案例分析：醫療機構

一、 網站弱點與個資洩漏

進入「○○健康資訊管理系統」需通過身分驗證機制（帳號與密碼），方可進 入系統。測試過程中發現雖然身份登入網頁已對 SQL 攻擊字串做過濾，但最後一 關檢查身份正確與否的網頁卻沒有阻擋 SQL 攻擊字串，直接對 ic_pass.asp 插入 SQL 攻擊字串繞過系統驗證機制，成功登入系統取得使用者權限，（圖 58）為攻擊流 程說明。

身分登入頁面 (hfindex.asp)

輸入字串檢查機制 (verifylogin.asp)

身分登入檢核頁面

(ic_pass.asp) 登入系統

攻擊字串：

’or1=1--輸入字串檢核錯誤 1

輸入帳號密碼 2

攻擊字串：

’or1=1--3 成功

失敗

圖 58. 攻擊流程說明

將 SQL 字串跳過 verifylogin.asp 的檢核，直接傳給 ic_pass.asp 處理，該頁面 會因為輸入的字串判斷恆為真，而直接登入系統。登入系統後可取得許多屬於個 人隱私的資料，包括系統使用者本身及其所屬病人之病歷資料如（圖 59）。使用 支攻擊指令範例如:

http://○○○.○○○.tw/ic_pass.asp?ID=' or 1=1--

圖 59. 病歷處方與診斷資料

二、 業務影響分析

由 SQL Injection 登入，可取得約 98~180 位病人病歷資料，其中包含姓名、地 址、身分證字號、眷屬資料與治療細節（診斷、處方與用藥）等。由於本案例提 早由 SOC 業者發現，並通知補強，並未被駭客利用竊取病患資料成功。這些網站 弱點在上線時就已經存在，如果被有心人士知悉並成功竊取民眾病歷，後果不堪 設想。包含：

 賠償責任：依照我國個人資料資料保護法的規定[18]，洩漏民眾個人資 料，每一筆賠償責任為 500 元以上 20,000 元以下罰金。若以洩漏 100 個 病歷資料為計算基礎，賠償以最低 500 元計算，則要至少要賠償 5 萬元 台幣。但我們知道病歷資料是所有個人資料中最為敏感與重要的，雖然 還沒有判例根據新的法律作成判決，但因為病歷資料的特殊敏感性，我 們認為合理賠償金額不會是最低的 500 元。本事件如果不幸為有心人士 發現並竊取病患病歷資料，其賠償責任應遠高於 5 萬元，最高可能高達 3,600,000 元（以最高 2 萬元計算，洩漏 180 筆病歷）。

 行政責任：除了財務上的賠償以外，恐怕會有嚴重的行政責任。此部份 雖然無法量化，但嚴重程度恐怕非金錢所能衡量。

 信譽損失：除了以上責任以外，民眾會對醫院喪失信心，設想洩漏得病 歷中，若有愛滋病患或是某名人的病歷，將使民眾恐慌，其結果亦難以 用金錢衡量。

三、 綜合討論

（一） 投入的資訊安全成本，是否獲得「合理效益」

綜合以上分析，本項資訊安全服務，「有」獲得合理效益，理由為：就所阻止 之個資洩漏賠償責任而言，避免賠償金額約在 5 萬~360 萬之間。本案實際支付給 廠商的服務費用，每年約 150 萬左右。但如果加計行政責任與信譽損失，本項資 訊安全服務，有「合理效益」。

（二） 要「投資多少」資源，才能達到安全的程度

既有系統，很多是有一段歷史的老舊系統，透過委外服務商的檢測，找出存 在已久的問題。但還有多少類似的系統遺留類似設計上的問題，仍需逐一檢查確 認。再投資多少資源於這些老舊系統的設計與調整，才能達到安全的程度？此部 份的投資，需視系統設計調整的複雜度決定投資的規模，有些無法修改的只能重 新設計，有些有維護廠商的系統，在原合約中已經涵蓋，則無需增加投資。

（三） 資訊安全的狀態「比」過去好嗎

（圖 60）是該醫療機構通報數量趨勢圖，除 2010 年 11 月，整體數量呈穩定 的下降趨勢，在沒有重大的環境異動下，資安狀態是穩定的逐漸改善。詳細分析 2010 年 11 月的巨幅成長，發現是其中甲、乙兩個部門所產生，扣除此兩部門通報，

全部呈穩定緩慢下降的趨勢，資訊安全狀態比「過去好」。但甲、乙兩個部門則相 反，資訊安全狀態比「過去不好」。有此指標，則可以針對惡化的單位，深入了解 原因與改善之道，以降低資訊安全風險。

各月份通報類型分布

0 100 200 300 400 500 600 700

2009/11 2010/1 2010/3 2010/5 2010/7 2010/9 2010/11

P2P 入侵攻擊 木馬/後門軟體 異常網路行為 病毒/蠕蟲

甲單位

乙單位

圖 60. 事件通報數量趨勢圖