大數據與互聯網應用加速了生醫產業在研發、製造與服務各階段的蓬勃發展，人類因此更容易取得前沿與精準的醫療資源，提升健康與福祉。

然而，隨著企業營運與網際網路產生密不可分的緊密連結，加諸國際對於個資隱私的重視日趨嚴峻，建置完善資訊安全系統以防止駭客惡意攻擊，已成生醫產業資安風險管理的首要之務。

為何生技醫藥企業是駭客攻擊的重點目標?

高價值的醫療數據與研發成果，致使生技醫藥公司成為駭客最炙手可熱的目標之一。駭客往往透過竊取營業秘密、勒索敏感個資、癱瘓電腦系統等方式攻擊，使組織面臨喪失智慧財產權、機敏資訊責任、提供錯誤數據或診斷意見等財務與法律上的風險。

生技醫療公司常見資安威脅態樣

根據埃森哲公司的研究報告，自2019至2024年全球生醫產業將因資安攻擊遭受美金6,420億元的損失。資安事故已成「新常態」，如地震洪水一般無可避免地存在於組織的日常營運。企業必須挹注資源全力預防、實施緊急應變計畫，以移轉其可能發生的風險。

生醫業數位轉型的資安挑戰

過去五年海內外醫藥生技產業資安攻擊案例：

資安風險管理絕非僅是資安人員的責任，而須組織由上至下的跨部門協作。「預防」是資安管理第一步，亦是最重要的基礎工程。建置完善風險管理框架、確實執行防護措施、提升組織成員資安意識，能有效降低資安事故對企業造成的損害。

怡安作為全球資安風險管理先驅，建議生醫業者從六個面向著手：

1. 制定危機應變與災後復原計畫

接受「資安事故的必然性」奠定資安風險管理的基石。建立營運持續與災後復原計劃，貫徹危機應變演練計畫，是降低資安事故損失的最佳策略。

2. 提升組織成員資安危機意識

80%的惡意攻擊始於密碼設定疏失，企業必須強化員工資安意識，定期進行(每年至少一次)教育訓練，讓員工熟稔最新的資安攻擊手法，預防社交工程攻擊陷阱。同時建立高強度密碼規則和管制公司內的特權帳號使用者數量，記錄操作軌跡。

3. 建置網路防火牆

駭客常利用釣魚郵件取得初級存取權限，藉以入侵組織網路後潛伏，伺機橫向移動攻擊高價值資產，如：資料庫伺服器或機密資訊。

建置網路防火牆可由三面向實施：

一、OT 環境與 IT 系統聯網分離，提升橫向移動困難度；

二、建立老舊作業系統或終止更新軟體(end-of-life, EOL)清單與退役時間表，以防攻擊者利用系統盲點滲入；

三、定期進行漏洞掃描和滲透測試，識別且實施漏洞修補流程。

4. 落實定期備份資料

定期備份關鍵資料，並將備份資料離線儲存或存於與主網獨立的雲端，能實質預防勒索軟體或釣魚攻擊所造成的資料損失。使用託管式服務供應商(MSP)將備份過程自動化可以事半功倍。

5. 施行多因素身份驗證(MFA)

多因素身份驗證(MFA)能保護企業機敏資料免受網路釣魚攻擊或帳戶盜用，特別是對遠端存取使用者、管理員權限帳戶與雲端管理者。

6. 配置端點偵測及回應工具(EDR/XDR/MDR)

配置端點偵測及回應工具可以降低勒索軟體攻擊的風險；長期而言，對於事故調查和危機應變有很大助益。