FDA批準新的醫療器械漏洞評分工具
責編:gltian |2020-10-26 10:59:12通用漏洞評分系統(CVSS)被用于標定IT系統漏洞的嚴重程度,但是在某些領域(如工業控制系統或醫療設備)可能不那么重要。
這就是為什么FDA與MITRE公司簽約開發專用規則/工具,來評估醫療設備漏洞CVSS分數的原因。MITRE去年完成了開發工作,本周FDA宣布該工具已獲得醫療器械開發工具
(MDDT)資格。MDDT項目被用來幫助組織鑒定可用于開發和評估醫療設備的工具。
FDA認為,MITRE開發的專用工具將CVSS(以及CVSS v3.0)應用于醫療設備,“可以為風險評估和涉及安全漏洞披露的所有各方之間的交流提供一個通用框架,尤其是在討論
其嚴重性和緊迫性時。”
位于紐約的醫療網絡安全公司CyberMDX的研究主管Elad Luz認為,FDA對該工具的認可意味著“醫療設備供應商可以與FDA有了可供溝通的設備評分標準,以進行售前安全和
風險評估。”
在過去的一年中,CyberMDX已經發現了十多個醫療設備中的漏洞,并且指出CVSS在醫療設備上的局限性。例如,去年在GE Healthcare的某些醫院麻醉設備中發現的漏洞,其
CVSS評分僅為5.3,但是正如供應商本身所承認的那樣,對該漏洞的利用給患者帶來了直接風險,其嚴重度其實非常高。
Luz解釋說:“(一些評分低的漏洞)的嚴重性未得到很高的評分,因為不能執行遠程代碼或遠程訪問信息,而只能遠程更改有限的特定功能。”“問題是,如果從醫療角度
看,無需遠程控制已經足以造成嚴重威脅。”
參考資料
FDA與MITRE公司簽約開發專用規則/工具:
https://www.mitre.org/publications/technical-papers/rubric-for-applying-cvss-to-medical-devices