2024有源医疗器械创新论坛浅谈FDA推荐使用的医疗器械CVSS标准

2024-11-20

2024有源医疗器械创新论坛指出，CVSS是一种普遍适用的风险评分框架，广泛用于IT和信息安全领域，帮助企业评估并优先处理各类漏洞。然而，CVSS的评分机制主要从信息安全角度出发，对于医疗器械中“患者安全”这一关键因素的考虑较为不足。在医疗器械领域，网络风险评估不仅关乎信息的机密性、完整性和可用性，还直接影响患者的生命安全和健康。因此，CVSS在医疗环境中的单独应用显然存在一定局限。《Rubric for Applying CVSS to Medical Devices》是FDA推荐的用于医疗器械的网络安全风险评估标准，帮助企业更加有效地将CVSS（通用漏洞评分系统）应用到医疗设备的特殊环境中。通过该指南，医疗器械企业可以将网络安全与设备安全性评估紧密结合，以满足复杂的医疗环境中安全与合规的双重需求。

标准原文可以到MITRE官网免费下载：https://www.mitre.org/news-insights/publication/rubric-applying-cvss-medical-devices

CVSS用于医疗器械风险评估的不足

医疗器械行业中的网络风险评估需要覆盖独特的安全需求，单靠CVSS在传统信息安全中的评估模式并不足以满足需求。CVSS设计之初并未考虑患者健康风险，因此它在测量医疗器械风险时常常显得不够全面。具体来说，CVSS关注的是漏洞在信息安全层面的危害，如数据的保密性，完整性，可得性维度，而在医疗器械中，设备的网络故障可能直接威胁患者安全。2024有源医疗器械创新论坛认为，仅使用CVSS会忽视某些因设备特性和临床环境而存在的特殊风险，这使得CVSS在医疗器械风险管理中的适用性受到限制。

MITRE引入的补充性标准

为弥补CVSS在医疗器械应用中的不足，MITRE开发了一种补充性标准，将CVSS与医疗设备的患者安全风险相结合，形成更适用于医疗场景的评估方法。2024有源医疗器械创新论坛了解到，MITRE的标准旨在引入患者安全维度，通过调整评分权重，将医疗环境中因设备故障可能导致的风险量化评估。这样，医疗器械制造商在进行网络风险评估时，可以更全面地理解漏洞对设备操作和患者安全的潜在影响，并据此采取适当的应对措施。

其中提及了如何将CVSS与患者安全相结合的关键方法

MITRE的补充标准通过多个方面将CVSS和患者安全因素结合，以创建一个更符合医疗器械特性和安全需求的评分系统：

扩展CVSS指标：在现有的CVSS指标上，增加了患者安全相关的指标。例如，不仅考虑漏洞可能引起的信息安全问题，还关注漏洞是否可能造成设备误操作、功能失效甚至危及患者生命的风险。这种扩展使得CVSS的评分结果更能体现医疗设备使用中的实际安全性。
患者影响评估：MITRE标准特别强调网络漏洞对患者安全的影响，在评分中加入了具体的患者影响因素。例如，在分析漏洞时，评估标准会考察该漏洞是否可能导致设备无法正常工作或错误地处理患者数据。这一调整使得评分更贴近真实的临床风险，帮助企业将风险优先级与患者安全关联起来。
分级风险管理：MITRE标准采用了多层次的风险分级体系，使得医疗器械制造商可以区分不同等级的风险事件。这样，医疗器械企业不仅能够根据风险等级对漏洞进行优先级划分，还可以更好地理解设备可能面临的具体安全威胁。

评分机制解析

MITRE的补充评分机制在传统CVSS的基础上，融入了更多与患者安全直接相关的考量因素，从而构建了更贴近医疗器械风险特征的评分框架。以下是MITRE标准中评分机制的详细解析：

1. 患者安全影响的引入

在CVSS评分体系中，传统的影响维度通常包括机密性、完整性和可用性，三者被称为CIA三要素。而MITRE的评分机制在此基础上增加了“患者安全”这一维度。这意味着，当评估漏洞的潜在影响时，不仅考量该漏洞是否会影响数据安全，还特别关注该漏洞对患者的健康和安全可能产生的威胁。

患者直接影响：评分中增加了对“患者直接风险”的评估标准，例如若设备因漏洞故障导致错误的医疗数据传输或处理不当，这种情况下可能直接威胁患者健康，评分将显著提高。
安全优先级调整：若漏洞可能导致设备失效、误操作或直接危及患者安全，评分系统会自动提升该漏洞的严重程度，使得这些高风险漏洞在修复计划中拥有更高的优先级。

2. 操作环境的考虑

MITRE标准引入了操作环境的概念，针对不同医疗场景进行风险评估。例如，一台用于ICU（重症监护室）的生命体征监测设备，其故障或失效可能直接危及患者生命。因此，MITRE标准会根据设备在不同场景中的操作环境，动态调整评分权重：

环境依赖：评估标准考虑设备的使用场景，比如重症监护、手术室或门诊等，每种环境的风险阈值不同。在重症监护室中，任何可能导致设备失效的漏洞都将被视为高风险。
设备功能差异：MITRE评分机制会区分关键设备和非关键设备，如输液泵、除颤器等关键设备的评分权重高于非关键设备，这样能更好地反映设备在不同环境下的安全需求。

3. 影响维度的加权评分

MITRE评分机制中，针对每一项影响（如CIA三要素和患者安全），都引入了加权评分系统，使得评分能更加贴合医疗设备的安全需求。具体如下：

机密性影响：如果漏洞可能导致患者数据泄露或未经授权的访问，评分会增加。对于医疗设备，机密性不仅指数据安全，还包含患者的隐私保护。
完整性影响：MITRE评分特别关注数据完整性是否被破坏，例如病历数据被篡改或错输，这类事件将严重影响诊断和治疗结果，因此在评分时加权处理。
可用性影响：在医疗器械环境中，设备的可用性尤为重要，若漏洞可能导致设备失效或无法正常运行，评分将显著增加。这一维度的加权是基于设备的重要性和环境使用的严苛程度来决定的。
患者安全权重：这是MITRE评分的核心，通过对患者安全权重的提升，MITRE标准将会对具有“直接患者安全影响”的漏洞设置更高的评分门槛，以确保高风险漏洞优先得到处理。

4. 分级风险管理

MITRE评分机制还为医疗器械企业提供了分级风险管理的参考框架，以帮助企业合理分配资源和确定优先级：

高风险级别：任何评分达到高风险阈值的漏洞，将会优先进入修复流程，并根据患者安全权重进行优先级排序。例如，涉及患者直接安全的漏洞会自动进入最高级别的风险处置流程。
中风险级别：对于评分在中等范围的漏洞，企业可根据设备的具体用途和患者安全需求，安排修复计划，这类漏洞的影响通常较为间接或在非关键设备中发生。
低风险级别：评分较低的漏洞，通常影响较小且不涉及患者直接安全，这类漏洞可以安排在定期维护周期中处理。

5. 评分示例分析

MITRE评分机制的实用性通过一系列评分示例得以体现。以下是两个典型的评分情景：

情景一：重症监护设备的高危漏洞
假设一个漏洞可能导致ICU监护设备无法读取患者生命体征，此情境下，由于设备使用环境为高风险区域，且涉及患者安全，评分将大幅度增加。MITRE机制会考虑到此类关键设备在漏洞发生时的潜在危害性，给予更高的权重和优先级。
情景二：普通门诊设备的中低风险漏洞
假设该漏洞出现在门诊的非关键设备中，且漏洞的影响仅为短时的数据延迟或误读，此类场景下评分会较低，且不会立即引发严重的患者安全风险。MITRE评分机制在这种情况下会优先考虑设备的低影响性和场景的低风险性

有源医疗设备展Medtec现场将设四大专区，囊括电子光学、AI、IVD诊断及影像、检测、临床、法规、研发设计& 大动物实验专区等展品，点击此处报名参展>>>

后记

企业在具体使用上存在较高复杂度和实际应用的挑战

笔者在读完这个标准后，能明显的感觉到融入企业体系具备一定的实操难度，由于Rubric标准中结合了传统CVSS的网络安全框架和医疗设备的特定安全需求，使用者需在一定程度上具备医疗设备的专业知识和网络安全基础。其使用难度主要体现在：

专业性要求：Rubric的评分机制要求企业的安全团队熟悉医疗设备的具体操作及其在不同临床场景下的影响，传统网络安全人员可能需要额外培训。
设备环境适应性：不同设备的使用环境、技术背景各不相同，Rubric的评分需要安全人员在每次评估时依据设备具体场景进行细化判断，这加大了使用者的工作量和技术要求。
高标准的细化评分要求：Rubric在细节上与传统CVSS评分略有差异，这需要企业在评分过程中进行严格的参数定义，适应每种设备的风险等级变化。

但其仍然具备一定的参考价值

对于医疗器械企业而言，《Rubric for Applying CVSS to Medical Devices》不仅为医疗设备的网络安全提供了更具针对性的标准，还进一步促进了设备的整体安全管理。企业可借助该指南，使安全评估不仅覆盖网络威胁，也对设备的实际使用过程带来更全面的保障。这为满足日益严格的法规要求提供了工具支持。

文章来源：东龙知行