醫療產業跨域資安人力高峰論壇 民國105年,教育部啟動先進資通安全實務人才培育計畫,旨在深化產學鏈結、建構資安培訓環境、孕育優質資安人才。為實現前述目標,該部積極推動產學媒合,日前與CIO IT經理人雜誌合作舉辦「醫療產業跨域資安人力高峰論壇」,引領學生理解醫療業資安人力需求。

醫療跨域資安人才對接,為學子搭建職涯舞臺

醫療產業跨域資安人力高峰論壇 於民國105年,教育部啟動先進資通安全實務人才培育計畫,旨在深化產學鏈結、建構資安培訓環境、孕育優質資安人才。為實現前述目標,該部積極推動產學媒合,日前與CIO IT經理人雜誌合作舉辦「醫療產業跨域資安人力高峰論壇」,引領學生理解醫療業資安人力需求。


▲ CIO雜誌邀請醫療產業資訊長及資安長們共同參與教育部的資安人力培育計劃。


為何教育部推動「先進資通安全實務人才培育計畫」?總計畫主持人臺科大資管系特聘教授吳宗成認為,答案其實不難理解,根據某人力銀行的分析報告,現在一位學習資安的畢業生,至少有4個工作機會等著他;足見產業界資安需求殷切,但人才供給明顯不足,有偌大缺口急待填補。 

教育部推動此計畫,迄今邁入第8年,在執行方向上出現些許變化,早年主要從資工、資管系所培養資安人才,滿足電子產業領域所需;惟後續推動過程,發現其餘不論政府、金融機構、醫療院所、智慧製造場域、雲端應用等區塊,皆有迫切資安需求,故不宜僅在資工或資管領域培育人才,需要跨域執行。


學生熱烈提問,探索醫療資安人員輪廓 所謂跨域資安人才,重點在於Domain Knowledge、亦即專業知識;計畫團隊深覺需借助很多專家來指導,方能得知各產業需要何等資安人才,也才可以透過相應計畫來驅動相關題材,引導在校學生修習實用課程。以醫療業而論,現已成全球駭客攻擊的前三大對象,面臨的威脅不輕,亟需建立質量兼具的資安團隊,對資安人才自然需求若渴。 因此計畫團隊攜手CIO IT經理人雜誌,舉辦關於醫療業資安人力的論壇,邀請衛福部資訊處副處長王復中,及花蓮慈濟、臺大醫院、臺北榮總、國泰醫院、馬偕醫院等院所的資安長或資訊長,從醫療產業角度,分享對資安趨勢、資安人力職能的見解。

在上述專家陸續發表演說後,主辦單位悉心安排座談時間,讓在場學生們能夠提出關於醫療業資安工作的問題。結果發問情況至為踴躍,提出像是「醫療機構有任何對資安人才的培育課程或實習」、「醫療對隱私資料安全有較高需求,與一般資安防護是否不同」、「工作面臨的壓力如何、學生如何適應」、「資安工作的輪調機會高低、工作內容是否一成不變」及「資安專業知識要廣還是精」等詢問。


慎防委外破口,供應鏈資安成關鍵

衛福部資訊處副處長王復中指出,醫療院所一來須因應資安法規、二來受到外在環境影響,導致資安防護面向偏多,包括設施、服務流程、資料、人、健保皆需確保安全合規。 值得一提,醫療院所不僅面對大量稽核挑戰,甚至與其他產業一樣,都面對供應鏈資安、系統委外管理議題。故以112年醫療資安課程規劃來看,包括工控資安、隱私安全、OT與IT供應鏈資安都成為新焦點。


IT、OT、工控三面向,皆需安全把關

花蓮慈濟醫院副院長吳彬安說,在資通安全法框架下,有諸多需要達成的應辦事項,須仰賴資安人才來完成相關防護;其中無論資安設備、操作解析或政府法規的對應,皆得由專業人力來執行,但目前資訊室人員多為IT背景,在資安技術方面未必到位。 醫院同時需要IT、OT、工業控制設備等三類資安人才,院方期望他們具備獨立思考特質,學習技術而不依賴產品,莫要過度倚賴資安系統產出的報告、缺乏自身專業判斷力。


憑藉專業證照,更易開啟職場大門

馬偕紀念醫院資訊室主任鄭聰貴指出,醫院資安工作重點,包括訂定資通安全維護計畫(含資訊,醫療、工務設備),建立資產管理系統並定期進行風險分析,分析資訊安全系統量測指標及問題改善,將資安納入醫院災害防救架構、訂定各單位應變作業程序。 關於資安人才,他認為既然主試者一時之間難以評斷應聘者能力好壞,建議學生努力取得資安專業證照,爭取更多入職機會。


需以技術為導向,而非執著產品導向

國泰綜合醫院資訊部部長曾景平表示,醫療機構受到勒索病毒襲擊日益嚴重,係因醫療產業擁有大量病歷、醫療記錄甚至金融資訊,遂成為駭客覬覦對象。 醫療資安人員的工作,大致包括建立組織資安標準作業文件及內部控制流程、落實系統運作監控,及加強資安教育訓練與宣導。在特質能力上,應對資安有熱忱,具獨立思考能力,且要以技術導向、而非產品導向。


堅持追根究底,不懂的問題學到懂

臺大醫院資訊室協理尚榮基說,現階段的醫療產業資安,具有資料外洩風險高、醫療設備與IoT設備管理困難、服務中斷等特色。在工作內容部份,主要圍繞在防護、監控、分析、排除、復原等環節,其中監控、分析尤其重要。 論及人員特質,總結來說需要有三大能力,一是技術能力;二是溝通能力、彰顯於團隊合作與專案推動情境;三是學習能力,要有解決問題、追根究底的堅持,把不會的問題學到會,以因應層出不窮的威脅。


不畏工作繁重,兼具技術力與溝通力

臺北榮民總醫院資訊室主任郭振宗說,資安趨勢發展包含雲端威脅(病歷上雲及醫院未來採用混合雲)、勒索病毒威脅、漏洞攻擊、供應鏈威脅、IoT威脅及維運設備(OT)威脅。 醫療資安人員肩負資安全管理、資通系統安全管理、資安防護、資安法遵等業務。院方期待資安人員具備團隊精神、責任感、品行端正、身心健康、具服務熱忱、不畏工作繁重,同時擁有專業技術、溝通協調、表達、學習等多重能力。 總括來說,本次論壇營造了學用對焦的難得契機,引導學生認知醫療業資安人才需求,從而調整學習方向、避免學用落差,為未來入職做好準備,連帶幫助醫療院所消弭資安人力缺口。