手裡握著一大疊蒐證資料,資安界人士A先生憂心地說:「政府屢次宣示資安即國安,但衛福部桃園醫院的重要資料,卻因駭客入侵大量外洩,有心人甚至能藉由醫院系統,連結到全民健保系統,竊取更多資料,狀況真的非常嚴重!」
駭客入侵 洩病患資料
A先生透露,前年8月4日起,桃園醫院就有12部電腦主機遭駭客入侵及惡意連線,對方將資料製作成壓縮檔後取走,直到同年9月,衛福部附屬醫療及社會福利機構管理會(醫福會)才接獲異常連線通報,調查後發現,遭取走的壓縮檔,除了有病患的個人資訊,還有醫護人員的資料,資安公司的報告指出,駭客應是「同時區的有心人士」,研判中國網路間諜的可能性極高。
不只如此,去年2月,桃園醫院透過「端點系統」偵測發現,院內有4部電腦主機遭植入惡意程式,駭客所在區域為俄羅斯;去年5月,又有駭客加入醫院的高權限群組,開啟遠端權限之後,清除入侵軌跡,並且進行攻擊。
A先生進一步表示,資安人員在桃園醫院的系統中,發現有簡體中文附註的程式碼及中國開發人員名單,該系統採用的甲骨文資料庫(oracle 11g)也是中國特有版本,早已不符台灣公部門的資安需求,但系統商「昱誠智能資訊公司」提供的系統卻都以此版本為基礎。
更離譜的狀況發生在今年3月,桃園醫院新屋分院的護理系統資料庫,主目錄資料突然遭清空,資安人員調查,原因是總院的護理系統出現異常,甚至有「排程指令」連結至新屋分院系統,將主機內的資料竊取、刪除。
點滴異常 流速變五倍
巧合的是,事發前1個月,昱誠公司曾至桃園醫院更新護理系統程式,桃園醫院與昱誠也有多項採購案履約爭議,最讓桃園醫院不滿的是,就算電腦系統出現漏洞,昱誠仍拒絕交出資料庫系統最高權限的帳號密碼給院方,系統未來如再出問題,院方仍須請昱誠以遠端連線方式維護,有安全疑慮。
不僅個資外洩、資料遭竊,更嚴重的是,系統還出現錯誤的醫療資訊,威脅病患安全。另一名資安界人士B先生告訴本刊,如果將資訊從醫師用的醫療系統轉換到護理系統、巡房系統,內容就會出現失誤,例如檢驗項目是WBC(白血球),系統卻變成RBC(紅血球),甚至還有癌症病人接受化療藥物注射時,點滴流速莫名改變,導致護理人員給藥混亂、錯誤,十分危險。
桃園醫院內部的檢討報告顯示,去年10月,醫師給L姓病患的化療點滴速率為每小時160毫升,但轉換至護理系統時,流速卻變成每小時250毫升。相同狀況還出現在去年9月,一名H姓病患進行膀胱癌化療點滴治療時,醫囑流速為每小時609毫升,但系統竟無故加速至每小時828毫升。
最扯的是去年4月,一名K姓病患進行化療時,護理系統處置與紙本化療醫囑流速不一致,醫囑流速每小時270毫升,轉換至護理系統時竟加速5倍,達每小時1,450毫升,病患恐因藥量難以負荷,衍生猝死疑慮。
多所醫院 採用同系統
B先生指出,由於系統狀況百出,許多醫護人員看不下去,紛紛在網路匿名爆料,醫福會收到消息後,曾要求部立醫院清查各項問題,甚至計畫與台大醫院合作,轉換為台大醫院的系統,最後卻不了了之。
本刊調查,不只桃園醫院使用昱誠公司的系統,衛福部台北、豐原二間醫院也是用昱誠的系統,主因為建置價格低於市場行情。A先生舉例,昱誠2019年標下台北醫院醫療資訊系統建置案,結標金額980萬元;去年標下豐原醫院建置案,結標金額1,200萬元,因醫療資訊系統通常需要客製化,一般區域醫院的系統更換經費,至少超過3,000萬元,該公司為何能用這麼低的價格承攬?令人匪夷所思。
更啟人疑竇的是,2019年間,同樣使用昱誠系統的國軍花蓮總醫院,因電腦螢幕意外跳出簡體中文畫面,引起軍醫局重視,全面徹查後除了停止昱誠以遠端連線的方式進行維修,最後還更換廠商,改用三軍總醫院自行開發的醫療系統,確保資訊安全。
雖然軍方很快發現問題,並立刻修補,但衛福部轄下的醫院卻沒跟進,桃園醫院的資安漏洞曝光後,刑事警察局及調查局已介入偵辦,希望盡快釐清駭客身分、入侵管道及目的,以及到底有多少資料遭竊取?有無機密或敏感資訊?昱誠公司又扮演什麼角色?
得標廠商 曾獲資訊獎
本刊調查,傳出資安爭議的昱誠公司成立於2001年,員工20餘人,首創利用影像技術將醫用影像建置在開放平台上應用,曾獲美國FDA ClassII認證,也榮獲過中華民國年度資訊獎。2013年起,昱誠承攬多公家機關的資訊系統服務標案,最大宗為軍醫院及衛福部立醫院電子白板系統維護服務。
不過,昱誠公司秦姓負責人早在1999年就進軍中國,經常往返兩岸,也是江蘇省的知名台商,並擔任台北市武進同鄉會理事、兩岸交流委員會主委,他曾與友人合資在對岸創辦「江蘇台腦科技公司」,並擔任負責人,還以「台灣電腦公司總經理」「正瑋生技公司董事長」等頭銜,遊走兩岸三地。
資安界人士告訴本刊,衛福部近期以發展次世代醫療系統為由,要求整合各醫院系統,並由部立醫院試辦,但資安問題卻未改善,呼籲相關單位應謹慎把關,不要讓醫療系統成資安破口!
回應──昱誠: 與外洩案無關
針對相關案件,衛福部表示須彙整資料後再說明;昱誠公司則指出,他們在2018、2019年後就未再承接桃園醫院標案,相關個資外洩案件經執法單位清查為硬碟故障,與其無關。