交通大學科技法律研究所所長 陳鋕雄

近來頻傳醫療機構遭駭客入侵事件。去年八月台北市衛生局發現二百多萬位市民資料遭竊，駭客IP來自上海。日前五十多所醫療機構遭大規模攻擊，病歷資料遭駭客加密無法閱讀，並威脅若不支付虛擬貨幣就要把資料銷毀。事實上我國情形並非首見。

2017年勒索病毒WannaCry造成一百五十個國家、二十萬台以上電腦中毒，英國公醫系統NHS因此遭駭，大量與NHS連線的醫療機構因而無法使用電子病歷，甚至不得不取消手術。駭客除將病歷加密之外，也可更改醫療影像內容，造成醫療決定的錯誤。

為何駭客愛找醫院下手？對醫療機構而言，要完成打擊疾病，照顧病人的團隊任務，常需要病歷資料分享。因此雖然醫療機構對病人有病歷保密義務，但醫療機構的行政管理重心往往放在如何分享，而非資安。許多遭駭的醫院，事後發現資安設施落後，甚至仍使用已不再受更新支援的過時作業系統WindowsXP。醫療機構資安投資不足，卻又有龐大的現金流，因此成為駭客眼中的肥羊。

我國正積極推動智慧醫療，許多醫院以smart hospital或intelligent hospital自居，卻少有人注意到資安的重要性。要建構智慧的醫療系統，前提是更大量、完整的資料互享。尤其醫療物聯網的自動化資料交換性質，更易遭駭客鎖定。2018年研究人員發現知名腦波儀Natus NeuroWorks中有五個漏洞，可讓駭客藉機存取裝置上的病患資訊、進而侵入醫院網路上其他系統，或是發動阻斷攻擊。最近美國聯邦食藥署（FDA）已下令艾伯特（Abbott）召回四十六萬五千個有連線功能的心律調整器，以避免病人體內裝置遭駭客蓄意操控。資安問題重在預防，若醫療物聯網產業在發展之初未正視此問題，未來將可能有災難性的事件發生。

歐盟最新一般個資保護規則GDPR，提出兩個重要系統性資安觀念：Privacy by Design（將隱私原則納入設計）及Data Protection Impact Assessment（隱私保護影響評估），且強調機構應讓資安長擁有相當的權能。智慧醫療軟硬體及系統，在設計階段就應該注意個資隱私保護，且應進行系統性的評估。美國衛福部及FDA，對於醫療機構應具備的資安標準、管理流程及醫材資安設計，也有清楚的行政指引。

面對智慧醫療時代，我國醫療機構將面臨更迫切、大規模的資安威脅，政府宜及早正視，投入資金，建立醫療行政管理及醫材研發標準，甚至在衛福部設置個資保護專責單位，以實現安全的智慧醫療。

（本文投書刊載於自由時報）

• 相關新聞-「勒索病毒」襲台 傳56醫療院所電腦中鏢