商傳媒|康語柔/綜合外電報導
隨著數位化腳步加速,關鍵基礎設施正日益成為網路攻擊的目標,其中醫療產業首當其衝。為強化防禦,美國參議院健康、教育、勞工暨退休金委員會已於上個月(2026年2月)推進《醫療網路安全與韌性法案》(Health Care Cybersecurity and Resiliency Act, S.3315),旨在全面提升醫療領域的資安水平。
近年來,針對醫療體系的網路攻擊事件頻傳,攻擊者包括網路犯罪集團、勒索軟體幫派乃至國家級駭客。例如,2024年美國Change Healthcare公司遭受勒索軟體攻擊,不僅導致全國性的理賠處理中斷,更造成高達1.93億名患者的醫療資料外洩,最終該公司支付了2,200萬美元贖金。而2026年2月,密西西比大學醫學中心也遭遇勒索軟體事件,迫使七家醫院和三十五家診所停擺。隨著醫療機構將病歷、帳務系統和供應鏈全面數位化,對互聯系統的依賴性增加,若資安投資未能同步跟進,將使其面臨更大的網路威脅。
《醫療網路安全與韌性法案》的核心內容,是在美國衛生及公共服務部(HHS)下設立結構性補助計畫,以強化整個醫療產業的網路安全。此計畫將支持基線網路防禦、傳統系統現代化及資安人才培育,並優先考量鄉村地區及資源匱乏的醫療機構。此外,該法案也指示HHS與美國網路安全暨基礎設施安全局(CISA)合作,負責產業監督並為鄉村供應商制定專屬資安指南。
除了醫療領域,美國政府也針對其他關鍵產業推動類似的資安強化措施,或正評估相關立法。例如,《鄉村和市政公用事業網路安全法案》(Rural and Municipal Utility Cybersecurity Act, H.R.7266)旨在提升小型電力合作社和市政公用事業的網路安全,該法案預計將於2026財政年度結束時到期。美國聯邦通訊委員會(FCC)推出的「學校與圖書館網路安全試點計畫」,則提供2億美元資金支持學校抵抗勒索軟體與資料外洩,但此計畫為期三年,將於2028年結束並面臨法規挑戰。這些案例皆凸顯,因應不同產業的技術特性、法規義務與威脅環境,量身打造的產業專屬立法至關重要。
在此趨勢下,培育具備資安意識與AI素養的醫療專業人才也成為重點。2025年秋季學期,美國喬治梅森大學(George Mason University)公共衛生學院便開設了碩士級健康管理課程(HAP 621),由副教授Renee Geschke授課,教導學生如何在AI影響的環境中,做出基於數據、符合倫理且具備情商的決策。學生透過評估AI導入醫療場景的專案,學習如何在領導溝通、團隊參與、倫理考量(如偏見、透明度、問責制)以及人才信任等方面,負責任地實施AI技術。選修該課程的健康資訊學生Jadon Thomas表示,這項學習有助於理解如何有效運用AI工具,以連結臨床需求與科技能力,提升醫療資訊領域的應變能力。
