【數碼醫療／02】醫療記錄如財產 資料外洩後患無窮

他直言，大馬醫療機構對網絡安全重視度不高，直至發生醫院網絡被駭客入侵後才醒覺，重新審核及檢測醫院網絡系統，找出存在的漏洞，再加強保安堵住這些漏洞。

駭客無差別攻擊，該為醫療機構建立網絡監管

因此，他對我國至今還沒有設定醫療機構網絡安全監管感到擔心，因為目前我國的網絡監管條例只限於金融與電訊業。但今時今日的網絡駭客已經是無差別攻擊，只要用網絡作業，任何領域都會受到攻擊，更何況是關乎性命的醫療機構。

他表示，如今醫療服務已經走入數碼健康時代，從醫療設備到服務都已經是數碼化，甚至可以通過網絡鏈接來進行遠程診斷，當中是存在網絡風險的，所以近年來該公司接到不少醫療機構委託，檢測及評估醫院網絡系統的安全裝備，避免醫院數據、病人病歷和個資外洩。

他表示，數碼健康涵蓋醫院設備的數據、醫療服務到個人醫藥報告，若網絡保安功夫做不足，被駭客入侵，病人的醫藥報告會外洩，甚至被篡改，醫生使用有關報告診斷的話，後果可以非常嚴重。

他認為，大馬的數碼醫療保安系統還是處於一個起步階段，至今仍沒有一項條例規範醫療資料，而醫療體制正加速朝向數碼健康發展，因此政府有必要快馬加鞭，認真看待這個領域。

馮宗福表示，網絡駭客已經來到一個無差別攻擊年代，設定系統自動化攻擊，所以任何機構或行業都可能被入侵。早在七八年前已經有不同領域，包括物流、醫療、電訊公司遭受網絡攻擊。他直言，過去傳統被入侵的行業以金融與電訊業為主，但現在幾乎所有行業都已經進入數碼化時代，包括重工業、公用事業如水電公司、醫院，只要是邁入數碼化操作都會有風險，不要再有錯覺網絡攻擊只對某個領域有危險，現在已經是無差別攻擊。

他舉例如之前多個政府部門發生資料外洩事件，包括MySejahtera較早前也有300萬份健康記錄外洩就是一個例子。當民眾個資外洩，可以賣給商業機構作為大數據分析，或被用作金錢詐騙，而最嚴重的就是醫療報告外洩，可能涉及人命傷亡。

“如新加坡總理李顯龍的醫藥記錄外洩事件，這些重要人物的病歷外洩可以非常嚴重，有心人士如要加害就很容易，所以醫療機構資料外洩更令人擔心。”

“即使不是名人，這些病歷也可以成為商業工具，如糖尿病患者的資料和數據，可以賣給藥商、醫療機構。我國目前沒有法律監管這方面的資訊，但美國已經有了一項《健康保險攜帶與責任法案》（HIPAA），保護個人健康訊息，大馬也是時候看齊了。”

馮宗福強調，網絡安全已經是生活一部分，除了個人要提高上網安全意識，商家更應該注重網絡安全，保護顧客個資。傳統上大家都認為駭客把目標設定在金融業，因為會造成很大的金錢損失。但也會對很多行業造成很大損失，如航空公司，一旦航空公司網絡被入侵，搗亂航班時間表，帶來的損失也是無法估計。

“物流公司也一樣。雖然物流公司不需要通過網站賣東西，但如果被駭客入侵，物流流程被搗亂，同樣造成嚴重損失。”

他重申，預防是阻止駭客入侵最重要的管道，先做檢測，確定網絡安全不要有任何明顯漏洞，否則被入侵才來挽救就太遲了。

醫療機構網絡若被駭，會造成人命傷亡

隨著金融詐騙案日益猖獗，國內一些銀行已經是每個星期都在做檢測，不斷加強防護。馮宗福形容，駭客的入侵工具很多都是自動化，而且很容易在網上找到免費工具，而這些工具就如槍械一樣，取得的人可以無差別掃射或自動化攻擊，很多人都會無故中招。當駭客取得這些資料時，就可以針對個性化的需求把資料賣給有需要的機構做大數據分析。

“有的人覺得個資外洩有什麼大不了，既不是名人也不是有錢人，但駭客把你的個資賣給別人，根據你的個資做大數據分析，然後就可以根據你的需求推售所需要的東西給你，這些都是無法從賬目中估計的損失，包括現在發生的這麼多網絡騙案，都是個資外洩的後果。”

馮宗福認同，在當今網絡時代中，醫院數碼化是無可避免的趨勢，而自動化就是數碼化的其中一項功能，很多程序都會由自動化取代，所以必須確保網絡安全，這不只是涉及技術層面問題，而是整家醫院的存活，一旦醫院系統被搗亂，會影響手術時間、看診時間，醫護人員值班時間等等。

他表示，醫療是其中一個在被駭之後可能會造成人命傷亡的領域，另一個就是交通管理單位。如德國、日本火車系統都是自動化，如果駭客把班車時間混淆，後果不堪設想。

提供遠程治療的Doc2Us聯合創始人兼總執行長蔡偉民醫生則認為，網絡安全風險永遠都在，最挑戰的是我們不知道駭客有多先進，而業界的網絡安全設定都是根據“工業標準”（industries standard），即使是科技大公司微軟的網絡保安也是根據“工藝標準”設定。

“最重要的是那個機構有沒有根據工業標準協定的考核，一旦被駭客入侵，系統與技術人員能否馬上切斷鏈接，避免再次被駭，因為新一波攻擊很可能在1或2小時內再來，所以必須確保沒有被駭到的個資不會被駭！”

他直言，醫院系統其實很複雜，防護牆也很高，能夠駭到醫院系統的駭客道行已經很高，“而且世界上沒有最安全的系統，所以每一次被駭之後就要不斷的提高防火牆，因為我們做前線的永遠都較被動，背後的黑技術是主動，我們無法猜測駭客的心理，唯有不斷加強保安系統。”

他以該公司為例，為了防止病人個資或醫藥記錄外洩，除了做到符合工業標準的安全設置，也根據衛生部要求所有醫生與合作的藥劑師都必須在“數碼簽名系統”註冊，病人的電子健康記錄都是在區塊鏈處理，加深一重的保護。

“李顯龍個資及醫藥記錄外洩事件發生時，我還在新加坡服務，當時的確給我很大震撼，連總理個資這麼機密的資料也被駭，普通人更加不必說。”

MySejahtera改變大馬人對醫療個資外洩不重視的態度

蔡偉民表示，過往大馬人對於醫療記錄這一塊外洩不太重視，只注重會造成金錢層面損失的個資。尤其對B40群眾來說，健康記錄不是最重要，最擔心的還是金錢損失。

“但一個疫情下來，MySejahtera資料外洩事件，越多來多人開始關注醫療記錄外洩問題，所以當政府透露有意把MySejahtera私營化之後，人們都發出反對聲音。”

他直言，大馬醫療機構在網絡系統安全這一塊還有進步空間，但即使如新加坡已經做得足夠嚴密，也一樣被駭，所以安全系統是永遠沒有足夠的，只有不斷的提升。

他表示，民眾或許不自覺個人病歷是很值錢的資料，如果懂得使用，在黑市場可以賣到很高的價錢，駭客可以用這些來勒索醫院，或者專賣給黑市場，這些問題一直都在發生。

但他強調，保護健康資料不只是政府、醫院，使用平臺要加高防護，民眾自我警惕也很重要，如用手機下載遠程治療程式，事後手機沒有上鎖，輕易讓別人讀取到自己的醫療記錄，或把密碼設得太簡單，都會讓駭客有機可乘，所以保護個資是大家共同責任。

“醫療記錄沒有妥當保護的確有可能出人命，尤其是遠程治療在疫情前後產生很大變化。疫情之前我們一天開出的電子處方箋是500至1000左右，現在已經增加到2200，反映數碼健康的使用率已經日益普遍，所以保障病人個資更顯重要。”

儘管已經習慣遠程治療作業方式，但蔡偉民坦承，病人會覺得這管道與醫生互動不足，醫生需要花更多時間不斷與病人溝通，相反的，面對面會診會更快捷。

他也不諱言，並不是所有病例適合用遠程治療方法，如需要做檢查的病人就不能，醫生會把病人轉介到診所進一步診斷，所以提供遠程治療服務的醫生都有一份條件列表，清楚知道哪一類型的病人不適合遠程治療。

蔡偉民是在2017年創辦Doc2Us，而李顯龍個資洩漏事件是發生在2018年，這事故讓他與整個醫療領域有了一個新的認知，那就是無論系統多安全都有風險，沒有100%的網絡安全，只能做到減低風險。

“但遠程治療是一個無可避免的趨勢，我們無法避免，否則就是故步自封，唯有做到在進步的同時，也要確保自家的網絡系統符合工作標準規格。”

他表示，儘管發生MySejahtera資料外洩事件，但慶幸大馬沒有因為健康報告外洩而發生重大事故，其一是因為使用度不高，民眾對電子健康報告的認知也不完整，最後就是沒有涉及顯要人物健康報告外洩。他解釋，相比電子錢包，電子健康報告受關注程度不高，但相信未來兩三年人們會把注意力放在醫療這一塊，需要時間去接受，一如電子錢包也是這樣走過來的。

政府未來將立法管理電子醫療平臺

詢及政府方面有沒有針對數碼醫療安全作出行動時，蔡偉民透露，衛生部已經召集所有線上醫療服務提供者，瞭解業界的操作方式，以便將來立法管理電子醫療平臺。

此外，他提到，落實技術先進醫療保健系統的挑戰，在於生態系統的準備情況。這個生態系統由5個P組成，即患者（Patient）、提供者（Provider）、政策制定者（Policymaker）、付款者（Payer）和平臺（Platform）。

他表示，患者對於數碼健康解決方案的接受度和準備度是主要挑戰之一。目前公眾仍然將醫療保健視為一種面對面服務，難以接受虛擬平臺提供的醫療服務。

“人們心存懷疑，所以看不到線上諮詢的價值。”

蔡偉民認為，公眾對於共享個人數據的謹慎態度，也阻礙了數碼健康的發展，尤其是人工智能發展。他表示，現今的醫生是接受傳統方式教育，學到的是床邊禮儀，如何通過面對面向患者獲取線索，而沒有學習數碼健康、如何使用電子病歷或遠程諮詢。

他表示，在醫療保健者正努力應對與支持遠程會診的技術向前發展之際，政策制定者也必須對於不斷更新和發展持開明態度，包括國家政策是否能夠開明地接受數碼健康創新，以及政策是否與數碼健康解決方案相關。

“解決了醫療服務層面的問題，接下來就是付款者（支付醫療費用的人）是否已經準備好，當中包括政府、保險公司、僱主和患者本身。付款者需要有適當的程序來評估虛擬諮詢的付款，這取決於他們能否看到數碼健康的價值。”

“而最後一個障礙，就是平臺是否已經準備就緒，如基礎設施支持，穩定且廣泛覆蓋的互聯網網絡，以及安全保障。”

蔡偉民表示，數碼健康正積極發展，尤其是疫情大流行的催化下，數碼健康議程在往前推進。如美國在疫情大流行期間，74%醫生會診是採用虛擬形式。雖然這個比例在疫情後下降至46%左右，但仍遠高於疫情大流行前的水平。

延伸閱讀：
【數碼醫療／01】醫療連上線 不出門也能看醫生
相關稿件：
【本地中醫綻放／02】中醫系百花齊放 大學院校培養中醫年輕人才
【電動車前景／01】環保面前 電動車登場燃油車退閃