FDA批准新的医疗器械漏洞评分工具CVSS

通用漏洞评分系统（Common Vulnerability Scoring System，CVSS）被用于标定IT系统漏洞的严重程度，但是在某些领域（如工业控制系统或医疗设备）可能不那么重要。

这就是为什么FDA与MITRE公司签约开发专用规则/工具，来评估医疗设备漏洞CVSS分数的原因。MITRE去年完成了开发工作，本周FDA宣布该工具已获得医疗器械开发工具（MDDT）资格。MDDT项目被用来帮助组织鉴定可用于开发和评估医疗设备的工具。

FDA认为，MITRE开发的专用工具将CVSS（以及CVSS v3.0）应用于医疗设备，“可以为风险评估和涉及安全漏洞披露的所有各方之间的交流提供一个通用框架，尤其是在讨论其严重性和紧迫性时。”

位于纽约的医疗网络安全公司CyberMDX的研究主管Elad Luz认为，FDA对该工具的认可意味着“医疗设备供应商可以与FDA有了可供沟通的设备评分标准，以进行售前安全和风险评估。”

在过去的一年中，CyberMDX已经发现了十多个医疗设备中的漏洞，并且指出CVSS在医疗设备上的局限性。例如，去年在GE Healthcare的某些医院麻醉设备中发现的漏洞，其CVSS评分仅为5.3，但是正如供应商本身所承认的那样，对该漏洞的利用给患者带来了直接风险，其严重度其实非常高。

Luz解释说：“（一些评分低的漏洞）的严重性未得到很高的评分，因为不能执行远程代码或远程访问信息，而只能远程更改有限的特定功能。”“问题是，如果从医疗角度看，无需远程控制已经足以造成严重威胁。”

FDA与MITRE公司签约开发专用规则/工具：

https://www.mitre.org/publications/technical-papers/rubric-for-applying-cvss-to-medical-devices