美國FDA批准醫療設備漏洞評分系統

美國食品暨藥物管理局(Food and Drug Administration, FDA)已批准使用由非營利組織MITRE Corporation專為醫療設備設計之新漏洞評分系統,用於評估醫療設備漏洞之嚴重程度。

 

現有通用漏洞評分系統(Common Vulnerability Scoring System, CVSS),由美國國家基礎建設諮詢委員會(National Infrastructure Advisory Council, NIAC)訂定,為一套公開評鑑標準,旨在評斷漏洞嚴重程度。然而CVSS主要用於評估企業資訊科技系統之安全性,無法充分反映臨床環境與潛在影響患者之嚴重性。

 

對此,醫療產業資安服務公司CyberMDX表示,過去一年,CyberMDX已發現10幾個醫療設備漏洞,並指出 CVSS於醫療設備上之侷限性。如2019年發現之麻醉設備漏洞CVE-2019-10966,其CVSS評分僅爲5.3,然而若攻擊者利用該漏洞,將會直接影響患者性命,其嚴重程度其實非常高。

 

有鑑於此,FDA委託MITRE Corporation開發專為醫療設備設計之新漏洞評分系統,將現有之CVSS應用於醫療設備,並以漏洞對患者之影響程度為主要評估考量。新漏洞評分系統讓醫療設備供應商與FDA有了可供溝通之設備評分標準,以進行售前安全與風險評估。

Reference

資料來源:

https://www.mitre.org/publications/technical-papers/rubric-for-applying-cvss-to-medical-devices

https://www.securityweek.com/fda-approves-use-new-tool-medical-device-vulnerability-scoring

FDA vulnerability grading system proves all risk not created equal