#1922疫苗登記預約平台發生個資外露問題
#人民隱私權被侵犯政府是否準備賠償
#關貿號稱最大最專業為何出包不斷
民眾黨立委邱臣遠辦公室日前接到民眾投訴,號稱由天才IT大臣唐鳳設計規劃,並委託關貿網路公司製作的「COVID-19 公費疫苗預約」網站,因為網站設計有疏漏,明顯侵害民眾隱私權,任何人只要握有對方身分證資料及手機號碼,就可以直接在1922網站知道對方想預約哪種疫苗、是否已打過第一劑、已打過何種疫苗、打過第一劑的未來第二劑預約時間及種類。平台從7月6日上線已足足兩個月,民眾個資早就通通外洩!
#號稱天才專業卻犯個資外洩嚴重錯誤
「COVID-19 公費疫苗預約」網頁設計相當簡單,進入首頁後僅有「意願登記」及「預約接種」兩大項目,也僅有「查詢」、「登記/修改」、「預約」共3個按鍵。
民眾進行「登記/修改」、「預約」時都需要輸入雙證件或是身分證加收手機一次性OTP密碼,唯獨在「查詢」這項只要輸入身分證字號和手機號碼就可登入,
網路設計時為何要獨漏「查詢」無須雙重認證,實在令人不敢相信出自天才IT之手。
檢舉民眾非常恐慌公司人資就擁有這兩項個資,若有心人想查,資料不就被看光光!再加上國內詐騙集團手段不斷翻新,之前就常傳出大型網站被駭會員資料外流,若詐騙集團手上本就擁有民眾基本個資,更可以偽造1922網頁誤導民眾點擊,讓民眾有可能被網路釣魚和被植入勒索病毒。
#關貿公司得標無數卻出包不斷誰在包庇
關貿公司員工500人,每年都拿到高達數億政府公標案,並多為限制性招標。官網上這樣自我介紹:「展現卓越的團隊能量與深厚的專業實力,成功在短時間內整合金流、物流與商流,提供口罩實名制預購系統、振興三倍券、藝FUN券APP等服務,協助政府達到科技防疫與振興經濟之目標。」
關貿同時號稱自己是國內最大之應用軟體服務(ASP)供應業者,然而光是一個「COVID-19 公費疫苗預約」網站從上線之後就常常系統壅塞當機,現在再加上洩漏個資的嚴重錯誤,實在看不出號稱最大最專業的實力何在。
盤點「COVID-19 公費疫苗預約」幾次大出包事件
✅7/13開放第九類以及18歲以上民眾進行意願登記時,該系統網站與手機健保快易通都大當機
✅有民眾接獲1922簡訊後,已於7月16日到打完第一劑疫苗,7月27日開放第四輪疫苗預約接種,竟然又再度收到1922簡訊
✅7/27第四輪公費疫苗對象登記,原本預告會發送疫苗接種簡訊,給符合資格的民眾上網登記接種;因為PTT爆料「沒收到簡訊,符合資格直接預約就可以了」民眾大呼不公平
✅7月30日有民眾至新竹縣仁慈醫院欲施打第一劑AZ疫苗,未料現場醫護人員通知「1922平台出包,並未得到相關接種名單,衛生局也沒有配發到AZ疫苗」
✅8/9因系統錯誤不符預約資格的1500人意外搶到莫德納第二劑
✅8/14號稱太多人預約高端疫苗開放10分鐘內即當機
有媒體還透露,去年由關貿公司承攬的三倍券的系統開發光是驗證系統開發等等就耗費1億,如今五倍振興券上路確定,若同為關貿公司設計,就不應該再編列巨額開發預算,其他類似案件亦然。蔡政府從前瞻計畫到紓困預算處處浪費大撒幣,已經花掉人民一兆七千六百億,要知道這些錢都是人民辛苦工作的納稅而來,這個執政黨政府一路荒腔走板,人民歷歷在目,就算選舉快到了蔡政府才會醒過來假謙卑傾聽民意,人民的記性真的沒有那麼差!
同時也有10000部Youtube影片,追蹤數超過2,910的網紅コバにゃんチャンネル,也在其Youtube影片中提到,...
醫院 勒索病毒 在 Facebook 的最佳貼文
【到底,都會過去,只是同島一命,別大意】
也許徬徨,也許失望,也許,過沒多久,這些都會過去。
一早醒來木木問我說:「你那邊還好嗎?」我說:「一切安好。」身為一位居家工作已久的人,早已經習慣廢在家中無所事事的生活。倒也不是真的沒事,而事已經習慣安排一整天不慌不忙的腳步。畢竟從去年開始,少了四處流浪的奔波,我著實待在家已然超過一年,從無聊荒爆炸焦躁到已經默默學會在日常中放飛自我。
醒來,開始刷牙洗臉。然後,整理家務。之後,忙著回訊。再來,與家人共食。大半時間我都與自己獨處,卻沒什麼機會孤獨,老覺得很多事都等著,不閒著。才發現一定年紀後,沒什麼特別多慾望,若真有什麼想做什麼,大概就是回到世界的航道上。既然如今走不了,那就待著也好。
待在一個地方,如實面對眼前的一切。
另外偉苹來訊說:「大人不卡卡募資結束,謝謝我的分享,希望疫情結束之後有機會出來聚聚。」我說:「好!到時候龍潭某個咖啡館見。」也聊到她原本打算結束募資後去旅行,因為疫情突然升溫,如今也只能延期。還好女兒會考結束,也許天地自有冥冥注定,該來的擋不住。
我說這回待在家反到無懸念,疫情無法遠行的一年,訓練了面對無常的本事,人活著本就要能伸能縮,誰說日子只能前進,不能停留。過好眼前的日子,順著潮水跌宕起伏,淡泊了名利,少了慾望,日子就過的樸實簡單許多。
與其期待疫情馬上過去,不如好好適應眼前的變化。
編輯跟我說,我這本新書《生活中,選擇留下合適舒服的人》是戰亂出生的孩子,出版社先是遇到了勒索病毒,然後又身陷疫情重災區,她說一定會大賣,因為挫折苦練的孩子都會長成的很茁壯。我只能默默的大笑點頭說:「亂世出佳人,疫情出好廢宅,在家看書也是不錯。」
去年,我會很期待疫情趕快過去,這樣我就可以馬上收拾行囊往世界出發,接續那些未完的冒險,以及心心念念的旅程。如今,我知道唯有放慢步調,踏實下來,日子才能過的輕鬆愜意。
取消了簽書會,還有許多日程上的計畫,或許是這一整年來的訓練,沒有懊惱,沒有厭世,心想上天關了一扇窗,那應該就要我去開另外一扇門,並不是只有你被影響而已,大家都在同舟上,要齊心才能度過難關。
恐懼不能戰勝病毒,無知不能抵抗死亡
一天,我就看一個多鐘頭的電視新聞,莫約是下午兩點時看一下疫情指揮中心的報告,其餘時間我就寫作、整理、追劇、玩小遊戲。與其去擔心外面世界變得多可怕,不如好好廢在家。與其讓各種恐懼掩沒你的情緒,不如靜下心來看一本書,或是睡個好覺。
日子,不會因為一次增加數百個確診就過不下去。那些得病的人大部分也是在無知的狀況下感染,她們比我們害怕,卻已經要面對生死與家人感染的風險。友人說,附近的鄰居總到處去說陳時中隱匿疫情,而且沒戴口罩,讓他氣到去教訓鄰居。
如果每個人都能謹守本分,保持社交距離,並同理如今是非常時刻,或許就不會有這麼多無謂的口水戰,更不會因為無法誠實交代買春而造成醫院群聚感染。
到底,為什麼阿公店這麼紅?或許就是寂寞殺死人
友人在臉書上說他問老前輩一個技術問題,結果前輩卻用二十分鐘分析為什麼台灣的老人都喜歡去泡茶室。大致上這群體力驚人的長輩會到茶室,不完全是因為消費實惠,有些是追求年輕時的回憶,與那些歷經滄桑的女人在幾小時相處,彷彿就回到青春時盛氣的自己。
不管怎樣,茶室風暴默默的把台灣整個社會推向了封城邊緣,同島一命,已經無法去追究誰,但管住自己的腳、嘴很重要,每一個人若能守住自己的腳步,那麼疫情才有機會被控制下來。
澎湖 西嶼 永成古厝
-
生活中,選擇留下合適舒服的人 / 新書 簽名預購倒數3天
醫院 勒索病毒 在 台灣物聯網實驗室 IOT Labs Facebook 的最讚貼文
醫療IT將有兩大變革!衛福部宣布電子病歷交換中心要改為FHIR架構,還要送草案讓電子病歷上雲
衛福部資訊處處長龐一鳴日前在臺灣資安大會上,宣布要將電子病歷交換中心(EEC)架構改為FHIR交換架構,以符合國際醫療資料交換標準,此外,衛福部還要放寬電子病歷存取權,將允許醫療機構將電子病歷上雲代管。目前衛福部正修改法規,接下來要公開草案、徵詢外部意見。
文/王若樸 | 2021-05-08發表
衛福部資訊處處長龐一鳴表示,衛福部計畫將電子病歷交換中心(EEC)架構改為國際醫療資料交換標準FHIR,他將這種以FHIR格式交換的電子病歷,稱為新世代電子病歷,由4大元素組成。
為強化醫療資安體質,衛福部資訊處處長龐一鳴6日在臺灣資安大會上重磅宣布,衛福部要擁抱HL7國際醫療資料交換標準FHIR,將電子病歷交換中心EEC改為FHIR交換中心,來降低眾多接口產生的資安風險;此外,衛福部也要放寬電子病歷存取權,將允許醫療機構上雲代管,目前正修改法規,接下來要公開草案、徵詢外部意見。衛福部希望藉這些做法,強化醫療資安防護基礎,一方面也希望臺灣醫療資料與國際接軌,要讓國內醫資廠商用符合國際標準的產品,出國「打國際盃」。
從公共衛生看醫療資安,得先養好體質才能預防資安事件
公共衛生出身的龐一鳴指出,醫療資安有如公衛和預防醫學的三段五級策略,公衛中的三段是指人生病的三階段,從無症狀或易感染狀態,到臨床病徵出現,再到傷殘或死亡的階段。這三階段對應到醫療資安,就是無症狀或被刺探狀態;出現弱點、發生資安事件;以及資料遺失、橫向擴散和系統癱瘓。
面對發病過程,公衛有5種策略來應對,像是促進健康、特殊防護、早期診斷早期治療、限制殘障和減少死亡,以及最後的復健。「醫療資安也是如此」,龐一鳴舉例,醫療機構平時就應養成健全體質、蒐集情資來預防事件,並定期進行弱點掃描、做好特殊防護,再來才是資安健檢、加入監控機制(SOC)即時修補問題,達到早期診斷早期治療的效果。
要是發生資安事件,醫療機構也要透過通報應變機制(如ISAC、CERT),來降低資安事件帶來的衝擊。最後一步,則是事件後的復原鑑定。(如下圖)
在這5種做法中,過去,衛福部已在資安事件處理有所著墨,包括近幾年建置的醫療資安情資分享與分析平臺H-ISAC,讓關鍵基礎設施醫院(CI醫院)加入,透過緊急應變處理(CERT)和聯合監控(SOC)等機制,來鞏固醫療資安聯防。
現在,龐一鳴則回過頭聚焦5級策略中的第1級,要培養好所有醫療機構的資安體質,來降低事件發生的可能。「醫院養好體質,可避免未來可能遇到的資安問題,」他比喻,就像這次疫情期間,民眾落實戴口罩,不只防疫,也防止其他耳鼻喉科相關疾病,連健保數據都顯示去年相關門診就醫次數大幅下降。
養體質第一招:電子病歷交換中心EEC改為FHIR架構
同理,為防止病從口入,衛福部打算將醫療院所的「口」防好,也就是簡化電子病歷的交換架構。龐一鳴指出,電子病歷是醫療機構和政府單位最常交換的資料,這些單位包括健保署、國健署、EEC、疾管署、地方衛生所等,由於這些單位彼此不互通,醫療機構得針對不同單位,採用不同交換標準,並配合不同網路工具來執行。
過去,健保署多年來每每針對不同專案,開設專屬VPN來建立加密的資料交換環境,來給醫療院所使用。然而VPN一多,就容易產生資安風險。
因此,龐一鳴認為,要是能先將EEC交換平臺改為FHIR交換平臺,採用主流的國際醫療資料交換標準HL7 FHIR,就能簡化交換流程,不必一對一客製化介接,連帶簡化醫院需使用的網路工具,減少破口出現。他希望,藉由衛福部EEC率先改用FHIR,帶動其他單位擁抱FHIR,跟上國際趨勢、進一步簡化資料交換工作。(如下圖)
他將這種以FHIR格式交換的電子病歷,稱為新世代電子病歷,並由4大要素來推動。首先是資料標準,也就是要將新舊標準平行轉移,讓EEC先採用FHIR、健保署仍採用舊標準,爾後再調整;同時,龐一鳴也要藉此將衛福部內的資料交換,改以電子病歷為單位。(如下圖)
第2要素是連結跨部會資源,透過經濟部補助一年一度的臺灣FHIR聯測,來推動FHIR普及,同時也要協同經濟部輔導廠商的FHIR產品服務等。
再來是透過產官學合作,來發展醫療機構所需的FHIR資料格式轉換工具,以及培育FHIR人才資源。最後則是新世代電子病歷的交換應用,比如發展交換平臺,來試做疫苗護照等應用。
疫苗護照FHIR新機遇,未來還能推廠商打國際盃
龐一鳴坦言,疫苗護照是衛福部擁抱FHIR的另一個契機。目前,WHO、歐盟和世界多國都已倡議推行疫苗護照,要讓民眾透過App,出示自己在該國接種疫苗的證明,來加速出入境和進出特定場所的身分檢查。而這款App,就需要與該國衛生部門資料串接,而他們用來串接接種資料的交換標準,「就是FHIR。」
對臺灣來說,要加入國際疫苗護照行列,就得用FHIR來串接電子病歷中的疫苗接種紀錄。但龐一鳴指出,過去以來,臺灣醫療院所電子病歷交換的主要對象,一直是健保署,因此交換架構是臺灣健保署專用,而非國際通用。於是,要與國際串接資料,臺灣勢必得採用FHIR。
他認為,疫苗護照是臺灣練兵FHIR的大好機會,也能順勢將「國際標準轉化為國內標準。」他期望臺灣趁這次機會實現3個目標,也就是做好FHIR疫苗護照,再來是醫療機構採用FHIR國際標準,讓國內醫學研究更容易與國外互通,最後是臺灣醫資廠商大規模採用FHIR,讓自家產品不再只是臺灣標準,而是遵循放諸四海皆準的國際標準,如此才能「打國際盃。」
龐一鳴指出,這項計畫也已知會衛福部部長陳時中和數位政委唐鳳,盼能落實。
養體質第二招:允許電子病歷上雲託管,放寬存取權
接下來,衛福部養好醫院資安體質的第二招,是要放寬電子病歷存取權,允許電子病歷上雲代管,再由政府監督雲端業者和代管業者。這是因為,對臺灣眾多的專業小型醫療院所來說,管理醫療相關資料十分耗力,委外處理要是出事了,廠商不負法律責任,「導致小診所苦不堪言。」
為解決這個問題,衛福部擬定草案,要開放電子病歷上雲、交由第三方代管。龐一鳴指出,許多雲端業者的醫療資料處理服務,既符合歐盟最嚴格個資法GDPR,也符合美國主流的醫療資料保護法案HIPAA,更遵從國際標準FHIR,對人力不足的小型醫療院所來說,就會是個解方。而政府要做的,就是監管雲端業者和代管業者,多一道把關。
衛福部要開放電子病歷上雲,還有另一個用意。龐一鳴表示,由於長年法規規定,電子病歷只能存放在醫院中,導致醫院用雲相對落後。「但現在是上雲時代,醫院不用雲,大部分醫療AI幾乎不能用,」而開放上雲,就能促進醫療院所對AI的採用。
目前,這套上雲草案已完成內部意見整合,最近將公開草案、徵詢外部意見。龐一鳴希望,藉由改善電子病歷的交換架構和存取權,來打好醫療院所的資安體質。
要將資安稽核納入醫療評鑑,還要強化社交工程防治演練
回到醫療資安層面,衛福部也有幾套做法,來鞏固原有的醫療資安機制。首先是擬定在醫院評鑑中,加入資安稽核項目,來吸引更多醫院加入醫療資安聯防機制。這是因為,受限於資安法規定,衛福部無法全面將聯防機制推動到每家醫院,所以得想辦法讓不同身分的醫院加入。
再來,衛福部也會繼續推動資安人才培訓,並與其他政府部會協商,來強化醫療資安聯防。同時還要提升醫資廠商資安意識,將逐步要求醫資業者備妥資安防護措施。
今年,衛福部也計畫辦理更多演練,來加強醫院資安事件處理經驗。這些演練包括資安事件通報,也就是加入H-ISAC的會員醫院將收到H-ISAC演練警訊,會員醫院得依此回覆,進行通報等等。此外,衛福部也會針對社交工程,辦理模擬演練,至少10家醫院參與演練,並各自提交報告。
衛福部也鎖定聯網程度越來越高的醫療儀器(OT),將醫療儀器生命週期納入資安管理,以6種配套措施來納管,像是汰舊換新、採購評估、教育訓練等等。(如下圖)
近期醫院被勒索軟體攻擊次數下降,盤點5大方法降低事件發生率
最後,龐一鳴盤點近幾年醫療勒索軟體攻擊事件,指出2019年8月,臺灣38家醫院在幾個小內接連遭到WannaCry病毒大規模攻擊,是因為病毒從內網橫向擴散,「我們也藉此檢討EEC架構和健保VPN設置,並來改善。」
在那之後,自2020年至今,臺灣只有零星幾家醫院受到攻擊。比如2020年,只有兩起北部區域醫院和地區醫院的受害通報,今年至今也只有3起通報。(如下圖)
他也歸納出5種方法,來降低勒索病毒威脅,包括落實資安長制度、拒絕釣魚郵件(即社交工程攻擊)、建設好網路防火牆,還有USB管控和IT防禦。他認為前4種是對付80%攻擊的關鍵,而IT防禦雖只擋20%攻擊,但也是重要的防護基礎。
龐一鳴建議,IT防禦範圍包括善用H-ISAC情資分享,來掌握勒索軟體防護攻略,此外還有採用各種資安縱深防禦工具和技術來防範威脅。醫院透過有效的管理方式,就能杜絕大多數的攻擊嘗試,讓IT有餘力應付高明的駭客,而不會因層出不窮的事件疲於奔命,這也是IT防禦的心法。
資料來源:https://www.ithome.com.tw/news/144262