FDA批准新的醫療器械漏洞評分工具

通用漏洞評分系統（CVSS）被用於標定IT系統漏洞的嚴重程度，可是在某些領域（如工業控制系統或醫療設備）可能不那麼重要。

這就是爲何FDA與MITRE公司簽約開發專用規則/工具，來評估醫療設備漏洞CVSS分數的緣由。MITRE去年完成了開發工做，本週FDA宣佈該工具已得到醫療器械開發工具（MDDT）資格。MDDT項目被用來幫助組織鑑定可用於開發和評估醫療設備的工具。

FDA認爲，MITRE開發的專用工具將CVSS（以及CVSS v3.0）應用於醫療設備，「能夠爲風險評估和涉及安全漏洞披露的全部各方之間的交流提供一個通用框架，尤爲是在討論其嚴重性和緊迫性時。」

位於紐約的醫療網絡安全公司CyberMDX的研究主管Elad Luz認爲，FDA對該工具的承認意味着「醫療設備供應商能夠與FDA有了可供溝通的設備評分標準，以進行售前安全和風險評估。」

在過去的一年中，CyberMDX已經發現了十多個醫療設備中的漏洞，而且指出CVSS在醫療設備上的侷限性。例如，去年在GE Healthcare的某些醫院麻醉設備中發現的漏洞，其CVSS評分僅爲5.3，可是正如供應商自己所認可的那樣，對該漏洞的利用給患者帶來了直接風險，其嚴重度其實很是高。

Luz解釋說：「（一些評分低的漏洞）的嚴重性未獲得很高的評分，由於不能執行遠程代碼或遠程訪問信息，而只能遠程更改有限的特定功能。」「問題是，若是從醫療角度看，無需遠程控制已經足以形成嚴重威脅。」

參考資料

FDA與MITRE公司簽約開發專用規則/工具：

https://www.mitre.org/publications/technical-papers/rubric-for-applying-cvss-to-medical-devices