FDA批准新的医疗器械漏洞评分工具

通用漏洞评分系统（CVSS）被用于标定IT系统漏洞的严重程度，可是在某些领域（如工业控制系统或医疗设备）可能不那么重要。

这就是为何FDA与MITRE公司签约开发专用规则/工具，来评估医疗设备漏洞CVSS分数的缘由。MITRE去年完成了开发工做，本周FDA宣布该工具已得到医疗器械开发工具（MDDT）资格。MDDT项目被用来帮助组织鉴定可用于开发和评估医疗设备的工具。

FDA认为，MITRE开发的专用工具将CVSS（以及CVSS v3.0）应用于医疗设备，“能够为风险评估和涉及安全漏洞披露的全部各方之间的交流提供一个通用框架，尤为是在讨论其严重性和紧迫性时。”

位于纽约的医疗网络安全公司CyberMDX的研究主管Elad Luz认为，FDA对该工具的承认意味着“医疗设备供应商能够与FDA有了可供沟通的设备评分标准，以进行售前安全和风险评估。”

在过去的一年中，CyberMDX已经发现了十多个医疗设备中的漏洞，而且指出CVSS在医疗设备上的局限性。例如，去年在GE Healthcare的某些医院麻醉设备中发现的漏洞，其CVSS评分仅为5.3，可是正如供应商自己所认可的那样，对该漏洞的利用给患者带来了直接风险，其严重度其实很是高。

Luz解释说：“（一些评分低的漏洞）的严重性未获得很高的评分，由于不能执行远程代码或远程访问信息，而只能远程更改有限的特定功能。”“问题是，若是从医疗角度看，无需远程控制已经足以形成严重威胁。”

参考资料

FDA与MITRE公司签约开发专用规则/工具：

https://www.mitre.org/publications/technical-papers/rubric-for-applying-cvss-to-medical-devices