0

0
0

文字

分享

0
0
0

健康與醫療資料的加值應用(五):相關議題聚焦

2012健康與醫療資料加值應用論壇_96
・2012/07/14 ・3239字 ・閱讀時間約 6 分鐘 ・SR值 586 ・九年級

-----廣告,請繼續往下閱讀-----

圖片來源:hang_in_there@Flickr,根據創用CC-By 2.0條款使用

每項政策都有它的好壞,新發明、新概念對於社會也是一種挑戰,像是電腦科技為我們帶來便利,但同時也帶來了人際之間的疏離,今天我們要討論的健康和醫療資料運用及加值也是一樣。上文提到了現今政策走向,並預測未來健康加值應用可能會帶來的就醫景象,不過在這些希望願景下,那又是否有些事情是我們需要注意的呢?

健康和醫療資料是每個人獨一無二的生命資產,像是每個人從小到大的看診資料、做過哪些檢查、我有哪些基因、生活習慣等等,這是我之所以為我的重要資訊。我國憲法第二十二條、個人資料保護法都將隱私權和個人資料列為保護的重要標的。從上文我們可以知道,現今健康資料庫的資訊的釋出可以使得我國在醫藥產業研發上獲得進步與突破。但同時,我們作為一公民的權益是否有被保障,協作中心整合資料庫對於我們的生活會帶來甚麼改變,或是它會不會侵害到我現在所享有的一切,還是說犧牲一部份的隱私權是大家可以接受的呢?以下我們提供了一些在思考健康和醫療資料運用及加值上可能會牽涉到的議題,讓大家進一步思索與討論。(註:議題情境提供為參考,但討論不限於這些情境和議題)

一、知情同意

情境問題

今天去醫院時,有位穿白袍的學生跟你說:「先生,您好,我是某大學的醫學生,我們現在正在調查台灣人的基因變異性,需要您的一根頭髮,這裡是同意書……」

-----廣告,請繼續往下閱讀-----

你應不應該同意呢?
你覺得這位學生需不需要跟你解釋清楚,到底這根頭髮會被怎麼使用呢?
這根頭髮會不會也被拿到了基因變異研究以外的研究去用呢(也就是原本目的外的使用)?
是不是今天把你這根頭髮拿給這位學生做研究用,就等於你放棄了這根頭髮的所有權,把這根頭髮貢獻給學界,他們可以想怎麼用就怎麼用呢?

研究倫理上相當重視「知情同意」,它指的是研究人員在進行實驗或是問卷調查之前,必須要先徵求受試者的同意。這個同意包括要讓被研究者瞭解這是甚麼樣的研究、研究的主題和研究的方法過程、研究的贊助單位等,以及未來研究成果可能將會以什麼樣的形式而發表等,也包括了要告知我在這個研究中的基本權利,像是是否可以自由決定要不要參與研究、以及隨時都有權利退出研究等,還有進行這實驗或問卷調查可能會有甚麼狀況,就好比新藥實驗進行之前,研究人員要先跟你說這份研究是衛生署委託進行新藥開發測試,受試者可能兩三天內有些暈眩的副作用等,你充分認知後再決定是否要接受新藥試驗。

但是為什麼要知情同意呢?在過去往往有許多案例是一些教學醫院常以他們的病人作為研究對象,在沒有告知其病患的情況下,自行將健康檢查或是剩餘檢體拿來做研究,而原住民被濫採血樣的情形則更加嚴重,也因為原住民在地緣上的孤立,使得其基因被視為是比較「原始」,未受到其他基因的汙染,因此成為當代研究的焦點,許多研究者屢屢以義診或體檢的名義向原住民抽血,事後卻連報告書都沒有。據說花蓮縣某部落的原住民曾有一年被抽八次血的情形,故有「試管中的原住民」之譏。義診或體檢變成一種幌子,抽取原住民的基因做研究才是重點。這些研究當中,有許多是純粹研究原住民疾病和基因的關係或是酗酒有關之流行病學的調查,但也有一部份可能牽涉到藥商的新藥開發和龐大的金錢利益。

這樣的事件顯現出,大多數的病人和民眾對於自己的權益並不瞭解,研究者、醫生與病人、民眾之間常常存在著資訊和經濟不對等的情形,常常一般民眾無法對醫療或科學等有深入、全面的瞭解,對於大部分的民眾來說,醫學研究是學術專業的領域,只有專家才有發言的權利,但這其實也造成研究者對於「告知」的困難,和「不告知」或是敷衍了事的藉口。像是要怎麼樣告知、要告知什麼或到何種程度等都是值得討論的議題。在一些開發中國家,由於知情同意的概念不受到重視、民眾也缺乏警覺,因而造成他們常成為許多不肖研究者的研究對象。不肖研究者可能透過很微薄的利益例如便宜的藥品等,作為交換開發中民眾參與研究的條件,而這些迫於生活而同意的人民也不會知道從他們身上得到的成果,將來會創造多大的利益、由先進國家的人民來享用,特別是當這些研究被申請專利以後,帶來的龐大金額、產業利益,原本的開發中國家人民更是也負擔不起昂貴的金錢來享受這些成果。因此知情同意實際也是社會正義與公平,甚至是民眾基本權利的重要議題。

-----廣告,請繼續往下閱讀-----

回到我們所要討論的健康與醫療資料的加值應用議題,而現在協作中心是否有做到讓民眾「知情同意」呢?由於協作中心主要是處理資料庫之間的串連,以利資料整合,而這些資料庫在最初做資料蒐集時,接受這些資料庫蒐集資訊的民眾是否有預想到,未來有這樣的一天呢?像是當初我們接受戶政事務所的戶政調查,我們知道後來這些戶籍資料會被拿來跟健保資料庫的健康資料進行連結和整合嗎?

現今健保資料庫佔了協作中心資料檔的大宗(33 種檔案裡,共有 9 種資料檔屬於健保資料庫),而健保資料庫的資料來源是每年各醫療機關上報給健保局的資料,原是健保局為了查核醫師是否確實申報所要求的紀錄,不過現今政府想要推廣健康資料加值的政策下,健保資料庫則是成為協作中心一可供使用的資料庫,那這樣的目的功能轉變,是否需要經過全國民眾的同意呢?還是說當初民眾同意健保資料庫收集健康資料,其實也就同意了政府可以讓協作中心做這樣的應用呢?。另外我國採行強制納保制度,是國家為了維護國民健康、確保每人都能夠獲得適宜的健康診治所設立的保險制度。健保是否要採行強制納保可再行探討,不過現今健保資料庫的爭論焦點更在於,一般民眾是否了解到他到醫院或診所看病,間接等於同意將病歷資料給研究人員使用呢?

一些學者專家針對此議題進行論述,他們認為,健保資料的第一手目的是為了保險給付申報使用,並要瞭解醫療人員在進行什麼檢查、得出什麼診斷、並開出什麼處方等的費用;但加值分析則是健保資料的第二手目的,比第一手目的更為重要。透過加值分析,可以瞭解病人吃了某種藥物會產生哪些不良反應、進行某種手術或檢查後會產生何種併發症、哪些醫院的出院後再住院率特別高、哪些醫師不正確處方率特別高、哪些治療是無效且浪費錢等寶貴有價值的訊息,是對健保資料的更高價值目的。不過也有學者與民間團體提出質疑,認為健保局之可以蒐集全國人民的資料,是為做保險業務的稽核,而即使這些資料要進行研究,也應該只侷限於健保局本身的業務需求,而並非將資料釋出給第三者,因此他們覺得協作中心的目的已經不是個資法所保障的「特定目的」,協作中心的行為在現在缺乏明確的法律授權也並未取得當事人(也就是全國被保險人)的同意。

目前一些民間團體認為針對「健康與醫療資料加值應用」相關政策應該另外設置特定法規來進行規範,而目前我國在蒐集、處理及應用「敏感個資」的相關規範上,主要是個人資料保護法第 6 條,其中說明了個人資料的蒐集應該要符合「特定目的」,並且經過當事人同意或自行公開、或其他已合法公開之個人資料情況下方可進行,不過目前個資法在民國 99 年 5 月 26 日修正通過後,因內容爭議而暫緩施行,直至目前為止還沒有正式施行,因此也讓許多專家學者和民間團體感到憂心與不滿。

-----廣告,請繼續往下閱讀-----

假設依照個資法相關規定,那這也是否表示未來任何一個研究團隊向協作中心申請資料以做研究之用時,協作中心有義務要先諮詢過所有民眾呢?而已經納入各資料庫的健康資料是否需要徵求原本每一位民眾的同意,還是既往不咎呢?還是說民眾只要在當初資料蒐集時,表示同意,該資料庫就可以將民眾的資訊無限制的做其他使用呢?另外協作中心是否應該要說明這些研究中民眾可能會獲得的利益或是遭受的風險嗎?協作中心的研究又是用甚麼樣的方式進行呢?或是研究團隊的研究方式與科技技術可以保證民眾的資料沒有安全疑慮嗎?若是資料的安全保護出現漏洞或是民眾個資遺失時,又該如何進行處理呢?像是民眾若是想修改公開的資訊內容或是不想要公開了,還有辦法申請或撤回嗎?這些問題都值得我們再進一步討論。

【下一頁:資訊隱私權和資訊自主權】

文章難易度
2012健康與醫療資料加值應用論壇_96
15 篇文章 ・ 0 位粉絲
舉辦公眾論壇,促成社會公眾對「健康及醫療資料運用及加值」進行理性、知情的討論,形成公共意見以作為決策的參考。 一、提出公眾論壇的討論成果:結論報告。 二、統整各界對健康及醫療資料運用及加值」之爭議意見及政策建議。 三、建構論壇準備期間為促成對話的重要程序和原則。

0

4
4

文字

分享

0
4
4
除了蚯蚓、地震魚和民間達人,那些常見的臺灣地震預測謠言
鳥苷三磷酸 (PanSci Promo)_96
・2024/02/29 ・2747字 ・閱讀時間約 5 分鐘

-----廣告,請繼續往下閱讀-----

本文由 交通部中央氣象署 委託,泛科學企劃執行。

  • 文/陳儀珈

災害性大地震在臺灣留下無數淚水和難以抹滅的傷痕,921 大地震甚至直接奪走了 2,400 人的生命。既有這等末日級的災難記憶,又位處於板塊交界處的地震帶,「大地震!」三個字,總是能挑動臺灣人最脆弱又敏感的神經。

因此,當我們發現臺灣被各式各樣的地震傳說壟罩,像是地震魚、地震雲、蚯蚓警兆、下雨地震說,甚至民間地震預測達人,似乎也是合情合理的現象?

今日,我們就要來破解這些常見的地震預測謠言。

-----廣告,請繼續往下閱讀-----

漁民捕獲罕見的深海皇帶魚,恐有大地震?

說到在坊間訛傳的地震謠言,許多人第一個想到的,可能是盛行於日本、臺灣的「地震魚」傳說。

在亞熱帶海域中,漁民將「皇帶魚」暱稱為地震魚,由於皇帶魚身型較為扁平,生活於深海中,魚形特殊且捕獲量稀少,因此流傳著,是因為海底的地形改變,才驚擾了棲息在深海的皇帶魚,並因此游上淺水讓人們得以看見。

皇帶魚。圖/wikimedia

因此,民間盛傳,若漁民捕撈到這種極為稀罕的深海魚類,就是大型地震即將發生的警兆。

然而,日本科學家認真蒐集了目擊深海魚類的相關新聞和學術報告,他們想知道,這種看似異常的動物行為,究竟有沒有機會拿來當作災前的預警,抑或只是無稽之談?

-----廣告,請繼續往下閱讀-----

可惜的是,科學家認為,地震魚與地震並沒有明顯的關聯。當日本媒體報導捕撈深海魚的 10 天內,均沒有發生規模大於 6 的地震,規模 7 的地震前後,甚至完全沒有深海魚出現的紀錄!

所以,在科學家眼中,地震魚僅僅是一種流傳於民間的「迷信」(superstition)。

透過動物來推斷地震消息的風俗並不新穎,美國地質調查局(USGS)指出,早在西元前 373 年的古希臘,就有透過動物異常行為來猜測地震的紀錄!

人們普遍認為,比起遲鈍的人類,敏感的動物可以偵測到更多來自大自然的訊號,因此在大地震來臨前,會「舉家遷徙」逃離原本的棲息地。

-----廣告,請繼續往下閱讀-----

當臺灣 1999 年發生集集大地震前後,由於部分地區出現了大量蚯蚓,因此,臺灣也盛傳著「蚯蚓」是地震警訊的說法。

20101023 聯合報 B2 版 南投竹山竄出蚯蚓群爬滿路上。

新聞年年報的「蚯蚓」上街,真的是地震警訊嗎?

​當街道上出現一大群蚯蚓時,密密麻麻的畫面,不只讓人嚇一跳,也往往讓人感到困惑:為何牠們接連地湧向地表?難道,這真的是動物們在向我們預警天災嗎?動物們看似不尋常的行為,總是能引發人們的好奇與不安情緒。

如此怵目驚心的畫面,也經常成為新聞界的熱門素材,每年幾乎都會看到類似的標題:「蚯蚓大軍又出沒 網友憂:要地震了嗎」,甚至直接將蚯蚓與剛發生的地震連結起來,發布成快訊「昨突竄大量蚯蚓!台東今早地牛翻身…最大震度4級」,讓人留下蚯蚓預言成功的錯覺。

然而,這些蚯蚓大軍,真的與即將來臨的天災有直接關聯嗎?

-----廣告,請繼續往下閱讀-----

蚯蚓與地震有關的傳聞,被學者認為起源於 1999 年的 921 大地震後,在此前,臺灣少有流傳地震與蚯蚓之間的相關報導。

雖然曾有日本學者研究模擬出,與地震相關的電流有機會刺激蚯蚓離開洞穴,但在現實環境中,有太多因素都會影響蚯蚓的行為了,而造成蚯蚓大軍浮現地表的原因,往往都是氣象因素,像是溫度、濕度、日照時間、氣壓等等,都可能促使蚯蚓爬出地表。

大家不妨觀察看看,白日蚯蚓大軍的新聞,比較常出現在天氣剛轉涼的秋季。

因此,下次若再看到蚯蚓大軍湧現地表的現象,請先別慌張呀!

-----廣告,請繼續往下閱讀-----

事實上,除了地震魚和蚯蚓外,鳥類、老鼠、黃鼠狼、蛇、蜈蚣、昆蟲、貓咪到我們最熟悉的小狗,都曾經被流傳為地震預測的動物專家。

但可惜的是,會影響動物行為的因素實在是太多了,科學家仍然沒有找到動物異常行為和地震之間的關聯或機制。

遍地開花的地震預測粉專和社團

這座每天發生超過 100 次地震的小島上,擁有破萬成員的地震討論臉書社團、隨處可見的地震預測粉專或 IG 帳號,似乎並不奇怪。

國內有許多「憂國憂民」的神通大師,這些號稱能夠預測地震的奇妙人士,有些人會用身體感應,有人熱愛分析雲層畫面,有的人甚至號稱自行建製科學儀器,購買到比氣象署更精密的機械,偵測到更準確的地震。

-----廣告,請繼續往下閱讀-----

然而,若認真想一想就會發現,臺灣地震頻率極高,約 2 天多就會發生 1 次規模 4.0 至 5.0 的地震, 2 星期多就可能出現一次規模 5.0 至 6.0 的地震,若是有心想要捏造地震預言,真的不難。 

在學界,一個真正的地震預測必須包含地震三要素:明確的時間、 地點和規模,預測結果也必須來自學界認可的觀測資料。然而這些坊間貼文的預測資訊不僅空泛,也並未交代統計數據或訊號來源。

作為閱聽者,看到如此毫無科學根據的預測言論,請先冷靜下來,不要留言也不要分享,不妨先上網搜尋相關資料和事實查核。切勿輕信,更不要隨意散播,以免造成社會大眾的不安。

此外,大家也千萬不要隨意發表地震預測、觀測的資訊,若號稱有科學根據或使用相關資料,不僅違反氣象法,也有違反社會秩序之相關法令之虞唷!

-----廣告,請繼續往下閱讀-----

​地震預測行不行?還差得遠呢!

由於地底的環境太過複雜未知,即使科學家們已經致力於研究地震前兆和地震之間的關聯,目前地球科學界,仍然無法發展出成熟的地震預測技術。

與其奢望能提前 3 天知道地震的預告,不如日常就做好各種地震災害的防範,購買符合防震規範的家宅、固定好家具,做好防震防災演練。在國家級警報響起來時,熟練地執行避震保命三步驟「趴下、掩護、穩住」,才是身為臺灣人最關鍵的保命之策。

延伸閱讀

文章難易度

討論功能關閉中。

鳥苷三磷酸 (PanSci Promo)_96
196 篇文章 ・ 302 位粉絲
充滿能量的泛科學品牌合作帳號!相關行銷合作請洽:contact@pansci.asia

2

4
0

文字

分享

2
4
0
AI 戰警出動——抓出惡意程式,資訊安全有保障!
科技大觀園_96
・2022/02/27 ・3145字 ・閱讀時間約 6 分鐘

數位戰警網路掃黑。圖/fatcat11 繪

網路數位世界黑影幢幢,美國有線電視新聞網 CNN 曾報導,全世界每天產生超過 100 萬個惡意程式;臺灣軟體聯盟也曾發布調查報告,全球企業因惡意程式攻擊,每年損失超過 10 兆新臺幣,相當於我國 109 年度政府總預算的 5 倍。駭客散播惡意程式橫行網路,不僅企業深受其害,各國政府也防不勝防。

行政院資通安全處偵測統計,我國各政府單位每月被攻擊次數高達 2,000 萬到 4,000 萬次。近期最受矚目的就是,總統府在蔡英文總統 520 連任就職前夕,驚傳遭駭客入侵電腦竊取資料;接著 5 月底美國資安公司「Cyble Inc」揭露駭客在暗網[1]兜售「臺灣全國戶政登記資料庫」超過 2,000 萬筆臺灣民眾個資,接連引發輿論譁然。

面對駭客無窮盡的闇黑攻擊,臺灣大學電機工程學系教授林宗男從 2018 年開始,帶領團隊利用資料科學處理分析,建立網路異常與攻擊預測模式,發展「AI Cyber Security」(人工智慧網路安全)系統,從偵測藏身於 Windows 與 Android 系統的惡意程式、暗網流量分類與網路惡意流量偵測等「四管齊下」,全面展開網路掃黑行動,防堵駭客散播惡意程式搞破壞。 

國立臺灣大學電機工程學系教授林宗男。圖/李宗祐攝

抓出惡意程式的 AI 網路安全系統

這項研究計畫今年邁進第 3 年,「我們做出來的技術,都是可以馬上用的真槍實彈!」林宗男透露,相關前瞻技術初步成果陸續發表後,「國家安全局就找上門,要跟我們技術合作。」隨著世界各國競相重點投資,引領 AI 成為國力象徵,研究團隊除了以建置臺灣國家級網路防禦系統為目標,更希望這套系統能夠推廣成為捍衛各國企業或組織的數位戰警。

-----廣告,請繼續往下閱讀-----

就如同 CNN 報導,全世界每天產生超過 100 萬個惡意程式,網路數位世界危機四伏;但值得注意的是,這個數據還是 2015 年的統計,現在恐怕有增無減。研究團隊以先發制人策略,杜絕惡意程式伸出魔爪,利用 CNN(Convolutional Neural Networks,卷積神經網路)模型[2]訓練 AI ,偵測是否有惡意程式潛伏在使用者電腦 Windows 或手機 Android 系統蠢蠢欲動。

Windows 與 Android 的惡意程式偵測

「我們的目標是在他還沒有執行之前,阻止惡意程式啟動。」面對五花八門的應用程式,研究團隊指出,使用者在下載執行前,「把程式的 exe 執行檔轉換成圖片檔,放進我們建立的模型,AI 就會告訴你這個程式是惡意程式的機率是多少。如果很高,就不要執行,避免系統被惡意程式感染。」林宗男強調,能夠辨認程式碼到底是惡意或者是正常,是確保網路安全最重要的基本功。

偵測惡意程式效率明顯提升 7.2%。把執行檔圖形化的方法更為安全,只看圖的結構,不會啟動執行檔,可以避免在偵測過程被感染。圖/林宗男實驗室提供

經過測試驗證,Windows 偵惡系統成功率與準確率達 88.9%,超越全球圖形處理器領導廠商 NVIDIA 發表的 AI 偵惡技術 7.2%。林宗男指出,很多軟體公司都競相投入研究,就過去已公開發表的研究論文,NVIDIA 抓駭效率暫時領先群雄;臺大團隊與擁有雄厚資源的 NVIDIA 研究團隊相較,就像是小蝦米與大鯨魚,能夠超越他們很不容易。「但這僅是初步研究結果,我們還在持續精進中。」 

相對於 Windows 偵惡系統獨立開發,Android 偵惡系統則是與日本 NICT(情報通信研究機構)合作研發,利用臺大團隊提出的新演算法,把 NICT 研發的 AI 偵惡系統抓駭效率從 92% 提升到 96.2%,青出於藍而勝於藍,讓日本團隊印象深刻。 

-----廣告,請繼續往下閱讀-----
Android 惡意程式偵測:研究團隊透過取出已知惡意程式的可執行檔特徵,並利用反混淆技術加入新的特徵,再透過 AI 演算法處理特徵,判斷是否為惡意 Android 程式。圖/林宗男實驗室提供

透過機器學習,分析暗網流量

雖然無法做到百分之百滴水不漏,但為了知已知彼,研究團隊更直搗黃龍,「潛水」暗網蒐集情資,分析駭客行為特徵。林宗男表示,駭客為了躲避追蹤,都在暗網活動,因為透過 TOR 瀏覽器加密,網管人員無法辨識使用者到底是在上網聊天、傳資料、發送 Email,還是看 YouTube 聽音樂或追劇等。對追蹤技術研究者而言,到暗網觀察駭客「水面下」的活動,是很重要的情資來源。 

研究團隊透過 AI 研究分析已知惡意程式的網路行為特徵,再側錄蒐集暗網不同使用者上傳流量與行為模式,找出「壞人經常走的路徑」,把暗網流量做善惡分類,研判哪些是正常上網行為,哪些是惡意程式發動攻擊。林宗男舉例,就像防疫期間每個人都戴著口罩,但年紀大的和年紀輕的行為就是不一樣,「我們就是利用 AI 從行為特徵分辨使用者上網行為是否正常。」 

研究成果經與美國 IBM 和中華電信合作驗證測試,辨識率高達 99.6%,遠超過加拿大研究團隊的 81.6%。對 ISP(網路服務供應商)而言,若能明確辨識暗網流量分類,就不必把看影片或聽音樂等受到惡意攻擊可能性極低的影音串流,全部導入 IDS(入侵檢測系統)資安偵測,大幅節省資源。

暗網流量類型分類:臺大研究團隊利用 AI 演算法分析網路流量特徵,把經過匿名加密的流量分門別類,協助網管人員有效而安全的管理網路。圖/林宗男實驗室提供

惡意流量偵測,鞏固第 2 道防線

研究團隊也利用最近 3 年眾所周知的 10 種惡意程式,包括 2017 年肆虐全球的勒索軟體 WannaCry(想哭)進行惡意流量偵測「實兵演練」。畢竟惡意程式偵測不可能做到百分之百,漏網之魚在所難免。根據資安調查顯示,惡意程式滲透入侵電腦系統之後,平均長達 56 天才會被發現。 

-----廣告,請繼續往下閱讀-----

「惡意流量偵測其實是第 2 道防線!發生惡意流量代表電腦已經中毒了,我們的目標是在最短時間偵測出惡意流量。」林宗男透露,跨國網路科技公司 CISCO 現有商用偵測系統精確度已達 97.7%,「我們做得再好,也僅能微幅提升到 98.2%。」研究團隊再發揮 3 個臭皮匠勝過 1 個諸葛亮的精神,把 2 套系統截長補短,將精確度再向上提升 0.3%,堅持沒有最好、只有更好的信念,鍥而不捨地挑戰不可能的任務。

惡意流量偵測:研究團隊透過 AI 研究分析已知惡意程式的網路行為特徵,加速偵測發現網路異常流量,並揪出潛伏在網海裡面興風作浪的惡意程式。圖/林宗男實驗室提供

eID 的潛在風險

然而,林宗男也深知,資安不可能做到百分之百的絕對安全。當內政部決定在明年全面換發 new eID 數位身分證,建置 T-Road(政府資料傳輸平臺),打造跨政府機關資料通道網路,推動「一卡多用」串聯戶籍資料、健保資料庫、汽機車駕照交通監理資料、國民年金與勞保勞退年金等,同時政府也將讓 new eID 擁有線上交易完整性與不可否認性,做為電子商務交易憑證。林宗男對此呼籲政府應正視 new eID 缺乏法源依據的問題,更要從資訊安全的角度,重新審慎評估全面換發數位身分證的必要性。 

「透過 new eID 建置 T-Road 聽起來好像很方便、很進步,但對駭客而言,要偷取全國 2,300 萬人的資料,也非常方便。一旦出現資安破口,整個系統就會因單點失效而全面瓦解。」林宗男說,「new eID 把國人從出生到死亡所有資料全部放在 T-Road,我們都知道網路沒有絕對安全,還要把所有的東西全部放在一個籃子裡面嗎?」政府應該要有分散風險的危機意識,數位身分證絕對不能「一卡多用」。  

註解

  1. 利用 TOR(The Onion Router 洋蔥路由器)瀏覽器遮蔽使用者真實位址,避開網管系統追蹤的匿名網路。
  2. 參考人類大腦視覺組織建立的深度學習模型。
所有討論 2
科技大觀園_96
82 篇文章 ・ 1124 位粉絲
為妥善保存多年來此類科普活動產出的成果,並使一般大眾能透過網際網路分享科普資源,科技部於2007年完成「科技大觀園」科普網站的建置,並於2008年1月正式上線營運。 「科技大觀園」網站為一數位整合平台,累積了大量的科普影音、科技新知、科普文章、科普演講及各類科普活動訊息,期使科學能扎根於每個人的生活與文化中。

1

20
4

文字

分享

1
20
4
大資訊時代也是大駭客時代!——你該認識的駭客新興手法
科技大觀園_96
・2022/01/21 ・2496字 ・閱讀時間約 5 分鐘

正在瀏覽這篇文章的你,很可能正被看不見的腥風血雨所籠罩——這不是危言聳聽,因為第三次世界大戰的戰場,極有可能就發生在網路上。網路與數位化的浪潮勢不可擋,面對資安環境高速變遷帶來的新興風險,我們又該如何自保防身?來聽聽資安專家——中山大學資訊管理系陳嘉玫教授怎麽說!

方便與安全,兩者不可兼得也

註冊或登入會員、設定和輸入密碼、提供各種個資如網頁瀏覽記錄,來換取和生活大小事離不了關係的線上服務,已經是數位原住民的日常。而在高度依賴網路、講求高效率的今日,我們都希望電腦軟體和手機 APP 的使用能越方便越好,但一味追求便捷,卻可能讓自己露出資安破綻,叫不法分子有機可乘。

陳嘉玫
陳嘉玫教授。圖/中山大學管理學系

「越安全的東西,越不方便使用。」陳嘉玫教授指出,安全與方便自古兩難全,如何找到兩者之間的平衡就是關鍵。

資工系出身、喜歡寫程式的陳教授,曾在美國花旗銀行全球資訊網路研究總部擔任要職。該企業内部一切開發需求重視安全遠勝於方便的嚴謹文化,成為她日後投身資安領域的契機。

客制化誘餌與駭客聯盟,讓威脅更升級

科技的進步,也見證駭客攻擊手法的進化錄。研究網路安全多年的陳教授指出,每個時期的使用者都有不同的使用習慣,從早期的電子郵件,到現在的臉書和 Line 群組,都是心懷不軌者潛伏之處。他們長期觀察和收集目標攻擊對象相關資訊、和刺探目標網路,利用人性的弱點,客製化各種引人上鈎的「誘餌」,來獲得他們想要的機密資訊。這就是網路犯罪最常見的社交工程(Social engineering)攻擊和釣魚式攻擊。

-----廣告,請繼續往下閱讀-----
社交軟體
駭客會利用社交軟體散播許多客製化的釣魚攻擊。圖/pixabay

過去駭客都單打獨鬥,但現在也出現分工明確、系統化的「駭客聯盟」。目前的攻擊趨勢,也演變成更危險的進階持續性威脅攻擊(Advanced Persistent Threats,簡稱 APT)。APT 是針對一個特定組織,長期滲透、客製化且多階段的網路攻擊。為了全方面瞭解目標攻擊對象、擬定有效戰略,駭客除了進行技術面的研究,會對目標組織做身家調查,包括員工名單、財務狀況、社交活動、社群網路留言。APT 棘手之處在於,如果一個戰術行不通,駭客會持之以恆,不斷嘗試直到找出破口。

「韓國黑暗日」(Dark Korea),就是著名的 APT 攻擊事件之一。這場韓國史上最大駭客攻擊,推論是由北韓主導,至少歷經八個月的精心策劃。駭客偷渡惡意程式到多家電視媒體與金融服務的電腦與伺服器,進行破壞性攻擊,造成各項服務停擺多日,韓國將這次攻擊視為國家級的戰爭行為。

如今「資訊即權力」當道,國家勢力著手培養駭客已不是新聞,不少國家也紛紛成立不需要一槍一彈的「第四軍種」——資通電軍 (俗稱網軍)。比起傳統軍武,發起資訊戰,無需花費一槍一彈,卻對社會經濟產業造成極大的衝擊。

資通電軍
許多國家成立資通電軍來發起或是抵禦資訊戰。圖/pixabay

零時差漏洞,得之可得天下?

提到駭客攻擊,就不得不談談號稱可一秒癱瘓世界的零時差漏洞(zero-day vulnerability)。零時差漏洞是可謂資安界最害怕的威脅,是指當漏洞被發現,而軟體開發商尚未發布修補程式 (patch) 之前,在這段時間,任何使用該軟體的主機,都有此安全漏洞,都有可能遭受駭客攻擊。

-----廣告,請繼續往下閱讀-----

不過,要取得零時差漏洞也非易事。陳教授以武俠小説作比喻,零時差漏洞就像壓箱底的最後法寶,除非遇到最難纏的對手,否則駭客也不會輕易使出這一殺手鐧。這些高利用價值的漏洞,在黑市可是千金難換。一個小小的零時差漏可能掌握著一國民生基礎架構的命脈,是要挾國安的重要籌碼,可得也可毀滅天下。

為了避免讓自身弱點落入他人手中,很多公司重金懸賞發現該公司產品的安全漏洞的駭客。而就像江湖上同時存在邪道與正派,除了進行不法勾當、謀取利益的黑帽(Black Hat)駭客,也有著用意良善的白帽(White Hat)駭客。這個典故源自美國西部電影中,正派戴著白帽,而反派往往著黑帽的形象。

白帽駭客維護精益求精的駭客文化,以「提升安全性」為目的,挖掘程式漏洞,提供開發商漏洞資訊,以改善該系統的安全性,稱得上是駭客武林中的俠義心腸的一群。

駭客
駭客也可以區分為以不法途徑牟取利益的黑帽駭客,與幫助開發商提升安全性的白帽駭客。

守護資安,人人有責

雖然武俠故事的鎂光燈往往都聚焦在少數幾個武林高手身上,但江湖其實更大部分是由你我這樣平凡老百姓組成。陳教授坦言,很多人誤以為資安都是 IT(Information Technology)或 MI((Manager Information System)部門的責任,但守護資安,應是所有使用者的責任。

-----廣告,請繼續往下閱讀-----

「資安其實就是攻與防。知己知彼,才能百戰百勝。」

陳教授一再強調,要打造良好的資安環境,從小教育年輕一代正確使用手機、電腦等電子設備的資安知識,才是最有效的方式。根據調查,管理層級的主管越重視資安,透過資安教育訓練和宣導提高員工資安意識,才能在組織中形塑健全的資安文化。

除了管理好個人資訊和帳號密碼外,在上網時多存一份疑問,才能在第一時間發現不對勁、主動通報,越資訊化的時代,我們也越沒有隱私,駭客攻擊防不勝防。因此在江湖上行走時,常常更新資安資訊,隨時保持警惕,是避免遭受攻擊的不二法門。

參考資料

所有討論 1
科技大觀園_96
82 篇文章 ・ 1124 位粉絲
為妥善保存多年來此類科普活動產出的成果,並使一般大眾能透過網際網路分享科普資源,科技部於2007年完成「科技大觀園」科普網站的建置,並於2008年1月正式上線營運。 「科技大觀園」網站為一數位整合平台,累積了大量的科普影音、科技新知、科普文章、科普演講及各類科普活動訊息,期使科學能扎根於每個人的生活與文化中。

0

0
0

文字

分享

0
0
0
健康與醫療資料的加值應用(五):相關議題聚焦
2012健康與醫療資料加值應用論壇_96
・2012/07/14 ・3239字 ・閱讀時間約 6 分鐘 ・SR值 586 ・九年級

圖片來源:hang_in_there@Flickr,根據創用CC-By 2.0條款使用

每項政策都有它的好壞,新發明、新概念對於社會也是一種挑戰,像是電腦科技為我們帶來便利,但同時也帶來了人際之間的疏離,今天我們要討論的健康和醫療資料運用及加值也是一樣。上文提到了現今政策走向,並預測未來健康加值應用可能會帶來的就醫景象,不過在這些希望願景下,那又是否有些事情是我們需要注意的呢?

健康和醫療資料是每個人獨一無二的生命資產,像是每個人從小到大的看診資料、做過哪些檢查、我有哪些基因、生活習慣等等,這是我之所以為我的重要資訊。我國憲法第二十二條、個人資料保護法都將隱私權和個人資料列為保護的重要標的。從上文我們可以知道,現今健康資料庫的資訊的釋出可以使得我國在醫藥產業研發上獲得進步與突破。但同時,我們作為一公民的權益是否有被保障,協作中心整合資料庫對於我們的生活會帶來甚麼改變,或是它會不會侵害到我現在所享有的一切,還是說犧牲一部份的隱私權是大家可以接受的呢?以下我們提供了一些在思考健康和醫療資料運用及加值上可能會牽涉到的議題,讓大家進一步思索與討論。(註:議題情境提供為參考,但討論不限於這些情境和議題)

一、知情同意

情境問題

-----廣告,請繼續往下閱讀-----

今天去醫院時,有位穿白袍的學生跟你說:「先生,您好,我是某大學的醫學生,我們現在正在調查台灣人的基因變異性,需要您的一根頭髮,這裡是同意書……」

你應不應該同意呢?
你覺得這位學生需不需要跟你解釋清楚,到底這根頭髮會被怎麼使用呢?
這根頭髮會不會也被拿到了基因變異研究以外的研究去用呢(也就是原本目的外的使用)?
是不是今天把你這根頭髮拿給這位學生做研究用,就等於你放棄了這根頭髮的所有權,把這根頭髮貢獻給學界,他們可以想怎麼用就怎麼用呢?

研究倫理上相當重視「知情同意」,它指的是研究人員在進行實驗或是問卷調查之前,必須要先徵求受試者的同意。這個同意包括要讓被研究者瞭解這是甚麼樣的研究、研究的主題和研究的方法過程、研究的贊助單位等,以及未來研究成果可能將會以什麼樣的形式而發表等,也包括了要告知我在這個研究中的基本權利,像是是否可以自由決定要不要參與研究、以及隨時都有權利退出研究等,還有進行這實驗或問卷調查可能會有甚麼狀況,就好比新藥實驗進行之前,研究人員要先跟你說這份研究是衛生署委託進行新藥開發測試,受試者可能兩三天內有些暈眩的副作用等,你充分認知後再決定是否要接受新藥試驗。

但是為什麼要知情同意呢?在過去往往有許多案例是一些教學醫院常以他們的病人作為研究對象,在沒有告知其病患的情況下,自行將健康檢查或是剩餘檢體拿來做研究,而原住民被濫採血樣的情形則更加嚴重,也因為原住民在地緣上的孤立,使得其基因被視為是比較「原始」,未受到其他基因的汙染,因此成為當代研究的焦點,許多研究者屢屢以義診或體檢的名義向原住民抽血,事後卻連報告書都沒有。據說花蓮縣某部落的原住民曾有一年被抽八次血的情形,故有「試管中的原住民」之譏。義診或體檢變成一種幌子,抽取原住民的基因做研究才是重點。這些研究當中,有許多是純粹研究原住民疾病和基因的關係或是酗酒有關之流行病學的調查,但也有一部份可能牽涉到藥商的新藥開發和龐大的金錢利益。

-----廣告,請繼續往下閱讀-----

這樣的事件顯現出,大多數的病人和民眾對於自己的權益並不瞭解,研究者、醫生與病人、民眾之間常常存在著資訊和經濟不對等的情形,常常一般民眾無法對醫療或科學等有深入、全面的瞭解,對於大部分的民眾來說,醫學研究是學術專業的領域,只有專家才有發言的權利,但這其實也造成研究者對於「告知」的困難,和「不告知」或是敷衍了事的藉口。像是要怎麼樣告知、要告知什麼或到何種程度等都是值得討論的議題。在一些開發中國家,由於知情同意的概念不受到重視、民眾也缺乏警覺,因而造成他們常成為許多不肖研究者的研究對象。不肖研究者可能透過很微薄的利益例如便宜的藥品等,作為交換開發中民眾參與研究的條件,而這些迫於生活而同意的人民也不會知道從他們身上得到的成果,將來會創造多大的利益、由先進國家的人民來享用,特別是當這些研究被申請專利以後,帶來的龐大金額、產業利益,原本的開發中國家人民更是也負擔不起昂貴的金錢來享受這些成果。因此知情同意實際也是社會正義與公平,甚至是民眾基本權利的重要議題。

回到我們所要討論的健康與醫療資料的加值應用議題,而現在協作中心是否有做到讓民眾「知情同意」呢?由於協作中心主要是處理資料庫之間的串連,以利資料整合,而這些資料庫在最初做資料蒐集時,接受這些資料庫蒐集資訊的民眾是否有預想到,未來有這樣的一天呢?像是當初我們接受戶政事務所的戶政調查,我們知道後來這些戶籍資料會被拿來跟健保資料庫的健康資料進行連結和整合嗎?

現今健保資料庫佔了協作中心資料檔的大宗(33 種檔案裡,共有 9 種資料檔屬於健保資料庫),而健保資料庫的資料來源是每年各醫療機關上報給健保局的資料,原是健保局為了查核醫師是否確實申報所要求的紀錄,不過現今政府想要推廣健康資料加值的政策下,健保資料庫則是成為協作中心一可供使用的資料庫,那這樣的目的功能轉變,是否需要經過全國民眾的同意呢?還是說當初民眾同意健保資料庫收集健康資料,其實也就同意了政府可以讓協作中心做這樣的應用呢?。另外我國採行強制納保制度,是國家為了維護國民健康、確保每人都能夠獲得適宜的健康診治所設立的保險制度。健保是否要採行強制納保可再行探討,不過現今健保資料庫的爭論焦點更在於,一般民眾是否了解到他到醫院或診所看病,間接等於同意將病歷資料給研究人員使用呢?

一些學者專家針對此議題進行論述,他們認為,健保資料的第一手目的是為了保險給付申報使用,並要瞭解醫療人員在進行什麼檢查、得出什麼診斷、並開出什麼處方等的費用;但加值分析則是健保資料的第二手目的,比第一手目的更為重要。透過加值分析,可以瞭解病人吃了某種藥物會產生哪些不良反應、進行某種手術或檢查後會產生何種併發症、哪些醫院的出院後再住院率特別高、哪些醫師不正確處方率特別高、哪些治療是無效且浪費錢等寶貴有價值的訊息,是對健保資料的更高價值目的。不過也有學者與民間團體提出質疑,認為健保局之可以蒐集全國人民的資料,是為做保險業務的稽核,而即使這些資料要進行研究,也應該只侷限於健保局本身的業務需求,而並非將資料釋出給第三者,因此他們覺得協作中心的目的已經不是個資法所保障的「特定目的」,協作中心的行為在現在缺乏明確的法律授權也並未取得當事人(也就是全國被保險人)的同意。

-----廣告,請繼續往下閱讀-----

目前一些民間團體認為針對「健康與醫療資料加值應用」相關政策應該另外設置特定法規來進行規範,而目前我國在蒐集、處理及應用「敏感個資」的相關規範上,主要是個人資料保護法第 6 條,其中說明了個人資料的蒐集應該要符合「特定目的」,並且經過當事人同意或自行公開、或其他已合法公開之個人資料情況下方可進行,不過目前個資法在民國 99 年 5 月 26 日修正通過後,因內容爭議而暫緩施行,直至目前為止還沒有正式施行,因此也讓許多專家學者和民間團體感到憂心與不滿。

假設依照個資法相關規定,那這也是否表示未來任何一個研究團隊向協作中心申請資料以做研究之用時,協作中心有義務要先諮詢過所有民眾呢?而已經納入各資料庫的健康資料是否需要徵求原本每一位民眾的同意,還是既往不咎呢?還是說民眾只要在當初資料蒐集時,表示同意,該資料庫就可以將民眾的資訊無限制的做其他使用呢?另外協作中心是否應該要說明這些研究中民眾可能會獲得的利益或是遭受的風險嗎?協作中心的研究又是用甚麼樣的方式進行呢?或是研究團隊的研究方式與科技技術可以保證民眾的資料沒有安全疑慮嗎?若是資料的安全保護出現漏洞或是民眾個資遺失時,又該如何進行處理呢?像是民眾若是想修改公開的資訊內容或是不想要公開了,還有辦法申請或撤回嗎?這些問題都值得我們再進一步討論。

【下一頁:資訊隱私權和資訊自主權】

文章難易度
2012健康與醫療資料加值應用論壇_96
15 篇文章 ・ 0 位粉絲
舉辦公眾論壇,促成社會公眾對「健康及醫療資料運用及加值」進行理性、知情的討論,形成公共意見以作為決策的參考。 一、提出公眾論壇的討論成果:結論報告。 二、統整各界對健康及醫療資料運用及加值」之爭議意見及政策建議。 三、建構論壇準備期間為促成對話的重要程序和原則。