0714紐約時報

*【海地計畫為遇害前總統舉辦國葬】
Jovenel Moïse遇刺一周後，調查仍在進行中，海地的權力鬥爭也仍然在繼續。與此同時，該國政府正在為他準備一場“與國家元首的身份相稱的”葬禮。儘管對Jovenel Moïse的領導能力和施政方針存在分歧意見，但許多海地人認為，必須尊重總統的尊嚴。
https://www.nytimes.com/live/2021/07/13/world/haiti-president-assassinated#as-haiti-plans-a-state-funeral-how-much-can-it-unite-the-nation

*【海地總統遇刺案之謎：一名醫生緣何成為最大嫌犯】
海地當局將一名63歲的醫生兼牧師列為刺殺陰謀的核心人物，稱其覬覦總統職位，但他如何啟動刺殺計畫尚沒有答案。有跡象表明，他可能認為接任總統是一種神聖的召喚。
https://cn.nytimes.com/world/20210713/haiti-jovenel-assasination-sanon/

*【前總統入獄後，南非暴力蔓延，當局軍隊進行鎮壓】
抗議雅各•祖馬入獄的示威活動已演變為搶劫、縱火和槍擊。當局稱，這場動亂已經導致數人死亡，數千萬美元的商業損失，並使疫苗接種計畫中斷。活動人士指出，這是一場源于貧困和機會匱乏等更深層次問題的起義。
https://www.nytimes.com/2021/07/12/world/africa/zuma-protests-violence.html

* *【物價上漲，美聯準會和白宮尋求緩解通脹擔憂】
美國CPI創下13年來最高漲幅，當局尋求緩解通脹擔憂。據勞工部週二公佈的資料，美國消費者價格指數在截至6月的過去一年間上漲了5.4%。隨著經濟重新開放，該國二手車、酒店住宿和餐飲價格飆升。政府堅持認為價格上漲將是暫時的，但如果經濟持續過熱，本輪通脹將影響個人消費，並拖累整體增長。
https://www.nytimes.com/2021/07/13/business/economy/consumer-price-index-june-2021.html

*【歐洲計畫推出激進的新規，逐步淘汰化石燃料】
相關提議可能比其他國家應對氣候變化的努力，更加大規模和具體，包括可能對被視為污染的進口產品徵收關稅。
https://www.nytimes.com/2021/07/13/climate/eu-border-carbon-tax.html

*【民主黨提議3.5兆美元的預算來推進基礎設施協定】
這項措施將包括為應對氣候變化、擴大醫療保險，和實現其他民主黨優先事項提供資金，旨在落實拜登總統的經濟建議。
https://www.nytimes.com/2021/07/13/us/politics/democrats-economic-plan.html

*【“你不感到羞恥嗎？”拜登將投票權視為一種道德考量】
拜登總統表示，反對限制性投票法是“自內戰以來對我們民主的最重大考驗”，並稱川普推翻2020年大選的努力是“一個大謊言”。
https://www.nytimes.com/2021/07/13/us/politics/biden-voting-philadelphia.html

*【Covid-19實時更新】
#挪威郵輪公司控告佛羅里達州禁止疫苗護照的要求，認為此舉是阻止其“安全可靠地”恢復旅行。
#英國首相強森將宣布英格蘭下週將如期解封，首席大臣Nicola Sturgeon隨即概述了放鬆防疫後更謹慎的計劃，並表示在“一段時間內仍將需要戴口罩”。
#儘管 CDC發布了新的學校指南，呼籲在秋季全面返回教室，並建議對已接種疫苗的學生和教職員工可選戴口罩。但紐約市和加州仍堅持戴口罩的規定。
#為了提高拘留中心的疫苗接種率，國土安全部已開始向被關押在移民和海關執法局拘留所的人，接種嬌生公司的疫苗。
#由於冠狀病毒病例的增加，密蘇里州斯普林菲爾德市取消了今年的音樂節活動
#韓國經歷迄今為止最嚴重的冠狀病毒浪潮，政府官員宣布限制社交聚會和關閉夜總會。它還包括一些非常規的限制，例如健身房可以保持開放，但跑步機的運行速度不得超過每小時3.7英里，健身房裡播放的音樂不得超過每分鐘120拍，
首爾高麗大學傳染病專家金宇珠博士說這是“荒謬”且“無效”的。
#美國第一夫人吉爾拜登將前往東京參加夏季奧運會開幕式。
#在法國總統馬克洪宣布新的疫苗接種要求，包括對醫護人員強制接種疫苗，並且要求需提供免疫證明或最近的陰性測試，才能進入餐館和文化場所，有超過 130萬人預約了冠狀病毒接種，該國正積極對抗Delta變異毒株引發的新一波疫情。
https://www.nytimes.com/live/2021/07/13/world/covid-variant-vaccine-updates

*【俄羅斯勒索軟體組織REvil從暗網消失】
REvil被認為是導致美國最大的牛肉生產商之一JBS癱瘓的罪魁禍首，還在美國國慶日對全球數千家企業發起攻擊。週二淩晨，這個俄羅斯最激進的勒索軟體組織在暗網上的網站突然消失了。此前數天，美國總統拜登曾要求俄羅斯總統普丁採取行動，關閉攻擊美國目標的勒索軟體組織。 目前，關於REvil為何突然消失的具體原因尚不清楚，但專家表示，該組織可能會以不同的名字再次出現。
https://www.nytimes.com/2021/07/13/us/politics/russia-hacking-ransomware-revil.html

*【日本警告台海局勢對其安全構成威脅】
日本防衛省在年度白皮書中指出，中國軍力的迅速擴張將有可能打破華盛頓與北京之間的力量平衡，破壞地區和平。中國對此提出嚴厲批評，稱絕不容許任何國家以任何方式插手臺灣問題。白皮書的措辭意味著，儘管仍擔心被捲入中美之間，但日本可能正朝著與華盛頓更近的方向謹慎移動。
https://www.nytimes.com/2021/07/13/world/asia/japan-taiwan-china-us.html

撞上監管高牆，中國金融科技業何去何從】
這個行業之所以蓬勃發展，靠的是提供中國國有銀行體系無法提供的服務。當北京築起監管高牆，行業創新受損、消費者支出和借貸減少，它將走向怎樣的未來？
https://cn.nytimes.com/technology/20210713/china-fintech-ant-group/

*【伊拉克新冠病房深夜爆發火災，至少92人死亡】
大多遇難者為新冠患者，由於火勢過於猛烈，至少有22具屍體的身份無法立即被確認。當局稱，一台呼吸機的電氣短路導致氧氣罐爆炸，許多依靠機器呼吸的病人無法自主移動逃生。這是不到三個月，伊拉克發生的第二起醫院火災事故。 4月下旬，巴格達一家治療新冠的醫院發生類似火災，導致80餘人死亡，該國衛生部長引咎辭職。
https://www.nytimes.com/2021/07/13/world/middleeast/iraq-hospital-fire.html

*【邁阿密公寓倒塌事故搜救工作接近尾聲】
當地官員估計，最終的死亡人數可能介於95至99人之間。事故發生至今已有20天，救援人員共找到95人的遺體，其中85人的身份被確認，此外仍有四人下落不明。此次事故是美國歷史上最致命的結構性建築事故之一。
https://www.nytimes.com/2021/07/13/us/miami-condo-death-toll.html

*【川普集團CFO Weisselberg遭起訴後被免職】
知情人士透露，在紐約州檢察官起訴川普家族企業及其首席財務官Allen Weisselberg一周後，該公司開始免去Weisselberg在數十家子公司擔任的所有領導職務。此舉可能是川普集團進行更廣泛改組的前兆。尚無跡象表明川普想與Weisselberg斷絕關係，但該公司可能希望將其調至一個低調的職位。
https://www.nytimes.com/2021/07/12/nyregion/weisselberg-trump-organization-removed-subsidiaries.html

*【第73屆艾美獎人圍名單公佈】
艾美獎公佈提名：《王冠》和《汪達與幻視》各獲得24項提名，HBO以130項提名領跑各大電視網。頒獎禮將於9月19日舉行。
https://www.nytimes.com/2021/07/13/arts/television/emmys-nominees-list-2021.html

醫療IT將有兩大變革！衛福部宣布電子病歷交換中心要改為FHIR架構，還要送草案讓電子病歷上雲

衛福部資訊處處長龐一鳴日前在臺灣資安大會上，宣布要將電子病歷交換中心（EEC）架構改為FHIR交換架構，以符合國際醫療資料交換標準，此外，衛福部還要放寬電子病歷存取權，將允許醫療機構將電子病歷上雲代管。目前衛福部正修改法規，接下來要公開草案、徵詢外部意見。

文/王若樸 | 2021-05-08發表

衛福部資訊處處長龐一鳴表示，衛福部計畫將電子病歷交換中心（EEC）架構改為國際醫療資料交換標準FHIR，他將這種以FHIR格式交換的電子病歷，稱為新世代電子病歷，由4大元素組成。

為強化醫療資安體質，衛福部資訊處處長龐一鳴6日在臺灣資安大會上重磅宣布，衛福部要擁抱HL7國際醫療資料交換標準FHIR，將電子病歷交換中心EEC改為FHIR交換中心，來降低眾多接口產生的資安風險；此外，衛福部也要放寬電子病歷存取權，將允許醫療機構上雲代管，目前正修改法規，接下來要公開草案、徵詢外部意見。衛福部希望藉這些做法，強化醫療資安防護基礎，一方面也希望臺灣醫療資料與國際接軌，要讓國內醫資廠商用符合國際標準的產品，出國「打國際盃」。

從公共衛生看醫療資安，得先養好體質才能預防資安事件

公共衛生出身的龐一鳴指出，醫療資安有如公衛和預防醫學的三段五級策略，公衛中的三段是指人生病的三階段，從無症狀或易感染狀態，到臨床病徵出現，再到傷殘或死亡的階段。這三階段對應到醫療資安，就是無症狀或被刺探狀態；出現弱點、發生資安事件；以及資料遺失、橫向擴散和系統癱瘓。

面對發病過程，公衛有5種策略來應對，像是促進健康、特殊防護、早期診斷早期治療、限制殘障和減少死亡，以及最後的復健。「醫療資安也是如此」，龐一鳴舉例，醫療機構平時就應養成健全體質、蒐集情資來預防事件，並定期進行弱點掃描、做好特殊防護，再來才是資安健檢、加入監控機制（SOC）即時修補問題，達到早期診斷早期治療的效果。

要是發生資安事件，醫療機構也要透過通報應變機制（如ISAC、CERT），來降低資安事件帶來的衝擊。最後一步，則是事件後的復原鑑定。（如下圖）

在這5種做法中，過去，衛福部已在資安事件處理有所著墨，包括近幾年建置的醫療資安情資分享與分析平臺H-ISAC，讓關鍵基礎設施醫院（CI醫院）加入，透過緊急應變處理（CERT）和聯合監控（SOC）等機制，來鞏固醫療資安聯防。

現在，龐一鳴則回過頭聚焦5級策略中的第1級，要培養好所有醫療機構的資安體質，來降低事件發生的可能。「醫院養好體質，可避免未來可能遇到的資安問題，」他比喻，就像這次疫情期間，民眾落實戴口罩，不只防疫，也防止其他耳鼻喉科相關疾病，連健保數據都顯示去年相關門診就醫次數大幅下降。

養體質第一招：電子病歷交換中心EEC改為FHIR架構

同理，為防止病從口入，衛福部打算將醫療院所的「口」防好，也就是簡化電子病歷的交換架構。龐一鳴指出，電子病歷是醫療機構和政府單位最常交換的資料，這些單位包括健保署、國健署、EEC、疾管署、地方衛生所等，由於這些單位彼此不互通，醫療機構得針對不同單位，採用不同交換標準，並配合不同網路工具來執行。

過去，健保署多年來每每針對不同專案，開設專屬VPN來建立加密的資料交換環境，來給醫療院所使用。然而VPN一多，就容易產生資安風險。

因此，龐一鳴認為，要是能先將EEC交換平臺改為FHIR交換平臺，採用主流的國際醫療資料交換標準HL7 FHIR，就能簡化交換流程，不必一對一客製化介接，連帶簡化醫院需使用的網路工具，減少破口出現。他希望，藉由衛福部EEC率先改用FHIR，帶動其他單位擁抱FHIR，跟上國際趨勢、進一步簡化資料交換工作。（如下圖）

他將這種以FHIR格式交換的電子病歷，稱為新世代電子病歷，並由4大要素來推動。首先是資料標準，也就是要將新舊標準平行轉移，讓EEC先採用FHIR、健保署仍採用舊標準，爾後再調整；同時，龐一鳴也要藉此將衛福部內的資料交換，改以電子病歷為單位。（如下圖）

第2要素是連結跨部會資源，透過經濟部補助一年一度的臺灣FHIR聯測，來推動FHIR普及，同時也要協同經濟部輔導廠商的FHIR產品服務等。

再來是透過產官學合作，來發展醫療機構所需的FHIR資料格式轉換工具，以及培育FHIR人才資源。最後則是新世代電子病歷的交換應用，比如發展交換平臺，來試做疫苗護照等應用。

疫苗護照FHIR新機遇，未來還能推廠商打國際盃

龐一鳴坦言，疫苗護照是衛福部擁抱FHIR的另一個契機。目前，WHO、歐盟和世界多國都已倡議推行疫苗護照，要讓民眾透過App，出示自己在該國接種疫苗的證明，來加速出入境和進出特定場所的身分檢查。而這款App，就需要與該國衛生部門資料串接，而他們用來串接接種資料的交換標準，「就是FHIR。」

對臺灣來說，要加入國際疫苗護照行列，就得用FHIR來串接電子病歷中的疫苗接種紀錄。但龐一鳴指出，過去以來，臺灣醫療院所電子病歷交換的主要對象，一直是健保署，因此交換架構是臺灣健保署專用，而非國際通用。於是，要與國際串接資料，臺灣勢必得採用FHIR。

他認為，疫苗護照是臺灣練兵FHIR的大好機會，也能順勢將「國際標準轉化為國內標準。」他期望臺灣趁這次機會實現3個目標，也就是做好FHIR疫苗護照，再來是醫療機構採用FHIR國際標準，讓國內醫學研究更容易與國外互通，最後是臺灣醫資廠商大規模採用FHIR，讓自家產品不再只是臺灣標準，而是遵循放諸四海皆準的國際標準，如此才能「打國際盃。」

龐一鳴指出，這項計畫也已知會衛福部部長陳時中和數位政委唐鳳，盼能落實。

養體質第二招：允許電子病歷上雲託管，放寬存取權

接下來，衛福部養好醫院資安體質的第二招，是要放寬電子病歷存取權，允許電子病歷上雲代管，再由政府監督雲端業者和代管業者。這是因為，對臺灣眾多的專業小型醫療院所來說，管理醫療相關資料十分耗力，委外處理要是出事了，廠商不負法律責任，「導致小診所苦不堪言。」

為解決這個問題，衛福部擬定草案，要開放電子病歷上雲、交由第三方代管。龐一鳴指出，許多雲端業者的醫療資料處理服務，既符合歐盟最嚴格個資法GDPR，也符合美國主流的醫療資料保護法案HIPAA，更遵從國際標準FHIR，對人力不足的小型醫療院所來說，就會是個解方。而政府要做的，就是監管雲端業者和代管業者，多一道把關。

衛福部要開放電子病歷上雲，還有另一個用意。龐一鳴表示，由於長年法規規定，電子病歷只能存放在醫院中，導致醫院用雲相對落後。「但現在是上雲時代，醫院不用雲，大部分醫療AI幾乎不能用，」而開放上雲，就能促進醫療院所對AI的採用。

目前，這套上雲草案已完成內部意見整合，最近將公開草案、徵詢外部意見。龐一鳴希望，藉由改善電子病歷的交換架構和存取權，來打好醫療院所的資安體質。

要將資安稽核納入醫療評鑑，還要強化社交工程防治演練

回到醫療資安層面，衛福部也有幾套做法，來鞏固原有的醫療資安機制。首先是擬定在醫院評鑑中，加入資安稽核項目，來吸引更多醫院加入醫療資安聯防機制。這是因為，受限於資安法規定，衛福部無法全面將聯防機制推動到每家醫院，所以得想辦法讓不同身分的醫院加入。

再來，衛福部也會繼續推動資安人才培訓，並與其他政府部會協商，來強化醫療資安聯防。同時還要提升醫資廠商資安意識，將逐步要求醫資業者備妥資安防護措施。

今年，衛福部也計畫辦理更多演練，來加強醫院資安事件處理經驗。這些演練包括資安事件通報，也就是加入H-ISAC的會員醫院將收到H-ISAC演練警訊，會員醫院得依此回覆，進行通報等等。此外，衛福部也會針對社交工程，辦理模擬演練，至少10家醫院參與演練，並各自提交報告。

衛福部也鎖定聯網程度越來越高的醫療儀器（OT），將醫療儀器生命週期納入資安管理，以6種配套措施來納管，像是汰舊換新、採購評估、教育訓練等等。（如下圖）

近期醫院被勒索軟體攻擊次數下降，盤點5大方法降低事件發生率

最後，龐一鳴盤點近幾年醫療勒索軟體攻擊事件，指出2019年8月，臺灣38家醫院在幾個小內接連遭到WannaCry病毒大規模攻擊，是因為病毒從內網橫向擴散，「我們也藉此檢討EEC架構和健保VPN設置，並來改善。」

在那之後，自2020年至今，臺灣只有零星幾家醫院受到攻擊。比如2020年，只有兩起北部區域醫院和地區醫院的受害通報，今年至今也只有3起通報。（如下圖）

他也歸納出5種方法，來降低勒索病毒威脅，包括落實資安長制度、拒絕釣魚郵件（即社交工程攻擊）、建設好網路防火牆，還有USB管控和IT防禦。他認為前4種是對付80%攻擊的關鍵，而IT防禦雖只擋20%攻擊，但也是重要的防護基礎。

龐一鳴建議，IT防禦範圍包括善用H-ISAC情資分享，來掌握勒索軟體防護攻略，此外還有採用各種資安縱深防禦工具和技術來防範威脅。醫院透過有效的管理方式，就能杜絕大多數的攻擊嘗試，讓IT有餘力應付高明的駭客，而不會因層出不窮的事件疲於奔命，這也是IT防禦的心法。

資料來源：https://www.ithome.com.tw/news/144262

最近一周發生一件事 - 一間生產 NAS 的廠商 - 威聯通 QNAP ，該品牌 NAS 使用者，遭受到勒索病毒的攻擊，會發生 NAS 裡的檔案被「壓縮、加密」，若中毒想解開，約付 300 美金左右。

雖然中毒後來有解，但並不見得適用每一個人的情況，當然事後廠商也有做補救的動作，但是仍造成 QNAP 使用者的損失。
其中討論到幾個話題跟我們比較有相關。

#1備份不要只有一份
有些人把所有的資料全存在 NAS 裡，然後又中毒，損失慘重，備份至少要有 2 份以上，同時要有一份所謂的「冷備份」，也就是僅存你的照片，平時不開機使用，只有要備份照片時再開機。

#2NAS並非一般人能善用
以 NAS 廠商，並不會對今天你的資料損失，有其義務「賠償」，僅會對你的硬體，在保固期內/外做硬體上的服務，而資料損失，比如今天這狀況，NAS 廠商並不會保固、保障你的資料之責。

在 NAS 安全性設定上，真的需要有相關知識、經驗的人才能妥善運用，但這些有𨶺「安全性設定」，真的不是一般消費者、外行人容易上手的，光是一些簡單的名詞，可能就花費一般人大半天的功夫，也不見得得其門而入。

但是這些 NAS 廠商，在行銷、訴求上，卻廣推普及一般消費者，也能輕易的上手使用，雖然在基本的設定上並不難，但真的要做到「安全、保護」，也遠遠不足，廠商雖然沒有義務要手把手一動一作幫你做好最大的保護，這部分的工作卻也落在消費者上，而消費者又會遇上前一點說的 - NAS 使用門檻高，一般消費者真的不易使用。

這就發生問題了 - 當在當今 NAS 的廣告、行銷下，很容易讓消費者不了解該產品背後的問題，僅著重在「優點」，忽略了潛在風險，這點是消費者自己要知道的。

#我個人建議是
如果你真的對電腦、網路相關軟硬體知識不足，不建議使用 NAS 做你的資料備份使用，真的要備份你的資料，用 GOOGLE / APPLE 等付費的雲端服務，好過你在那裡瞎摸。
但即使如 GOOGLE / APPLE 也是會有可能風險，你還得要再做個「第 2、第 3 」的備份，有備無患，至於要備份幾份，端看這些資料對你的重要性。
哪些簡單又好的備份方法? 我推薦這種方式，雖然傻了點，但是卻最為簡單的方法 => #資料備份比較與建議：https://hojenjen.com/howto-backup-your-photo/