ㄧ、市場概況
網路安全（Cybersecurity）是指透過一系列操作規範與技術手段，保護並維持IT系統正常運行，同時抵禦網路帶來的潛在威脅。隨著科技的進步，各產業對於數位訊息的依賴日益增加，網路安全的重要性也顯得更加關鍵。本報告概述了美國醫療保健網路安全市場的現況與發展。

美國醫療保健網路安全市場能區分成：
(一) 基礎設施和企業網路安全 : 包含網路安全系統的整合、端到端的安全性管理、安全的廣域網路(Wide Area Network)部署以及通訊的安全管理等。

(二) 雲端安全 : 包含使用者程式介面與第三方整合的強化管理、專業的維護服務、資料合規性管理(Compliance management)、使用者存取授權管理等功能。

(三) 物聯網(IoT, Internet of things)和設備安全 : 著重於設備資料的安全管理、醫療物聯網（IoMT）風險評估，以及相關諮詢服務等。

二、網路安全風險與挑戰分析
(一) 在基礎設施與企業網路安全
資訊科技的發展使醫院與診所能夠與其他醫療機構交換資料，但由於系統間的複雜性與多樣性，往往產生漏洞。2023年，超過八成（89%）的醫療機構曾遭遇至少一次網路攻擊，凸顯基礎設施網路安全的不足。主要風險包括：

(1) 未經授權的讀取 : 組織間及部門間的網路系統劃分不當，可能使整體網路環境脆弱，攻擊者可藉此入侵或控制系統。

(2) 針對舊系統的攻擊 : 許多組織仍使用老舊的網路系統，並且無法輕易升級，成為攻擊目標。

(3) 分散式阻斷服務攻擊 : 此類攻擊會破壞網路系統並阻礙其運行，從而影響關鍵資訊的存取。

解決措施建議
供應商應為病患存取系統實施存取控制、多因素身份驗證（Multi-factor Authentication, MFA）以及基於角色的存取權限。同時，定期為臨床醫師與行政人員提供網路安全培訓，提升安全意識。

(二) 雲端安全
由於雲端運算具備儲存方便及支援遠端資料訪問的優勢，醫療保健領域對其採用日益增加，讓醫療保健專業人員能夠從不同地點或設備存取患者資訊。然而，約7成的醫療保健組織報告曾經發生過雲端安全漏洞，導致病患照護受到負面影響，包括延長住院時間及增加醫療程序與併發症的風險，在雲端安全潛在的風險包括：

(1) 資料移動和儲存控制權 : 雲端資料的傳輸與儲存可能導致組織失去對資訊保護的掌控。

(2) 設定錯誤 : 雲端系統設定錯誤，如開放存取權限或缺乏加密措施，將增加資料外洩的風險，

(3)第三方依賴 : 資料儲存與處理依賴第三方供應商，若供應商無法滿足安全要求，將成為固有風險。

解決措施建議
醫療機構應辨識並監控雲端中敏感病患數據，並定期實施風險評估計畫，以檢視雲端配置及第三方整合的潛在漏洞。

(三) IoT和設備安全:
醫療設備的IoT能實現持續且即時的病患監控，如生命監測器、輸液幫浦等，這些儀器通常沒有先進的網路安全工具保護，容易成為攻擊目標，並影響工作流程和病人的安全。常見的風險為，

(1) 遠端存取攻擊 : 許多設備沒有受到保護，使攻擊者能夠遠端存取及操作。

(2) 缺乏升級和維護 : 全面升級設備的防護軟體具有挑戰，缺乏更新及維護的設備容易受到攻擊。

(3) 缺乏標準化 : 各種設備及製造商都有自己的安全協議，缺乏整合的系統常常產生易受到攻擊的漏洞。

解決措施
供應商應對連網醫療設備進行全面清單管理，定期評估潛在漏洞，並制定有效流程，確保設備套用最新的安全補丁。

(四) 醫療保健網路安全的挑戰與影響
醫療保健產業面臨的主要威脅包括憑證被盜或洩露，這些憑證可能被攻擊者用於存取醫療設備、雲端或企業網路。網路釣魚攻擊則為第二常見且代價最高的初始攻擊方式。

網路攻擊對患者治療結果造成不良影響，包括測試與程序延遲，尤以勒索軟體和商務電子郵件詐騙(Business Email Compromise, BEC)為主要威脅。這些後果凸顯網路安全對提升營運效率及病患照護的重要性。

醫療保健產業的資料外洩成本居各產業之首，因該產業受嚴格的法規規範，需大量蒐集和傳輸病患的私密資料。雖然網路安全加強後資料外洩成本有所下降，但美國的資料外洩成本仍是全球平均的兩倍，原因包括監管法規嚴格、訴訟和通知成本高昂、以及IT環境複雜等因素。此外，網路犯罪者鎖定高價值數據，僱用網路安全專家亦成本不菲，進一步加重企業負擔。

醫療保健組織也面臨網路安全營運挑戰，包括缺乏人力資源、能見度(Visibility)和互通性(Interoperability)。共有237個組織反映此問題，顯示業界已意識到網路安全的重要性，並需投入更多資源保護病患資料和營運設施免受網路威脅。

近年來生成式AI快速發展，能在醫療保健網路安全領域中，涵蓋合規性監控、面對威脅應對措施、資料保密、網路安全訓練、漏洞管理、軟體升級管理、辨識攻擊及回應等功能，透過這些功能，生成式AI可大幅提升醫療網路的安全及效率，保護醫療設施及患者資料。

三、解決方案
網路威脅形式多樣，針對醫療保健領域，業者已開發出多種網路安全解決方案：

(一) 提供防火牆、網路分段、入侵偵測與零信任安全模型等技術，保護醫療組織的核心基礎設施。代表公司包括Cisco、Fortinet等。

(二) 確保雲端服務平台安全性及合規性。代表公司包括AWS、Microsoft Azure等。

(三) 透過多重要素驗證(Multi-factor authentication, MFA)、單一登入(Single sign-on, SSO)等技術來控管並保護人員對系統的存取權，又稱身份和訪問管理(Identity and access management, IAM)。代表公司包括Okta、IBM Security。

(四) 監控、保護及確認連網設備的安全，並提供IoT的完整性。代表公司包括Ordr、Medigate等。

(五) 提供端點偵測和回應(Endpoint detection and response, EDR)和行動裝置管理，確保醫療保健人員使用的筆記型電腦、平板電腦或行動裝置的網路安全，不受到來自惡意軟體的攻擊。代表公司包括CrowdStrike、SentinelOne等。

(六) 提供資料遺失預防服務來加密並安全地儲存及傳輸數據，同時提供合規管理來幫助醫療組織遵守《健康保險可攜性和責任法案》(HIPAA)規範。代表公司包括Compliancy Group、Netwrix等。

(七) 利用安全資訊與事件管理(Security Information and Event Management, SIEM)工具收集和分析與醫療保健組織相關的網路安全數據，並提升應對威脅的能力。代表公司包括Splunk、IBM Qradar等。

(八) 提供針對醫療保健相關人員面對網路威脅的教育及訓練，來降低人為錯誤或網路釣魚攻擊所導致的資料外洩。代表公司包括Wombat Security、Infosec IQ等。

四、代表性案例
(一) Fortified Health Security (美國)
Fortified Health Security提供網路安全管理服務，包括SIEM監控、EDR服務、漏洞管理、暗網監控與事件回應等。該公司為 Middlesex Health 醫療機構提供持續的網路安全演練與全天候管理服務。Middlesex Health 自2015年經歷重大網路攻擊並遭受財務損失後，採用 Fortified Health Security 的服務，顯著提升了其網路安全能力與信心，並贏得業界的高度認可。

(二) Ordr (美國)
Ordr 公司提供的網路資產攻擊面管理（Cyber Asset Attack Surface Management, CAASM）是一項專為醫療產業量身打造的客製化解決方案，能夠針對連接至醫療保健組織網路的設備，提供全面的視覺化資訊。代頓兒童醫院採用 Ordr 的技術，包括威脅偵測、主動搜尋潛在風險及裝置自動隔離等功能。同時，該醫院引入零信任安全模型，成功為其 25,000 台連網設備建立完善的保護方案。

(三) Red Canary (美國)
Red Canary 公司提供的威脅偵測與應變服務（Managed Detection and Response, MDR），結合全天候監控、威脅情報與自動化回應功能，有效偵測並阻止威脅，降低風險並提升安全性。2024 年 6 月，Red Canary 安全營運中心偵測到針對某醫院的可疑網路活動。在該醫院與 Red Canary IT 團隊的協作下，成功隔離受影響的伺服器及受感染的帳戶，避免攻擊進一步升級並持續影響醫院運作。

五、成長機會
(一) 人工智慧
網路安全公司正積極將生成式人工智慧（Generative AI）整合至產品中，以增強情境化的安全功能。此技術憑藉其強大能力，正在改變網路安全的格局。在醫療保健領域，越來越多組織利用機器學習與生成式 AI 強化安全防護。生成式 AI 能夠分析大量數據，協助使用者辨識潛在威脅，並自動執行威脅搜尋、異常事件偵測及安全任務回應等操作。持續投資並整合生成式 AI 工具，是網路安全公司獲得長期競爭優勢的關鍵策略。

(二) 信任關係
醫療保健產業中的數據具有極高價值，且隨著雲端資料傳輸與物聯網設備的普及，成為網路攻擊的高風險目標。持續的安全威脅突顯出醫療機構、病患與網路安全供應商之間建立信任關係的必要性。穩固的信任關係不僅有助於保障數據安全，還能提升醫療服務的穩定性並推動組織間的合作。

醫療機構可與網路安全及基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）合作，共享即時威脅資訊，並透過網路安全培訓減少人為錯誤，降低資料外洩的風險。

(三) 整體網路安全方法
專業醫療網路安全人才的短缺是當前面臨的主要挑戰。採用整體性的網路安全策略，將技術、流程、人員與政策相結合，可有效提升網路安全保護能力。防禦措施需全面考量基礎設施、設備、資料存儲、員工知識及病患信任等層面。此外，醫療機構需確保符合HIPAA、HITRUST(The Health Information Trust Alliance健康情況資訊信任聯盟)和NIST(National Institute of Standards and Technology美國國家標準暨技術研究院)等安全規範標準。遵守這些標準有助於加強監管合規性、保護敏感數據，並確保患者與組織的信任與安全。。