洪申翰質詢時指出,媒體報導部立桃園醫院的資訊系統遭駭,甚至有許多報導均指出,醫院使用的資訊系統為中國研發,有可能是中國網路間諜駭入醫院的系統當中,讓很多人都相當擔心。他要求薛瑞元釋疑,部桃現行的資訊系統,究竟是不是中國企業研發?承包廠商是否有中資或中國相關的背景?薛瑞元直接否認。
但洪申翰表示,衛福部自己發的新聞稿,都表明有「發現電腦遭植入惡意程式」;桃園醫院的聲明稿,也提到有12部主機遭駭客入侵。這次駭客攻擊外網,那下次是否會直接攻擊內網?且行政院的「國家關鍵基礎設施安全防護指導綱要」,也將醫院納入國家關鍵基礎設施的一部分;並反問薛:「面對這樣的資訊狀況,我們該怎麼處理?」
薛瑞元表示,資安的重要性不言可喻,但他必須先澄清並無病安事件發生,也就是說,媒體報導所稱的資安問題,可能是外界的專家推測,如果發生這種情形,可能會被竄改程式,讓點滴的速度改變,並不是指這一次的事件。此次部桃資安事件中,是否有資訊外洩,衛福部已經清查,並無嚴重個資被竊取的問題。不過未來,會將部桃等急救責任醫院會列入關鍵基礎設施,該院的資訊系統也剛好準備升級轉換。其他的醫院也會依照行政院指示和要求,設置資安長等規劃來鞏固資安。
洪申翰表示,雖然衛福部澄清,也看到部長在媒體上回應:「確實部桃的系統已經是比較舊的系統,接下來會尋求機會更新。目前據所知是應該有做一些處罰」但一個月後,卻看到被爆料的公司自己發聲明稱他們「沒有被處罰」,實際狀況到底是什麼?薛瑞元則回應,被處罰應該是醫院內部的人員,非廠商。
不過洪申翰又說,一直到昨(21日),都還有接到院內員工來陳情,指部桃的護理資訊系統(NIS系統),也就是護理師用來替病人做生理監測、護理計畫、護理評估的系統。從一個月前部長受訪到現在,都還沒有更新,還是有當機的狀況,造成大家各種不便,其實已經影響到病人、病況,目前也不見任何積極的更新。他了解部長宣示要改善的態度,可部桃的狀況依然持續發生!
洪申翰也說,從政府採購網的公開資訊可見,光12月份部立桃園醫院裡面,無法決標的採購案,包含新屋分院的機房設備異常警報監控系統、外部防火牆、資訊安全管控系統汰換的採購案,都沒辦法找到合適、有資安風險管控能力的廠商來發包。不管廠商後面是否有大家質疑的中資,實際情況就是問題一直沒有解決,而且恐怕部桃不是唯一的案例。他質疑,實際上衛福部能給這些醫院資訊的協助是什麼?還是交給他們自行解決?
醫福會執行長林慶豐表示,醫福會對全國26間的部署醫院的資訊安全,於每年上、下半年會做常規性監測,也會針對包含防火牆等技術來做安全管控;若有必須要改善的地方,會立即請協力廠商來改善。
但洪申翰認為,相關資安問題從今年3月一直到12月都一再被爆料,看起來部桃整體的資訊狀況、NIS系統出現非常大的問題,與衛福部說明,看起來有很大的落差。林慶豐則說,他近期剛上任的時,曾與部桃的資訊主管一起討論資安相關問題,就他所了解NIS系統並無特別情況,若委員有質疑,會再趕快確認。
洪申翰指出,現在所有的資院是很多院內的同仁出來提醒、爆料,如果按照這個狀況來看,醫福需要重新檢討,恐怕不是只找上層的主管談,而未真正發現問題、解決問題。系統老舊、沒有更新,假設駭客要繼續利用這些程式更進一步,目前強度管理、監控都不足。
薛瑞元說,委員提到相關標案無法決標,大部分屬於院內的系統管理的部分,如外網、機房設備,醫福會進行檢討、快點決標;。至於護理資訊系統,目前26家的部立醫院所使用的是大同資訊系統,已經非常老舊,更新的速度很緩慢,已責成資訊處成立專案小組,讓部立醫院作為示範點,來做新的系統。
洪申翰再指,醫護對於醫院資訊系統的信任,坦白說目前看起來很低。他反問衛福部可以用多久時間來改善?薛瑞元回應,資安的部分可以於3個月內改善,但護理資訊系統的效率的問題,時間上要稍微長一點,因為需要編列預算。