美國FDA批准醫療設備漏洞評分系統

• 發布日期：109-11-27
• 發布單位：刑事警察大隊

參考網站：
行政院國家資通安全會報技術服務中心  美國FDA批准醫療設備漏洞評分系統
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16471

美國食品暨藥物管理局(Food and Drug Administration, FDA)已批准使用由非營利組織MITRE Corporation專為醫療設備設計之新漏洞評分系統，用於評估醫療設備漏洞之嚴重程度。
現有通用漏洞評分系統(Common Vulnerability Scoring System, CVSS)，由美國國家基礎建設諮詢委員會(National Infrastructure Advisory Council, NIAC)訂定，為一套公開評鑑標準，旨在評斷漏洞嚴重程度。然而CVSS主要用於評估企業資訊科技系統之安全性，無法充分反映臨床環境與潛在影響患者之嚴重性。
對此，醫療產業資安服務公司CyberMDX表示，過去一年，CyberMDX已發現10幾個醫療設備漏洞，並指出 CVSS於醫療設備上之侷限性。如2019年發現之麻醉設備漏洞CVE-2019-10966，其CVSS評分僅爲5.3，然而若攻擊者利用該漏洞，將會直接影響患者性命，其嚴重程度其實非常高。
有鑑於此，FDA委託MITRE Corporation開發專為醫療設備設計之新漏洞評分系統，將現有之CVSS應用於醫療設備，並以漏洞對患者之影響程度為主要評估考量。新漏洞評分系統讓醫療設備供應商與FDA有了可供溝通之設備評分標準，以進行售前安全與風險評估。