持續強化資安防護,審慎評估生成式 AI
面對駭客攻擊持續嚴峻,北極星藥業已制訂一套資通安全管理政策,對內亦採取具體防範措施以落實資通安全。
採訪/施鑫澤‧文/林裕洋‧刊期/2025.03
在醫療技術進步下,人類壽命逐漸延長,根據聯合國統計資料顯示,全球人口平均壽命已從 1950 的 46.5 歲,上升至 2021 年的 73.3 歲。在全球積極發展生技產業的浪潮下,台灣也透過多元政策協助產業相關發展,近幾年也催生出不少極具潛力的公司。以致力研發代謝療法癌症用藥的北極星藥,已在 2022 年達成肺間皮癌解盲的里程碑,另有多項癌症進入三期臨床試驗,可望加速取得各國藥證,堪為台灣藥物研發的代表性公司之一。
由於北極星藥業在多個國家設有營業據點,加上即將迎來藥品上市的重要里程碑,所以在永續發展方面亦面臨更大挑戰。為此,該公司已制訂一套資通安全管理政策,對內亦採取具體防範措施以落實資通安全。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
北極星藥業資安長吳致緯指出,我們專注於研發全球創新藥物,研發創新的成果需要完善的智慧財產保護,才能保持產品價值與未來獲利。北極星藥業除與員工均簽訂「勞動聘僱契約」,明訂智慧財產權歸屬及保密條款之外,同時透過教育訓練,加強同仁對營業秘密的保護意識,提醒所有員工應 注意維護自身職務相關之營業秘密。
除此之外,北極星藥業在內部管理上,也已建立一套機密管理措施,涵蓋人員、設備、文件及環境,並嚴格界定使用者權限、調閱文件需符合文件管理流程,經核准後執行並留存紀錄。於環境設施上,該公司亦界定內部管制區域,管制取用機密文件之設施,如辦公室及機房門禁管制、限制訪客之活動範圍等。
採用混合雲架構 滿足跨國營運需求
專注於抗癌新藥研發的北極星藥業集團,主要研究藥物 ADI-PEG 20 是一個生物製劑,現已進入臨床試驗研究後期,研究的癌症適應症相當廣泛,包括肝細胞癌、間皮瘤、胰臟癌、非小細胞肺癌、黑色素瘤以及急性骨髓性白血病等。該公司在美國加州和中國成都建有 cGMP 藥廠,嚴謹遵循營運流程法規,提供安全的試驗環境,確保所有藥品的品質與安全性,加上深度參與藥物開發的每一個階段,並且掌握基於結構設計癌症新藥的技術、和全球頂尖的癌症中心合作執行臨床試驗,所以在國際生技市場深受矚目。
於 2023 年起接任資安長的吳致緯認為,資安的核心為機密資訊保護,包括營業秘密和個人資料。由於北極星藥業為跨國營運架構,所以資安系統需兼顧雲端和地端混合的需求,因此基礎架構設計上特別採用多重機制相互搭配的做法。首先,在混合雲模式架構方面,特別採用 Azure 雲端搭配地端伺服器,實現跨國營運下的資料靈活管理。因應導入 Azure 雲端服務,也同步採用 Microsoft 多重驗證方案(MFA),強化雲端帳號權限管控與安全性。至於備援計畫部分,則利用 Synology C2 方案打造備援系統,確保系統穩定性與資料可靠性。
吳致緯表示,在打造完善的資安基礎架構之外,我們也非常重視權限與資料管理。如在權限分層管理方面,地端與雲端的 Active Directory(AD)同步,統一管理帳號、密碼與存取權限,防範無所不在的勒索攻擊。在資料分級部分,自然也會對機密資料進行分級管理,限制特定人員的存取權,並要求申請後才能存取關鍵資料。
持續強化資安防護 保護個資與商業機密安全
身為跨國企業,北極星藥業也對資安規範與法規遵循特別注重,,如在資安管理方面遵循 ISO 27001 標準進行資訊安全管理。此外,亦遵循 FDA 法規對於生技製藥產業的資訊規範,依照美國 FDA 對 IT 系統的合規要求,如 GAMP 5,確保 ERP 與其他 IT 系統要符合標準,此有助於加速藥物審核。在資料保護部分,由於北極星藥業的臨床資料會從台灣與其他地區,傳輸至南加州的資料中心。此種跨國傳輸機制也讓該公司特別重視個資法的法規遵循,確保臨床資料在進行跨國資料傳輸時,能符合 GDPR 等規範,避免因為違規而遭受到鉅額罰金。
考量到近幾年駭客攻擊日趨激烈,北極星藥業亦透過強化資安回應速度,將惡意程式威脅降到最低。如完成 SOPHOS 防火牆的韌體升級,降低入侵風險,以及建立一套「釣魚郵件威脅回報機制」,當發現可疑跡象時會即時處理。
另外在資料備份機制方面,也會定期備份機密資訊,並保證備份符合不可竄改性與真實性。此外,該公司亦制定「即時通訊限制」政策,限制敏感訊息透過即時通訊軟體傳送,讓同仁以電子郵件為主要溝通工具,減少機敏資料外洩的機率。在內部政策與守則部分, 資安系統會每個月產出資安月報系統,協助資安團隊每月監控與報告資安現況,包含威脅處理與合規狀態。在資訊銷毀政策方面,明確規定機密資訊的銷毀方式,確保無法復原並保留相關紀錄。
「除前述種種措施之外,我們也推動內部資安意識工作,利用定期會議加強資料治理與分類的教育與溝通,幫助各部門員工了解資安重要性。另外也會針對不同部門如研發、製造及臨床部門的需求,調整資安管理方式與政策以降低反彈。」吳致緯解釋:「在長期發展方面,我們也會持續強化內部資料治理流程,建立一套完整資料分級和審查制度。同時亦會持續探索更先進的資安技術,如零信任架構和動態權限管理,以應對不斷變化的威脅。結合法務部門協同制定更細緻的合約規範,確保資安政策覆蓋跨部門及供應鏈環節。」
除升級防火牆、推動資安之外,北極星藥業也察覺到 AI 資安技術的快速發展,目前也在評估引入 AI 監控工具,作為檢測並攔截敏感資訊的非授權使用。如 AI 資安產品可即時攔截涉及機密的關鍵詞。以及 AI 應用於釣魚郵件檢測與威脅預警,提升資安反應速度。
生成式 AI 威力強大 已運用於工作流程之中
根據麥肯錫公布研究報告指出,過往製藥公司若要成功開發一項藥物,平均需要 10~15 年的時間和平均 10 億美元成本,有些甚至超過 20 億美元。然自從 2020 年疫情爆發開始,許多製藥公司已順利運用 AI 技術縮短 COVID-19 疫苗開發時間。而威力更強大的生成式 AI,近幾年則可為製藥公司在藥物設計提供加速、自動化和擴大工作規模所需的基礎設施,也為整個藥物開發過程中在降低風險下,節省寶貴時間和金錢,提升藥物開發效率。
隨著生成式 AI 逐漸展現,北極星藥業也開始嘗試將該技術應用於工作流程中之中,即限制於非敏感性資料中,以避免機密資訊外泄,目前初步應用於資料處理法規資料的自動檢索,如撰寫法規報告或技術文件。為避免公司內部重要資料被外部公開模型學習與再利用,目前限制員工將機密資料(如臨床試驗資料)輸入開放 AI 平台。此外,員工在使用 AI 進行簡報或報告撰寫時,需遵循數據去識別化的政策,避免違反 FDA、GDPR 等法規。
[ 推薦閱讀:制定全球 AI 倫理標準是 AI 之路的當務之急 ]
吳致緯指出,現階段公司對生成式 AI 應用抱持審慎態度,限制重要機密資料進入 AI 模型,以防止資料洩漏。不過,我們也鼓勵員工利用 AI 取得最新法規與行業資訊,但在使用過程中需要落實個人資料識別化與隱私保護等工作。未來,我們也會評估建置內部專屬 AI 平台的可能性,避免外部開放 AI 平台的潛在風險,同時提供員工安全使用 AI 進行日常工作的能力。當然,我們也會嘗試利用 AI 模型對臨床試驗和藥物開發資料進行更高效的分析,如預測試驗結果或加速研發流程,以及推動大數據平台與 AI 技術的整合,以進一步挖掘潛在的商業價值。
審慎評估生程式 AI 不排除自建 AI 平台
儘管生成式 AI 威力已被受認可,不過若企業沒有制定相關使用規範,當員工使用外部 AI 平台處理敏感資料時,可能會發生無意間暴露機密資料,反而導致公司面臨極大商業損失。所以北極星藥業也制定一套完善的管理機制,限制員工存取機密資料,並採用去識別化技術降低風險,避免員工使用生成式AI過程中,讓公司機密資料成為模型訓練的資料來源。
如在平衡資料安全與營運成本之間,北極星藥業按照資料敏感性進行分類與分級管理,僅有相關部門同仁可取得存取權限,例如,研發機密資料僅供特定人員使用,藉此達到減少資料外洩機率。而在混合雲架構中,高敏感資料主要存放在地端設備,一般資料則儲存於 Azure 等雲端平台中,進而達成兼顧成本與安全等多重目標。
「不可否認,大數據與 AI 之間搭配可以創造出更好的效益,但是製藥集團通常會更注重資料平台的穩定性,避免使用過於前沿或未成熟的技術。另外,考量到部分員工可能對新技術接受度不高,所以我們也會透過推動教育訓練提升員工的數據意識與 AI 技能,並逐步引入 AI 技術進行業務流程優化。」吳致緯解釋:「另外,考量到公司有跨國資料傳輸需求,我們除確保 IT 系統適應 FDA GAMP 5 指導原則之外,也會透過去識別化技術搭配資料組織成分散端設計,確保不同地區的資料能順利成河,隨時因應不同國家的法規規範差異,以及避免發生個人資料外洩的憾事。」
彈性 IT 資訊架構 因應各國法規挑戰
由別於多數人熟悉的製造業、零售業,由於多數醫藥產業都是跨國佈局,所以面對挑戰更為多元。北極星藥業在資訊軟硬體架構設計上,目前使用本地化 ERP 系統 TIPTOP,滿足製藥產業在生產與營運中的特定需求。未來,若考慮與美國分公司 ERP 進行整合時,得符合美國 FDA 的合規要求,因此需對 ERP 功能與安全性進行調整。另外,配合臨床試驗的需求,該公司也建立一個資料共享平台,確保不同地區的臨床數據能高效整合。
吳致緯指出,由於不同地區的法規差異頗大,所以 IT 系統需具備靈活性,以適應各地的資料管理政策。所以我們也實施嚴格資料隱私保護策略,確保可符合 GDPR 等全球性法規,以及重視資料的去識別化,避免個人資料洩漏。未來,北極星藥業會持續優化現有的雲端和地端協同模式,實現成本與效能的雙贏,同時持續追蹤全球法規變化,確保 IT 系統能快速適應新要求。面對惡意威脅推陳出新,我們也會探索零信任架構和 AI 資安技術,進一步強化整體資訊安全。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
