Administrasi Makanan dan Obat-obatan AS (FDA) minggu ini mengumumkan bahwa mereka telah menyetujui penggunaan rubrik baru yang dirancang khusus oleh MITER Corporation untuk menetapkan skor CVSS ke kerentanan yang ditemukan di perangkat medis.
Sistem Penilaian Kerentanan Umum (CVSS) pada awalnya dirancang untuk menyampaikan tingkat keparahan kerentanan yang ditemukan dalam sistem TI, dan mungkin tidak begitu relevan di beberapa area, seperti sistem kontrol industri (ICS) atau perangkat medis.
Program MDDT memungkinkan rumah sakit untuk memenuhi syarat alat yang dapat digunakan dalam pengembangan dan evaluasi alat kesehatan. Agar alat memenuhi syarat, alat tersebut harus dievaluasi oleh FDA, yang harus setuju bahwa alat tersebut “menghasilkan pengukuran yang masuk akal secara ilmiah dan berfungsi sebagaimana dimaksud dalam konteks penggunaan yang ditentukan”.
FDA percaya bahwa menggunakan rubrik MITRE untuk menerapkan CVSS ke perangkat medis, bersama dengan CVSS v3.0, “memungkinkan kerangka kerja umum untuk evaluasi risiko dan komunikasi antara semua pihak yang terlibat dalam pengungkapan kerentanan keamanan, terutama saat membahas tingkat keparahan dan urgensinya.”
Persetujuan FDA atas alat tersebut berarti “bahwa vendor dapat mengkomunikasikan pengukuran dari rubrik tentang perangkat mereka dengan FDA untuk penilaian keamanan dan risiko pra-pasar,” Elad Luz, kepala penelitian di perusahaan keamanan siber perawatan kesehatan yang berbasis di New York, CyberMDX, mengatakan kepada SecurityWeek .
CyberMDX telah mengidentifikasi lebih dari sepuluh kerentanan pada perangkat medis selama setahun terakhir dan telah melihat secara langsung betapa menyesatkannya CVSS jika tidak diadaptasi. Misalnya, kerentanan yang ditemukan tahun lalu di beberapa perangkat anestesi rumah sakit GE Healthcare diberi skor CVSS hanya 5,3 tetapi, seperti yang diakui vendor itu sendiri, eksploitasi cacat tersebut menimbulkan risiko langsung bagi pasien, yang membuatnya sangat serius.
“[Kerentanan] tidak dinilai sebagai tingkat keparahan tinggi karena Anda tidak dapat mengeksekusi kode jarak jauh (RCE), atau mengakses informasi dari jarak jauh, hanya mengubah fungsi tertentu yang terbatas dari jarak jauh,” jelas Luz. “Masalahnya adalah – saat Anda melihat aspek medisnya – fungsi jarak jauh yang diubah itu mungkin merupakan hal yang paling parah untuk dikompromikan pada perangkat ini, jadi ini harus diungkapkan kepada siapa pun yang melakukan penilaian risiko untuk itu.”
Luz mengatakan rubrik baru membahas masalah ini dan masalah lainnya. Pakar mengatakan pedoman baru ini jelas dan mudah digunakan, dengan contoh dunia nyata diambil dari perangkat medis yang digunakan di seluruh dunia.