按Enter到主內容區

美國FDA批准醫療設備漏洞評分系統

  • 發布日期:109-11-27
  • 發布單位:刑事警察大隊

參考網站:
行政院國家資通安全會報技術服務中心  美國FDA批准醫療設備漏洞評分系統
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16471


美國食品暨藥物管理局(Food and Drug Administration, FDA)已批准使用由非營利組織MITRE Corporation專為醫療設備設計之新漏洞評分系統,用於評估醫療設備漏洞之嚴重程度。
現有通用漏洞評分系統(Common Vulnerability Scoring System, CVSS),由美國國家基礎建設諮詢委員會(National Infrastructure Advisory Council, NIAC)訂定,為一套公開評鑑標準,旨在評斷漏洞嚴重程度。然而CVSS主要用於評估企業資訊科技系統之安全性,無法充分反映臨床環境與潛在影響患者之嚴重性。
對此,醫療產業資安服務公司CyberMDX表示,過去一年,CyberMDX已發現10幾個醫療設備漏洞,並指出 CVSS於醫療設備上之侷限性。如2019年發現之麻醉設備漏洞CVE-2019-10966,其CVSS評分僅爲5.3,然而若攻擊者利用該漏洞,將會直接影響患者性命,其嚴重程度其實非常高。
有鑑於此,FDA委託MITRE Corporation開發專為醫療設備設計之新漏洞評分系統,將現有之CVSS應用於醫療設備,並以漏洞對患者之影響程度為主要評估考量。新漏洞評分系統讓醫療設備供應商與FDA有了可供溝通之設備評分標準,以進行售前安全與風險評估。