【全文】個資大量外洩、點滴流速異常　衛福部立醫院陷資安風暴

發布時間：2022.12.11 05:58 臺北時間

更新時間：2023.09.12 20:44 臺北時間

文

李育材

攝影

已複製連結

贊助本文

醫護人員醫院國防部調查局駭客任務三軍總醫院台大醫院個資外洩中國刑事局新聞傳真衛福部資安

衛福部桃園醫院驚傳資訊系統遭駭客入侵，不僅醫護及病患個資大量外洩，就連護理系統也出狀況，多名病患的化療點滴流速不明原因暴增，威脅生命安全。本刊調查，除了桃園醫院外，衛福部台北、豐原2家部立醫院也採用同廠商提供的系統，該廠商的研發團隊設在中國，近年以低價標下不少台灣醫院系統標案，消息曝光後，刑事警察局和調查局已介入偵辦，希望盡快防堵資安破口。

手裡握著一大疊蒐證資料，資安界人士A先生憂心地說：「政府屢次宣示資安即國安，但衛福部桃園醫院的重要資料，卻因駭客入侵大量外洩，有心人甚至能藉由醫院系統，連結到全民健保系統，竊取更多資料，狀況真的非常嚴重！」

今年三月，調查局資安工作站要求桃醫提供昱誠公司標案進行調查。（讀者提供）駭客入侵　洩病患資料
A先生透露，前年8月4日起，桃園醫院就有12部電腦主機遭駭客入侵及惡意連線，對方將資料製作成壓縮檔後取走，直到同年9月，衛福部附屬醫療及社會福利機構管理會（醫福會）才接獲異常連線通報，調查後發現，遭取走的壓縮檔，除了有病患的個人資訊，還有醫護人員的資料，資安公司的報告指出，駭客應是「同時區的有心人士」，研判中國網路間諜的可能性極高。
刑事警察局今年4月啟動調查，要求桃園醫院提供相關電腦紀錄。（讀者提供）不只如此，去年2月，桃園醫院透過「端點系統」偵測發現，院內有4部電腦主機遭植入惡意程式，駭客所在區域為俄羅斯；去年5月，又有駭客加入醫院的高權限群組，開啟遠端權限之後，清除入侵軌跡，並且進行攻擊。
A先生進一步表示，資安人員在桃園醫院的系統中，發現有簡體中文附註的程式碼及中國開發人員名單，該系統採用的甲骨文資料庫（oracle 11g）也是中國特有版本，早已不符台灣公部門的資安需求，但系統商「昱誠智能資訊公司」提供的系統卻都以此版本為基礎。
資安界人士呼籲衛福部長薛瑞元（圖）盡速防堵部立醫院的資安漏洞。更離譜的狀況發生在今年3月，桃園醫院新屋分院的護理系統資料庫，主目錄資料突然遭清空，資安人員調查，原因是總院的護理系統出現異常，甚至有「排程指令」連結至新屋分院系統，將主機內的資料竊取、刪除。

衛福部台北醫院（圖）的資訊系統跟桃園醫院一樣，都是昱誠提供。（翻攝Google Maps）點滴異常　流速變五倍
巧合的是，事發前1個月，昱誠公司曾至桃園醫院更新護理系統程式，桃園醫院與昱誠也有多項採購案履約爭議，最讓桃園醫院不滿的是，就算電腦系統出現漏洞，昱誠仍拒絕交出資料庫系統最高權限的帳號密碼給院方，系統未來如再出問題，院方仍須請昱誠以遠端連線方式維護，有安全疑慮。
危及病患安全。圖為示意圖。（取自Pixabay）不僅個資外洩、資料遭竊，更嚴重的是，系統還出現錯誤的醫療資訊，威脅病患安全。另一名資安界人士B先生告訴本刊，如果將資訊從醫師用的醫療系統轉換到護理系統、巡房系統，內容就會出現失誤，例如檢驗項目是WBC（白血球），系統卻變成RBC（紅血球），甚至還有癌症病人接受化療藥物注射時，點滴流速莫名改變，導致護理人員給藥混亂、錯誤，十分危險。
桃園醫院內部報告顯示，某病患於化療時因系統出錯，點滴流速暴增。（讀者提供）桃園醫院內部的檢討報告顯示，去年10月，醫師給L姓病患的化療點滴速率為每小時160毫升，但轉換至護理系統時，流速卻變成每小時250毫升。相同狀況還出現在去年9月，一名H姓病患進行膀胱癌化療點滴治療時，醫囑流速為每小時609毫升，但系統竟無故加速至每小時828毫升。
桃園醫院至少3名病患因點滴流速異常，出現安全疑慮。最扯的是去年4月，一名K姓病患進行化療時，護理系統處置與紙本化療醫囑流速不一致，醫囑流速每小時270毫升，轉換至護理系統時竟加速5倍，達每小時1,450毫升，病患恐因藥量難以負荷，衍生猝死疑慮。
多所醫院　採用同系統
B先生指出，由於系統狀況百出，許多醫護人員看不下去，紛紛在網路匿名爆料，醫福會收到消息後，曾要求部立醫院清查各項問題，甚至計畫與台大醫院合作，轉換為台大醫院的系統，最後卻不了了之。
本刊調查，不只桃園醫院使用昱誠公司的系統，衛福部台北、豐原二間醫院也是用昱誠的系統，主因為建置價格低於市場行情。A先生舉例，昱誠2019年標下台北醫院醫療資訊系統建置案，結標金額980萬元；去年標下豐原醫院建置案，結標金額1,200萬元，因醫療資訊系統通常需要客製化，一般區域醫院的系統更換經費，至少超過3,000萬元，該公司為何能用這麼低的價格承攬？令人匪夷所思。
昱誠公司去年也標下衛福部豐原醫院（圖）資訊系統建置案。（翻攝Google Maps）更啟人疑竇的是，2019年間，同樣使用昱誠系統的國軍花蓮總醫院，因電腦螢幕意外跳出簡體中文畫面，引起軍醫局重視，全面徹查後除了停止昱誠以遠端連線的方式進行維修，最後還更換廠商，改用三軍總醫院自行開發的醫療系統，確保資訊安全。
雖然軍方很快發現問題，並立刻修補，但衛福部轄下的醫院卻沒跟進，桃園醫院的資安漏洞曝光後，刑事警察局及調查局已介入偵辦，希望盡快釐清駭客身分、入侵管道及目的，以及到底有多少資料遭竊取？有無機密或敏感資訊？昱誠公司又扮演什麼角色？
得標廠商　曾獲資訊獎
本刊調查，傳出資安爭議的昱誠公司成立於2001年，員工20餘人，首創利用影像技術將醫用影像建置在開放平台上應用，曾獲美國FDA ClassII認證，也榮獲過中華民國年度資訊獎。2013年起，昱誠承攬多公家機關的資訊系統服務標案，最大宗為軍醫院及衛福部立醫院電子白板系統維護服務。
昱誠公司（圖）標下衛福部多項標案，如今卻傳出資安隱憂。（翻攝昱誠智能YouTube）不過，昱誠公司秦姓負責人早在1999年就進軍中國，經常往返兩岸，也是江蘇省的知名台商，並擔任台北市武進同鄉會理事、兩岸交流委員會主委，他曾與友人合資在對岸創辦「江蘇台腦科技公司」，並擔任負責人，還以「台灣電腦公司總經理」「正瑋生技公司董事長」等頭銜，遊走兩岸三地。
資安界人士告訴本刊，衛福部近期以發展次世代醫療系統為由，要求整合各醫院系統，並由部立醫院試辦，但資安問題卻未改善，呼籲相關單位應謹慎把關，不要讓醫療系統成資安破口！
回應──昱誠： 與外洩案無關針對相關案件，衛福部表示須彙整資料後再說明；昱誠公司則指出，他們在2018、2019年後就未再承接桃園醫院標案，相關個資外洩案件經執法單位清查為硬碟故障，與其無關。