支援,全國醫院已逐步建立起一套完整、可持續、具擴充性的資安防護網,不僅鞏固個別醫療機構的資訊安全,也進一步保障全民健康資料與醫療服務系統的穩定與安全。
3.建立資安教戰手冊與輪值應變機制
多數勒索軟體攻擊事件常發生於深夜或週末,這些時段醫院僅有少數值班人力,若缺乏清楚的應變手冊或通報流程,值班人員往往措手不及,進而導致事態擴大。為因應此類資安威脅,我本人撰寫了衛生福利部第一份勒索軟體事件應變手冊,並舉辦多場線上模擬演練課程,超過2,000 人次參與,整體成效顯著。
應變手冊內容依據事件處理的時間節點,分為三個階段:立即應對、遏制與診斷,以及恢復與重建,確保各單位可依步驟迅速應變並降低損害。
在第一階段:立即應對中,當發現系統疑似遭受勒索軟體攻擊時,需立即隔離受感染系統,包括斷開網路連線以防止病毒橫向擴散,但避免完全關機以保留易揮發性資料。同時禁用遠端存取工具,以遏止駭客進一步操控。接著,啟動事件應變團隊,由資安部門主管或資安長召集人員,迅速組建應變小組,依權責啟動橫向與縱向通報流程。
進入第二階段:遏制與診斷,應先識別勒索軟體類型,透過分析勒索訊息、加密副檔名、C2(命令與控制)中繼站、惡意程式特徵碼等,釐清攻擊來源與可能的解密對策。手冊中亦列出常見解密工具資源,供技術人員參考。接下來需收集入侵指標(IoCs),包括受害主機資訊、惡意程式的植入時間、檔案雜湊值、可疑IP 與網域等,並在24小時內通報H-ISAC 共享情資,協助全體醫療機構提早防範類似攻擊。同時,也應找出攻擊路徑,釐清是否透過已知漏洞、VPN 弱點或遠端桌面協定進行滲透,做為未來強化資安設計之依據。整個過程中,須由醫院領導階層、第一線指揮官及專業技術團隊三方協作,並完成證據保全與通報作業,於知悉事件一小時內通報主管機關,並同步檢查備份完整性。
最後進入第三階段:恢復與重建,首先需評估損害與系統優先級,判定哪些系統對病人照護具關鍵影響,優先啟動復原流程。同時確認備份資料的可用性與還原可行性,才能有序展開後續作業。接著進行清理與系統重建,利用驗證過的乾淨備份還原系統,並針對受感染設備進行重灌及安全性修補,確保不再留下後門或漏洞。最後,須進行透明溝通與記錄文件作業,主動向內部員工與外部合作單位說明事件狀況,降低信任衝擊,並依規定完成續報與結報,建立事件處理的完整紀錄,做為未來資安演練與政策改善的依據。
透過上述三階段的標準化應變流程,醫院能在資安事件發生時迅速啟動防禦機制,有效遏止災害擴散,保障醫療營運持續性與病患資料安全,進一步強化醫療體系整體資安韌性(表三)。
4.醫療機構資安事件通報
當醫療院所遭遇資安事件時,需依循標準的事件通報流程,確保相關單位能即時掌握情況並採取應對措施如下。
5.部署主動防禦系統(EDR/XDR/MDR)
端點檢測與回應(EDR)、管理檢測與回應(MDR)以及延伸檢測與回應(XDR)共同構築出現代醫療機構面對勒索軟體威脅的多層次防禦機制。在醫療機構裡面,電腦、護理站的筆電、醫療設備等都叫做「端點」。這些端點經常是駭客發動勒索軟體攻擊的入口。所以,我們需要一套能即時監控這些端點的工具,這就是「端點檢測與回應(EDR)」。EDR 就像是每台裝置旁邊的警衛,一發現有奇怪的行為(像是突然大量加密檔案),就能立刻把有問題的裝置隔離,防止病毒擴散到整個系統。例如,某位護理師的筆電被感染,EDR 可以在資料外洩前先把這台筆電封鎖。但很多醫院沒有足夠的人力來全天候盯著這些警報,因此可以透過「管理檢測與回應(MDR)」這種外包的資安服務來幫忙。MDR 有專業人員24 小時在線上,幫醫院監控系統安全,一旦發現問題就會立即通知並協助處理。舉例來說,即使半夜醫院IT 人員不在,MDR也可以幫忙攔截正在發動的勒索攻擊,減少損害。
再進一步,駭客往往不是只從一個地方入侵,可能同時從電腦、網路、甚至雲端系統進攻。這時候我們需要更進階的工具:「延伸檢測與回應(XDR)」。XDR 可以把端點、網路和雲端的資安訊號整合起來,看得更全面,也能更快發現攻擊的源頭。比如說,一封釣魚信進入了信箱,XDR 不只能發現這封信,還能追蹤使用者點擊後產生的異常網路連線,提早阻止整個攻擊流程。總結來說,EDR 是即時監控每台設備,MDR 是外包的全天候資安團隊,XDR 是整合所有安全訊號的進階系統。三者配合,就像醫院有警衛(EDR)、夜間保全(MDR)、和中央監控中心(XDR),能讓醫療資訊系統更安全、更有防禦力,對於醫療機構而言,導入這些技術已非可有可無的選項,而是保障病患安全與醫療持續性的必要投資。
6.網路分段遏制勒索軟體
網路分段是一項關鍵資安技術,能依功能或部門切割網路,防止勒索軟體橫向擴散,將攻擊範圍限縮於局部區段。即使端點被感染,也能阻止惡意程式碼跨區擴散,保護病歷伺服器、醫療設備與備份資料。透過獨立的存取控制與權限管理,加強系統隔離與安全監控。流量集中也有助於偵測異常行為,加速應變。備份區段的獨立隔離更能確保關鍵資料不被加密破壞,提供穩固的系統復原基礎。
7.落實分散、加密備份策略
醫療機構須採多層次備份策略以防勒索軟體風險,包含離線與地理分散備份,避免資料同時受損。備份資料應採用不對稱與端對端加密(如AES-256),並與金鑰分開儲存,強化保護。快照備份可快速還原系統,縮短復原時間。備份應儲於獨立或離線網路,並定期驗證資料完整性與恢復能力。實施不可變備份與隔離技術,防止資料遭竄改或刪除。加上多重認證與定期金鑰輪換,可確保備份安全與災難應變可靠性。
8.導入零信任架構
零信任的核心理念是「不預設任何人或裝置可信」,無論是院內人員還是外部系統,每一次存取都需要重新驗證身分與授權。舉例來說,就算是一位資深醫師使用熟悉的電腦登入,也必須經過多因子驗證、位置與行為分析等機制確認身分,並根據他當下的任務限制存取範圍,避免存取與他職責無關的資料。同樣地,即使是系統之間的自動化交換,也需透過嚴格的驗證與授權機制進行。零信任架構通常包括身分與存取管理(IAM)、多因子驗證(MFA)、微分段(Micro-segmentation)、持續監控與威脅偵測等技術。在醫院實施零信任,不僅能強化端點與網路的防護,也能確保病患資料的隱私與系統的可用性,大幅降低勒索軟體成功滲透與擴散的風險。導入零信任不只是技術升級,更是醫療資訊安全思維的根本轉變。
結語
勒索病毒已成為醫療資安最大威脅之一,其攻擊背後可能不單是金錢目的,甚至存在國家級資助的背景。面對這類高度複雜的攻擊,醫療機構唯有從系統、流程、教育與備份等多面向建立防線,才能真正提升資安韌性,守住病患安全與醫療品質的最後防線。
