王晨希，孟祥峰，王浩，李佳戈

中國(guó)食品藥品檢定研究院 光機(jī)電室，北京 100050

引言

機(jī)器人不僅用于工業(yè)領(lǐng)域，在醫(yī)療系統(tǒng)也已得到推廣應(yīng)用。機(jī)器人在醫(yī)療界中應(yīng)用的相關(guān)研究主要集中在外科手術(shù)機(jī)器人、康復(fù)機(jī)器人、護(hù)理機(jī)器人和服務(wù)機(jī)器人方面[1]。近些年，隨著通訊技術(shù)的迅猛發(fā)展，遠(yuǎn)程通訊覆蓋率和傳輸速度得到了很大提升，遠(yuǎn)程醫(yī)療在醫(yī)用機(jī)器人領(lǐng)域也得到了廣泛應(yīng)用，如醫(yī)生能夠?yàn)檫h(yuǎn)端病人進(jìn)行手術(shù)前期診斷、手術(shù)方案確定和手術(shù)治療，使得患者能夠得到及時(shí)有效的治療[2]。遠(yuǎn)程醫(yī)療技術(shù)推動(dòng)了醫(yī)用機(jī)器人產(chǎn)業(yè)的進(jìn)步，同時(shí)帶來的網(wǎng)絡(luò)安全問題也應(yīng)當(dāng)引起關(guān)注[3]。

2001 年9 月7 日法國(guó)醫(yī)生雅克·馬雷斯科在美國(guó)紐約通過網(wǎng)絡(luò)遠(yuǎn)程遙控在法國(guó)斯特拉斯堡手術(shù)室中的ZEUSTM機(jī)器人把裝有微型光纖攝像頭的內(nèi)窺鏡導(dǎo)入一位病人的腹部，然后使用解剖刀和鑷子摘除了可疑的膽囊組織，實(shí)現(xiàn)了世界上首個(gè)跨洋膽囊摘除手術(shù)。國(guó)內(nèi)方面，2018 年12月18 日，中國(guó)人民解放軍總醫(yī)院（301 醫(yī)院）第一醫(yī)學(xué)中心肝膽外二科主任劉榮醫(yī)生利用5G 網(wǎng)絡(luò)，遠(yuǎn)程無線操控機(jī)器人床旁系統(tǒng)，為50 公里外的一只實(shí)驗(yàn)豬進(jìn)行了肝臟楔形切除手術(shù)[4]。技術(shù)創(chuàng)新的日新月異往往伴隨著新風(fēng)險(xiǎn)引入，遠(yuǎn)程醫(yī)療技術(shù)與醫(yī)用機(jī)器人產(chǎn)業(yè)的結(jié)合帶來了很多新的問題和挑戰(zhàn)，其中最為重要的就是網(wǎng)絡(luò)安全問題。IOActive 網(wǎng)絡(luò)安全公司長(zhǎng)期以來一直在探索醫(yī)用機(jī)器人的網(wǎng)絡(luò)安全問題，2019 年，這兩個(gè)機(jī)構(gòu)披露了在醫(yī)用機(jī)器人控制軟件中的大約50 個(gè)缺陷。攻擊者可能會(huì)利用這些缺陷來遠(yuǎn)程控制醫(yī)用機(jī)器人、滲入網(wǎng)絡(luò)、竊取數(shù)據(jù)并造成損失。例如，修改被感染模塊文件以更改機(jī)器人的默認(rèn)操作、禁用臨床功能，將錯(cuò)誤的數(shù)據(jù)發(fā)送到命令與控制服務(wù)器，導(dǎo)致臨床使用風(fēng)險(xiǎn)。IOActive 專家在2018 年卡巴斯基安全分析師峰會(huì)上第一次對(duì)醫(yī)用機(jī)器人進(jìn)行了勒索軟件攻擊，以研究這類攻擊所需的關(guān)鍵要素以及黑客成功后會(huì)產(chǎn)生的影響。事實(shí)證明醫(yī)用機(jī)器人在臨床使用過程中由于網(wǎng)絡(luò)安全導(dǎo)致的問題是存在的，并且后果是很嚴(yán)重的[5]。

本文依據(jù)相關(guān)研究，發(fā)現(xiàn)當(dāng)前醫(yī)用機(jī)器人技術(shù)面臨的威脅以及在臨床使用過程中的網(wǎng)絡(luò)安全問題，闡述相關(guān)威脅造成的損害，目的是提高醫(yī)用機(jī)器人在使用過程中的安全性，防止攻擊者利用漏洞對(duì)患者及其周遭環(huán)境造成嚴(yán)重?fù)p害[6]。

1 醫(yī)用機(jī)器人的網(wǎng)絡(luò)安全問題

為了識(shí)別醫(yī)用機(jī)器人可能遭遇的網(wǎng)絡(luò)安全問題，需要明確醫(yī)用機(jī)器人生態(tài)系統(tǒng)的結(jié)構(gòu)。醫(yī)用機(jī)器人生態(tài)系統(tǒng)通常由物理機(jī)器人、操作系統(tǒng)、固件、軟件、移動(dòng)/遠(yuǎn)程控制應(yīng)用程序、供應(yīng)商互聯(lián)網(wǎng)服務(wù)、云服務(wù)、網(wǎng)絡(luò)等組成[7]。整個(gè)生態(tài)系統(tǒng)呈現(xiàn)出一個(gè)巨大的攻擊面，具有多種網(wǎng)絡(luò)攻擊選項(xiàng)。關(guān)注于手術(shù)機(jī)器人的高級(jí)別和關(guān)鍵的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，因此需要重點(diǎn)評(píng)估機(jī)器人生態(tài)系統(tǒng)中最易訪問的組件，如：移動(dòng)應(yīng)用程序、操作系統(tǒng)、固件映像和軟件，這些組件為醫(yī)用機(jī)器人提供了大部分功能得以實(shí)施的基礎(chǔ)。

醫(yī)用機(jī)器人生態(tài)系統(tǒng)組件中的網(wǎng)絡(luò)安全漏洞類型較多，其中許多是常見問題，主要體現(xiàn)在以下七個(gè)方面。

1.1 不安全的通信

通信允許用戶和生態(tài)系統(tǒng)組件無縫交互，是醫(yī)用機(jī)器人生態(tài)系統(tǒng)的重要組成部分。例如，用戶可以用計(jì)算機(jī)為醫(yī)用機(jī)器人編程，可以用移動(dòng)應(yīng)用程序?qū)崟r(shí)發(fā)送命令，或者醫(yī)用機(jī)器人可以連接到供應(yīng)商的互聯(lián)網(wǎng)服務(wù)/云以進(jìn)行軟件更新和運(yùn)行應(yīng)用程序等[8]。通過使用加密的強(qiáng)通信來確保醫(yī)用機(jī)器人的安全至關(guān)重要。否則，攻擊者很容易截獲通信和竊取機(jī)密信息，危害機(jī)器人生態(tài)系統(tǒng)的關(guān)鍵組件，入侵機(jī)器人等。

事實(shí)上，目前大多數(shù)醫(yī)用機(jī)器人使用的是不安全的通信。通過互聯(lián)網(wǎng)、藍(lán)牙、Wi-Fi 等與醫(yī)用機(jī)器人連接的移動(dòng)和軟件應(yīng)用程序，并未適當(dāng)保護(hù)通信信道。他們用明文或弱加密發(fā)送關(guān)鍵信息。一些醫(yī)用機(jī)器人甚至可以在沒有任何保護(hù)的情況下通過明文向供應(yīng)商服務(wù)或云發(fā)送數(shù)據(jù)來連接互聯(lián)網(wǎng)。

1.2 身份驗(yàn)證問題

正確識(shí)別有權(quán)訪問的用戶非常重要。只有有效的用戶才能對(duì)醫(yī)用機(jī)器人編程或向醫(yī)用機(jī)器人發(fā)送命令。無法防范未經(jīng)授權(quán)的訪問意味著攻擊者可以在沒有有效用戶名和密碼的情況下輕松遠(yuǎn)程使用某些醫(yī)療功能，從而從本質(zhì)上控制醫(yī)用機(jī)器人。

大多數(shù)醫(yī)用機(jī)器人都公開了一個(gè)或多個(gè)可以通過計(jì)算機(jī)軟件、移動(dòng)應(yīng)用程序、互聯(lián)網(wǎng)服務(wù)等遠(yuǎn)程訪問的服務(wù)。這些服務(wù)包括復(fù)雜和關(guān)鍵的功能，如編程機(jī)器人和接收外部命令，以及返回基本機(jī)器人信息等簡(jiǎn)單的功能。如果找到不需要用戶名和密碼的關(guān)鍵機(jī)器人服務(wù)，允許任何人遠(yuǎn)程訪問這些服務(wù)。在某些情況下，則可以繞過身份驗(yàn)證，從而允許在沒有正確密碼的情況下進(jìn)行訪問。這是目前最關(guān)鍵的問題之一，即系統(tǒng)忽略用戶身份驗(yàn)證，致使非授權(quán)用戶遠(yuǎn)程入侵醫(yī)用機(jī)器人[9]。

1.3 缺少授權(quán)問題

醫(yī)用機(jī)器人操作系統(tǒng)中所有robot 功能應(yīng)僅可由具有適當(dāng)權(quán)限的授權(quán)用戶或資源訪問。如果未正確實(shí)現(xiàn)授權(quán)，則未經(jīng)授權(quán)的攻擊者可能會(huì)濫用robot 功能[10]。大多數(shù)醫(yī)用機(jī)器人不需要足夠的授權(quán)來保護(hù)其功能，包括在醫(yī)用機(jī)器人中安裝應(yīng)用程序、更新操作系統(tǒng)軟件等關(guān)鍵功能。這使得攻擊者能夠在未經(jīng)許可的情況下在醫(yī)用機(jī)器人中安裝軟件，并獲得對(duì)其的完全控制。

1.4 弱密碼問題

數(shù)據(jù)保護(hù)是確保完整性和隱私的關(guān)鍵。醫(yī)用機(jī)器人可以存儲(chǔ)敏感信息，包括密碼、密鑰、患者信息和系統(tǒng)設(shè)置，并將這些信息發(fā)送到移動(dòng)應(yīng)用程序、互聯(lián)網(wǎng)服務(wù)、計(jì)算機(jī)軟件等，這意味著必須對(duì)通信信道進(jìn)行加密，以避免數(shù)據(jù)泄露[11]。醫(yī)用機(jī)器人還可接收遠(yuǎn)程軟件更新，需要進(jìn)行適當(dāng)?shù)募用?，以確保這些更新是可信的，并且沒有被惡意軟件修改。但是當(dāng)前大多數(shù)醫(yī)用機(jī)器人要么沒有使用加密，要么使用不當(dāng)，將敏感數(shù)據(jù)暴露給潛在的攻擊者。

1.5 隱私問題

醫(yī)用機(jī)器人生態(tài)系統(tǒng)可以包括患者信息的獲取，這取決于醫(yī)用機(jī)器人及其預(yù)期用途。其中一些患者信息應(yīng)保密，不得與醫(yī)用機(jī)器人所有者以外的任何人共享。隱私信息包括個(gè)人信息、檢查診斷數(shù)據(jù)及與醫(yī)用機(jī)器人生態(tài)系統(tǒng)本身有關(guān)的數(shù)據(jù)。用戶應(yīng)該完全控制這些信息以及控制何時(shí)與誰共享。然而，醫(yī)用機(jī)器人的移動(dòng)應(yīng)用程序在未經(jīng)用戶同意的情況下向遠(yuǎn)程服務(wù)器發(fā)送私人信息，包括移動(dòng)網(wǎng)絡(luò)信息、設(shè)備信息和當(dāng)前GPS 位置。這些信息可以在用戶不知情的情況下用于監(jiān)視、跟蹤和竊取目的。醫(yī)用機(jī)器人還可以在沒有身份驗(yàn)證的情況下遠(yuǎn)程公開患者信息，允許任何人訪問[12]。

1.6 弱默認(rèn)配置問題

大多數(shù)醫(yī)用機(jī)器人都提供了一組功能，這些功能可以通過機(jī)器人中的軟件服務(wù)進(jìn)行訪問和編程。默認(rèn)情況下，應(yīng)安全配置這些功能，以便只有經(jīng)過授權(quán)的用戶才能訪問它們。它們還應(yīng)受到密碼保護(hù)，允許授權(quán)用戶啟用/禁用它們。當(dāng)前醫(yī)用機(jī)器人具有不安全的特性，這些特性不容易被禁用或保護(hù)，以及具有默認(rèn)密碼的特性，這些特性要么難以更改，要么根本無法更改。這意味著任何人都可能濫用醫(yī)用機(jī)器人的功能，因?yàn)槟J(rèn)密碼通常是公開的，或者由于機(jī)器人模型共享相同的默認(rèn)密碼，因此很容易獲得。

1.7 易受攻擊的開源框架和庫問題

大多數(shù)醫(yī)用機(jī)器人使用開源框架和庫。其中最流行的是機(jī)器人操作系統(tǒng)（Robot Operating System，ROS），用于多個(gè)供應(yīng)商的多個(gè)醫(yī)用機(jī)器人中。ROS 存在許多已知的網(wǎng)絡(luò)安全問題，例如明文通信、身份驗(yàn)證問題和弱授權(quán)方案。所有這些問題都使醫(yī)用機(jī)器人不安全。在醫(yī)用機(jī)器人研發(fā)領(lǐng)域，用于開發(fā)和編程的軟件框架、庫、操作系統(tǒng)都是開源共享的，這已經(jīng)成為行業(yè)內(nèi)的不變現(xiàn)象，事實(shí)上這些開源的軟件框架、庫、操作系統(tǒng)是存在安全隱患的，極容易被黑客利用，攻擊機(jī)器人本身[13]。

總之，并非所有的醫(yī)用機(jī)器人都會(huì)受到上面提到的每一個(gè)網(wǎng)絡(luò)安全問題的攻擊，也并非每個(gè)醫(yī)用機(jī)器人都會(huì)有網(wǎng)絡(luò)安全漏洞，但是網(wǎng)絡(luò)安全問題在醫(yī)用機(jī)器人領(lǐng)域應(yīng)當(dāng)?shù)玫阶銐虻闹匾?。可以看到醫(yī)用機(jī)器人界存在一個(gè)廣泛的問題：研究人員和制造商在世界范圍內(nèi)使用相同或非常相似的工具、軟件和設(shè)計(jì)實(shí)踐。例如，作為研究項(xiàng)目誕生的醫(yī)用機(jī)器人在沒有附加網(wǎng)絡(luò)安全保護(hù)的情況下成為醫(yī)療產(chǎn)品是很常見的；最終產(chǎn)品的安全狀況與研究或原型機(jī)器人保持不變。這種做法導(dǎo)致網(wǎng)絡(luò)安全防御不力，因?yàn)檠芯亢驮蜋C(jī)器人通常在設(shè)計(jì)和制造時(shí)很少或者根本沒有保護(hù)措施。醫(yī)用機(jī)器人網(wǎng)絡(luò)安全的缺失在現(xiàn)實(shí)生態(tài)中是顯而易見。

2 醫(yī)用機(jī)器人易受到網(wǎng)絡(luò)攻擊的方式

醫(yī)用機(jī)器人根據(jù)預(yù)期用途和場(chǎng)景不同有著不同的功能，功能越多，醫(yī)用機(jī)器人通常就越先進(jìn)和智能。但這些功能也會(huì)使醫(yī)用機(jī)器人更容易受到攻擊，更容易被攻擊者濫用。

近些年，醫(yī)用機(jī)器人制造商發(fā)布的產(chǎn)品，某些功能正在成為趨勢(shì)，這些共同的特性提高了可訪問性、可用性、互連性和可重用性，例如，帶有移動(dòng)應(yīng)用程序的實(shí)時(shí)遠(yuǎn)程控制。然而，從網(wǎng)絡(luò)安全的角度來看，這些特性中的許多都使醫(yī)用機(jī)器人更加脆弱，更易被攻擊，許多這些特征都存在著嚴(yán)重和很高風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全問題。其中一些可能被直接濫用，另一些則帶來嚴(yán)重威脅[14-15]。醫(yī)用機(jī)器人功能可能面臨的威脅和攻擊見表1。

表1 醫(yī)用機(jī)器人功能可能面臨的威脅和攻擊

3 改進(jìn)醫(yī)用機(jī)器人網(wǎng)絡(luò)安全能力

構(gòu)建安全的醫(yī)用機(jī)器人并不是一項(xiàng)簡(jiǎn)單的任務(wù)，制造商應(yīng)當(dāng)結(jié)合醫(yī)療機(jī)器人的預(yù)期用途、使用環(huán)境和核心功能以及相連設(shè)備或系統(tǒng)的情況來確定產(chǎn)品的網(wǎng)絡(luò)安全特性，并采用基于風(fēng)險(xiǎn)管理的方法來保證網(wǎng)絡(luò)安全：識(shí)別資產(chǎn)、威脅和脆弱性，評(píng)估威脅和脆弱性對(duì)于產(chǎn)品和患者的影響以及被利用的可能性，確定風(fēng)險(xiǎn)水平并采取適宜的風(fēng)險(xiǎn)緩解措施，基于風(fēng)險(xiǎn)接受準(zhǔn)則評(píng)估剩余風(fēng)險(xiǎn)。要進(jìn)行深入研究分析，有針對(duì)性地提出解決方案。

3.1 全生命周期安全性

醫(yī)用機(jī)器人一般是包含嵌入式軟件的，用于控制驅(qū)動(dòng)硬件設(shè)備等，制造商必須實(shí)現(xiàn)安全的軟件開發(fā)生命周期過程[16]。從軟件的需求分析、設(shè)計(jì)、開發(fā)、測(cè)試、維護(hù)、退市等階段均考慮引入網(wǎng)絡(luò)安全技術(shù)要素。制造商應(yīng)當(dāng)在醫(yī)用機(jī)器人整個(gè)生命周期過程中持續(xù)關(guān)注網(wǎng)絡(luò)安全問題，包括產(chǎn)品的設(shè)計(jì)開發(fā)、生產(chǎn)、分銷、部署和維護(hù)。同時(shí)，制造商應(yīng)當(dāng)結(jié)合自身質(zhì)量管理體系的要求和醫(yī)療器械產(chǎn)品特點(diǎn)來保證產(chǎn)品的網(wǎng)絡(luò)安全，包括上市前和上市后的相關(guān)要求，如風(fēng)險(xiǎn)管理、設(shè)計(jì)開發(fā)、網(wǎng)絡(luò)安全維護(hù)及用戶告知等要求。此外，制造商可采用信息安全領(lǐng)域的良好工程實(shí)踐來完善醫(yī)用機(jī)器人的網(wǎng)絡(luò)安全管理，保證產(chǎn)品的安全性和有效性。一般從六個(gè)階段進(jìn)行相關(guān)安全活動(dòng)，見表2。

表2 安全活動(dòng)和描述

3.2 加密

從醫(yī)用機(jī)器人的安全角度，制造商必須要考慮數(shù)據(jù)加密問題，包括存儲(chǔ)加密和傳輸加密。制造商要保證儲(chǔ)存在醫(yī)用機(jī)器人存儲(chǔ)設(shè)備上的數(shù)據(jù)是安全的?；陲L(fēng)險(xiǎn)分析，必須考慮對(duì)存儲(chǔ)在產(chǎn)品上的數(shù)據(jù)進(jìn)行加密。加密可以保護(hù)臨床用戶、提供服務(wù)和收集臨床數(shù)據(jù)的應(yīng)用程序工程師的機(jī)密性/完整性。應(yīng)使用一種與傳統(tǒng)使用、服務(wù)訪問、緊急訪問一致的加密密鑰管理機(jī)制。加密方法和強(qiáng)度考慮了數(shù)據(jù)的容量(記錄收集/聚合的程度)和靈敏度。應(yīng)根據(jù)醫(yī)用機(jī)器人的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)。

對(duì)于傳輸?shù)谋Ｃ苄裕圃焐瘫仨氄_加密醫(yī)用機(jī)器人通信和軟件更新，醫(yī)用機(jī)器人與外部軟件和硬件進(jìn)行數(shù)據(jù)交換時(shí)，務(wù)必使用加密技術(shù)，傳輸前使用相關(guān)算法進(jìn)行加密，傳輸結(jié)束后進(jìn)行解密，保證數(shù)據(jù)在鏈路上加密傳輸；對(duì)于醫(yī)用機(jī)器人內(nèi)部軟件的更新應(yīng)采取加密機(jī)制，對(duì)于授權(quán)用戶進(jìn)行軟件更新時(shí)應(yīng)采用密碼驗(yàn)證的方式，同時(shí)密碼應(yīng)動(dòng)態(tài)更新，防止硬編碼的情況出現(xiàn)。例如，主從式醫(yī)用機(jī)器人數(shù)據(jù)傳輸采取AES+Base64 加密方式，即采用對(duì)稱加密的方式，主手將指令數(shù)據(jù)使用密鑰將明文數(shù)據(jù)加密成密文，然后發(fā)送出去，接收方收到密文后，使用同一個(gè)密鑰將密文解密成明文讀取。

3.3 認(rèn)證和授權(quán)

制造商應(yīng)對(duì)醫(yī)用機(jī)器人進(jìn)行經(jīng)過身份驗(yàn)證的單個(gè)用戶進(jìn)行標(biāo)識(shí)，授權(quán)功能允許每個(gè)用戶僅有訪問已批準(zhǔn)的數(shù)據(jù)權(quán)利，并僅在產(chǎn)品上執(zhí)行已批準(zhǔn)的功能。授權(quán)用戶包括注冊(cè)申請(qǐng)人安全控制人員和該策略定義的服務(wù)人員。軟件功能通常支持基于許可的系統(tǒng)，提供對(duì)注冊(cè)申請(qǐng)人安全控制人員中個(gè)人角色(基于角色的訪問控制)適當(dāng)?shù)南到y(tǒng)功能和數(shù)據(jù)的訪問。例如，操作者可使用所有適當(dāng)?shù)尼t(yī)用機(jī)器人功能執(zhí)行指定的工作，管理員可使用操作者管理、產(chǎn)品維護(hù)等功能。

制造商必須確保只有授權(quán)用戶才能訪問醫(yī)用機(jī)器人服務(wù)和功能。確保醫(yī)用機(jī)器人的使用者、管理者、維護(hù)者、擁有者得到合適的授權(quán)是重要的風(fēng)險(xiǎn)控制手段。用戶權(quán)限的管理可以提升保密性、完整性與可核查性。以一種方式管理賬戶以保護(hù)產(chǎn)品數(shù)據(jù)訪問的能力，操作者可能需要將個(gè)人首選項(xiàng)與操作者賬戶關(guān)聯(lián)。這可能有助于多個(gè)運(yùn)營(yíng)商、部門，甚至多個(gè)使用的醫(yī)用機(jī)器人和系統(tǒng)?？刂茖?duì)產(chǎn)品、網(wǎng)絡(luò)資源和健康數(shù)據(jù)的訪問，并生成不可否認(rèn)的審計(jì)跟蹤[17]。

3.4 工廠恢復(fù)

制造商必須提供將醫(yī)用機(jī)器人恢復(fù)到其出廠設(shè)置狀態(tài)的方法。醫(yī)用機(jī)器人被攻擊后可能導(dǎo)致惡意軟件或腳本的注入，使得機(jī)器人的全部或部分功能失去控制，從而導(dǎo)致臨床使用的巨大風(fēng)險(xiǎn)，恢復(fù)出廠設(shè)置可以將醫(yī)用機(jī)器人各參數(shù)恢復(fù)到出廠狀態(tài)，刪除惡意軟件和腳本，醫(yī)用機(jī)器人重新恢復(fù)使用。此外工廠恢復(fù)應(yīng)該將醫(yī)用機(jī)器人存儲(chǔ)介質(zhì)上的數(shù)據(jù)進(jìn)行覆蓋刪除，應(yīng)避免數(shù)據(jù)在被清除之后被重新恢復(fù)。

3.5 默認(rèn)安全

制造商必須確保醫(yī)用機(jī)器人的默認(rèn)配置是安全的。應(yīng)當(dāng)保證醫(yī)用機(jī)器人出廠前默認(rèn)設(shè)置是安全的，比如，端口的開放，安全傳輸協(xié)議，加密格式存儲(chǔ)等設(shè)置應(yīng)保證安全。應(yīng)合理保證儲(chǔ)存在醫(yī)用機(jī)器人存儲(chǔ)介質(zhì)上的數(shù)據(jù)是和保持安全的方式與設(shè)備上數(shù)據(jù)記錄的靈敏度和容量成比例。系統(tǒng)合理地避免了可能危及完整性、保密性或可用性的篡改或組件刪除。篡改(包括設(shè)備移除)是可以檢測(cè)到的。應(yīng)根據(jù)醫(yī)用機(jī)器人的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)。

醫(yī)用機(jī)器人的默認(rèn)安全能力應(yīng)該考慮網(wǎng)絡(luò)安全配置能力，管理員能夠選擇使用產(chǎn)品安全功能，包括與安全能力控制交互的特權(quán)管理方面，同時(shí)也應(yīng)考慮網(wǎng)絡(luò)安全升級(jí)能力，根據(jù)客觀的、權(quán)威的、文檔化的漏洞風(fēng)險(xiǎn)評(píng)估，優(yōu)先考慮解決高風(fēng)險(xiǎn)漏洞的補(bǔ)丁。要求醫(yī)用機(jī)器人制造商和醫(yī)療服務(wù)提供商確保其產(chǎn)品持續(xù)安全和有效的臨床功能。

3.6 保障供應(yīng)鏈安全

制造商應(yīng)確保其醫(yī)用機(jī)器人系統(tǒng)所有技術(shù)供應(yīng)商以最佳實(shí)踐實(shí)施網(wǎng)絡(luò)安全。醫(yī)用機(jī)器人是個(gè)系統(tǒng)工程，其中包括機(jī)械、電氣、軟件等多個(gè)子系統(tǒng)組成，只有在子系統(tǒng)設(shè)計(jì)時(shí)充分考慮網(wǎng)絡(luò)安全要素，子系統(tǒng)集成時(shí)才能做到系統(tǒng)級(jí)的安全。例如在醫(yī)用機(jī)器人的軟件組件設(shè)計(jì)時(shí)使用不安全或已遭棄用的軟件組件和庫，將導(dǎo)致產(chǎn)品被攻陷，組件包括操作系統(tǒng)平臺(tái)的不安全定制以及使用來自受損的第三方軟件或硬件組件。第三方組件作為整體醫(yī)療器械的一部分，責(zé)任方若對(duì)此類組件不知情，則不利于此類組件未來的網(wǎng)絡(luò)安全管理，也不利于未來網(wǎng)絡(luò)安全事件的責(zé)任劃分，可能導(dǎo)致不可接受的風(fēng)險(xiǎn)。

3.7 漏洞披露

制造商應(yīng)具有報(bào)告網(wǎng)絡(luò)安全問題的清晰溝通渠道，并明確確定負(fù)責(zé)適當(dāng)處理報(bào)告的個(gè)人或團(tuán)隊(duì)。目的是為了建立漏洞管理機(jī)制，提醒其他制造商在進(jìn)行產(chǎn)品研發(fā)時(shí)參考，彌補(bǔ)漏洞。

例如，美國(guó)食品藥品監(jiān)督管理局（Food and Drug Administration，F(xiàn)DA）早在好幾年之前就已經(jīng)向醫(yī)療領(lǐng)域發(fā)出了醫(yī)療設(shè)備極易遭到網(wǎng)絡(luò)攻擊的警告。這樣的擔(dān)心顯然非常有必要，據(jù)悉，研究人員已經(jīng)成功攻破過醫(yī)用機(jī)器人、心臟除顫器、心臟起搏器、胰島素泵等醫(yī)療設(shè)備，并對(duì)其實(shí)施遠(yuǎn)程控制。除了設(shè)備之外，病人的醫(yī)療信息也是網(wǎng)絡(luò)攻擊的重要對(duì)象之一。美國(guó)FDA 建議，各大制造商還應(yīng)當(dāng)聯(lián)合起來建立一個(gè)信息共享與分析組織(Information Sharing and Analysis Organization，ISAO)以此來分享重要的安全威脅和應(yīng)對(duì)措施。此外，美國(guó)FDA 還建議，大部分用于解決網(wǎng)絡(luò)安全漏洞問題的補(bǔ)丁和更新將不需要每次都上報(bào)給他們，除非出現(xiàn)了死亡或非常嚴(yán)重的醫(yī)療事件。不過這些信息必須要在發(fā)現(xiàn)漏洞的30 天內(nèi)告知消費(fèi)者和設(shè)備使用者，而漏洞必須要在60 天修復(fù)，同時(shí)這些信息也有必要分享給ISAO。如此的漏洞披露機(jī)制緩解了醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)[18]。

3.8 安全審計(jì)

制造商應(yīng)確保在投入生產(chǎn)之前對(duì)醫(yī)用機(jī)器人的所有生態(tài)系統(tǒng)組件進(jìn)行完整的安全評(píng)估。這種安全評(píng)估包括產(chǎn)品的測(cè)試和驗(yàn)證，同時(shí)包括生產(chǎn)活動(dòng)和質(zhì)量文件的檢查。

通過在醫(yī)用機(jī)器人上創(chuàng)建審計(jì)跟蹤來跟蹤系統(tǒng)和數(shù)據(jù)訪問、修改或刪除，從而記錄和檢查系統(tǒng)活動(dòng)的能力。支持將日志記錄信息作為獨(dú)立存儲(chǔ)庫(在其自己的文件系統(tǒng)中記錄審計(jì)文件)使用[19]。使用適當(dāng)?shù)膶徲?jì)審查工具支持審計(jì)創(chuàng)建和維護(hù)，確保審核資料的安全(特別是在這些資料本身含有個(gè)人資料的情況下)，并確保無法編輯或刪除審計(jì)數(shù)據(jù)。審計(jì)數(shù)據(jù)包含個(gè)人數(shù)據(jù)和/或設(shè)備數(shù)據(jù)，所有處理(例如存取、儲(chǔ)存和轉(zhuǎn)移)都應(yīng)該有適當(dāng)?shù)目刂啤?yīng)根據(jù)醫(yī)用機(jī)器人的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證。

4 討論與總結(jié)

從改進(jìn)醫(yī)用機(jī)器人的網(wǎng)絡(luò)安全能力目的出發(fā)，分別從全生命周期安全性、加密、認(rèn)證和授權(quán)、工廠恢復(fù)、默認(rèn)安全、保障供應(yīng)鏈安全、漏洞披露、安全審計(jì)八個(gè)方面提出了緩解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的措施，并做舉例說明，一定程度上避免了醫(yī)用機(jī)器人在臨床使用過程中被攻擊或被控制，但是網(wǎng)絡(luò)安全技術(shù)是一項(xiàng)迭代較快的技術(shù)，緩解措施應(yīng)當(dāng)動(dòng)態(tài)變化，不應(yīng)一成不變，墨守成規(guī)。

伴隨著醫(yī)用機(jī)器人逐步深入社會(huì)生活中，網(wǎng)絡(luò)安全問題必須得到足夠的重視，以避免潛在的嚴(yán)重后果，許多網(wǎng)絡(luò)安全問題本來可以通過實(shí)施眾所周知的網(wǎng)絡(luò)安全來預(yù)防[20]。醫(yī)用機(jī)器人制造商應(yīng)立即采取措施保證網(wǎng)絡(luò)安全。

新技術(shù)通常容易出現(xiàn)安全問題，因?yàn)橹圃焐虄?yōu)先考慮上市時(shí)間而不是安全測(cè)試。我們已經(jīng)看到，醫(yī)用機(jī)器人制造商正面臨越來越多的網(wǎng)絡(luò)安全問題。這通常是在產(chǎn)品生命周期開始時(shí)不考慮網(wǎng)絡(luò)安全的結(jié)果；在產(chǎn)品發(fā)布后，修復(fù)漏洞變得更加復(fù)雜和昂貴。希望本文能為醫(yī)用機(jī)器人廠商開始認(rèn)真對(duì)待網(wǎng)絡(luò)安全敲響警鐘[21]。