近年智慧醫療科技蓬勃發展，醫材不再像過去一樣為離線使用，取而代之的是擁有連網功能、遠端遙控，甚至能將資料上傳至雲端。尤其在COVID-19（新冠肺炎）疫情後，全球智慧醫療更是迎來大躍進，這固然是醫療的一大進步，但不可否認的是，可連網就伴隨資安風險。對此，DIGITIMES專訪台灣檢驗科技（SGS）全球資安發展經理顏志仲，從檢驗測試業者的角度來分析智慧醫療資安如何提升，以及美國、歐盟等主要市場對於智慧醫療資安的進度，最後是台灣醫材是否準備好迎接全面連網帶來的風險。

連網就有資安風險，醫材遭駭恐有生命危險

「在2018年的黑帽大會上，駭客展示如何遠端控制智慧醫材，將錯誤劑量注射至病患身體，引發監管機構的關注。」顏志仲表示，在智慧醫療快速發展及投入實際應用下，使用Wi-Fi、LTE或藍牙等方式傳輸醫療影像並不是困難的事，而一旦連網，就可能在過程中發生資料被擷取、被非法從遠端操作等情況，尤其醫材與病患生命息息相關，更凸顯智慧醫療資安的重要性。

將資安作為產品設計的一環，確保符合法規如期上市

提升智慧醫療資安的關鍵從產品設計開始，顏志仲指出，從檢驗測試業者的角度來看，從前期安全設計開始就必須要有資安思維，必須將防止入侵、資料擷取的相關功能考慮進去，最後到安全評估、測試的時候，檢驗業者會協助醫材業者檢查是否達到安全醫材要求，最後則是確認是否符合上市地區主管機關的法規。

顏志仲舉例，經常遇到醫材已準備要上市，但此時才發現未符合法規要求，但如果嚴重的話可能需要從設計端調整，甚至影響上市時程，因此他建議在設計、發想階段時就先與主管機關聯繫，確認法規是否有新規範，尤其在智慧醫療資安愈來愈被重視的情況下，主管機關開始強力要求，必須將資安作為產品設計的一環，才能確保醫材如期上市。

法規大致符合國際方向，但建構生態系仍需努力

而從法規的角度來看，歐盟、美國主管機關皆有制定相關規範，以歐盟為例，於2017年發布《歐盟醫療器材法規》（MDR），並於2019年發布MDCG醫療器材網路安全指引，美國食品藥物管理局（FDA）同樣也有醫療器材網路安全管理指引，而台灣呢？

台灣衛福部食藥署於2021年5月頒布《適用於製造業者之醫療器材網路安全指引》，主要針對「可被攻擊的已知漏洞測試」以及「軟體弱點測試」進行要求。對此，顏志仲指出，其實相較歐美地區的法規，台灣已經跟上先進國家的腳步，但只有法規跟上仍不足，還有醫材業者的認知、落實，都還需要強化。

顏志仲表示，台灣業者具有很強的電子電機製造能力，但資安來講是相對較新的領域，尤其研發人員對此認知較薄弱，而這就需要食藥署、顧問業者、驗證業者共同努力，在整個供應鏈中，由主管機關讓業者有資安意識，顧問業者輔導醫材業者，而測試業者就針對主管機關重視的標準盡情測試，才能讓廣大醫療群眾獲得安全、有效的醫療服務，打造健全的醫療器材生態系。

By DIGITIMES