手術機器人被「駭」危機：當機器手臂出現在開刀現場，背後的資安如何加強？

[color=rgba(0, 0, 0, 0.87)]手術機器人被「駭」危機：當機器手臂出現在開刀現場，背後的資安如何加強？

                               
登錄/註冊後可看大圖

我們想讓你知道的是

醫生在術前坐在辦公室進行器械定位規劃，再進到手術室中監督手術機器人的操作步驟，這樣人與機器的協作，未來可能成為手術室中常見的景象。然而由被輸入指令並且按步操作的機器人操刀，輔助經驗豐富的醫師雙手，背後是否有需要注意的資安重點？

• 本文部分內容來自《關鍵評論網》日本編輯部
  

開發機器人來協助外科醫生進行手術的競爭正在加速進行。近年來，手術輔助機器人已經被引入到更困難的腦外科手術中，因為比起人手，它們的施行範圍能更精準，也能減少病人的身體負擔。 預計到2030年，手術輔助機器人的市場將達到227億美元，中國、日本、韓國和台灣等亞洲國家，也都在爭相開發，追趕身為手術輔助機器人技術領頭羊的美國。

                               
登錄/註冊後可看大圖

台灣生技新創公司鈦隼生物科技所開發的手術輔助機器人「NaoTrac」。
-----------------------------------------------------------------------

今（2022）年8月12日，一場在花蓮慈濟醫院進行的腦外科手術直播，吸引了來自世界各地的醫療相關人士，在這場手術中，與會者的目光集中在「NaoTrac」身上。「NaoTrac」是由台灣生技新創公司鈦隼生物科技（Brain Navi Biotechnology）所開發的手術輔助機器人。

NaoTrac配備了一個3D導航系統，使其能夠瞄準病人大腦中的特定病灶，準確而快速地插入管子等手術器械。大腦是一個複雜且脆弱的結構，但儀器可以以每秒0.5毫米的非常緩慢的速度插入，減少在插入過程中損傷血管或引起不必要的出血之風險。

一般在不使用手術輔助機器人的情況下，需要在相當堅硬的頭蓋骨上鑽出一個約一塊錢大小的孔，但如果使用Naotrac，則只需要用機器手臂前端的雷射，去鑽出約牙籤大小的孔即可，壓倒性地減少病患的身體所承受的負擔。

在世界各地專業人士的關注下，這場手術相當成功。慈濟醫院院長林欣榮表示：「因為手術輔助機器人，讓醫師們在執行手術時能夠更加正確且有自信。」

「我們的機器人和達文西機器人有什麼操作上的不同呢？達文西機器人基本上你可以把它想像是一個遙控器，它『重複』你的動作去操作，所以強調的還是醫生手術的熟練度。」鈦隼生物科技執行長陳階曉醫師解釋道。

「可是我們這種專用型的機器人，因為動作很細小、精密，所以它要求的就已經不是醫生自己操作，而是醫生怎麼去『規劃』，規劃之後讓它來協助你執行這些動作。就有點像是一個自動導航駕駛這樣類似的概念。」

                               
登錄/註冊後可看大圖

手術機器人被引進外科手術現場，可以追溯到大約10年前。直到最近，使用透過遠距操作模仿人類的動作的「主從式」手術機器人的腹腔鏡手術，是手術市場的主流。但近年來的趨勢已轉向，將手術機器人運用在像脊髓、膝關節和腦神經等更精密的手術。

近乎壟斷市場、由美國Intuitive Surgical公司所開發的手術輔助機器人「達文西」（da Vinci Surgical System），其基本專利已在2019年到期。這正是為什麼美國和其他國家的許多公司，目前都積極進行手術輔助機器人的開發和商品化的動作。

根據日本專利局的數據，在所有與手術機器人有關的專利申請中，以美國籍人士仍然占了52.5％的高比例，其次是中國籍佔15％、歐洲籍佔11.7％、日本籍佔8.9％、韓國籍佔6.2％，來自台灣籍人士的申請則佔0.6％。可看到來自亞洲各國的申請比例，也成為一股成長中的勢力。

從人手換成機器手臂，背後的資安如何加強？

醫生在術前坐在辦公室進行器械定位規劃，再進到手術室中監督手術機器人的操作步驟，這樣人與機器的協作，未來可能成為手術室中常見的景象。然而由被輸入指令並且按步操作的機器人操刀，輔助經驗豐富的醫師雙手，背後是否有需要注意的資安重點？

趨勢科技今（2022）年10月發布一份針對勒索病毒對醫療產業造成影響的調查報告，提到全球有超過5成（57％）的醫療機構，曾在過去3年當中遭到勒索病毒襲擊，而這些機構中有25％表示被迫全面停擺，另有60％表示有部分業務流程受到衝擊。

趨勢科技全球部門指出，2019年美國一間醫療院所曾發生勒索攻擊事件，因為重要系統被攻擊而造成無法讀取病患資料、醫護人員無法隨時監督重要的心率資訊等影響。就在去年，愛爾蘭醫療院所的系統因勒索攻擊而癱瘓了數月，造成龐大的金錢損失。

另外就在今年11月，澳洲醫療保險公司Medibank遭駭客入侵，在Medibank拒付贖金後，數百名客戶的醫療紀錄遭到公布，受害者當中包含澳洲總理艾班尼斯（Anthony Albanese）。

雖然駭客的目標眾多，然而在醫療的場域往往與私人病痛、甚至是生命攸關而具有相當的重要性，若遭到駭客覬覦，後果自是不堪設想。

前資策會資安所技術經理、資安風險顧問汪映廷表示，根據美國獨立產品安全認證機構UL（Underwriters Laboratories）所發布的「醫療機器安全測試」白皮書當中提到，按照IEC80601-2-77手術機器人安全認證項目，手術機器人的潛在資安風險，來自3種條件：

• 交互作用條件（Interaction conditions）：例如操作手術機器人時並非直接操作機器本身，而是透過其他電腦進行遙控。
• 介面條件（Interface conditions）：手術機器人所連接的旁系設備，例如與監測病人生命數值的生理監視器相連，或機器人可能與其它注射器統整在一體。
• 器械條件（Mechanical conditions）：若手術機器人未連接網路，當其韌體（firmware）需要進行更新時，可能需要插入隨身碟（USB）。
  

呼應到第三點，部分手術機器人雖然沒有聯網系統而降低資安風險，但不可忽略的是仍有其它需要留意的資安因素，例如不安全的設備更新（帶有病毒的隨身碟插入）；或是電磁訊號（例如無線電波、藍芽等）對手術機器人產生訊號干擾。

                               
登錄/註冊後可看大圖

汪映廷建議，若要將資安風險盡力降低，手術機器人製造商與操作醫院兩者有各自需要注意的重點。生產手術機器人的設備商最好要經過受到認可的資安認證，證明本身產品是沒有問題的，那就已經降低大部分的資安風險。

屬於操作端的醫療場域，則最好偕同資安公司進行相關評估，如資安架構檢視、滲透測試等等，來降低人為設定錯誤。汪映廷說：「比如說操作者可能為了讓醫生方便操作，將密碼設為123456，那攻擊者可以很簡單的入侵。」

另外也要定期審視醫院的環境安全，例如設備汰換，網路更改，把設定換掉不要忘了調回來。手術機器人當中的軟硬體都有其壽命，過一段時間可能會有漏洞被發現，使用的醫療端就必須定時去檢視場域是否是安全。汪映廷提醒，資安沒有絕對的安全，然而藉由上述做法，可以增加駭客攻擊的難度，來降低相關的風險。

感覺這篇好嚴肅且枯燥乏味~但隨著人力技術斷層,自動化機械接替人工執行各種困難的手術案件越來越多的同時
資安是非常重要的~