0
0
A Food and Drug Administration (FDA) dos EUA anunciou esta semana que aprovou o uso de uma nova rubrica especificamente projetada pela MITRE Corporation para atribuir pontuações CVSS a vulnerabilidades encontradas em dispositivos médicos.
O Sistema Comum de Pontuação de Vulnerabilidades (CVSS) foi originalmente projetado para transmitir a gravidade das vulnerabilidades encontradas nos sistemas de TI, e pode não ser tão relevante em algumas áreas, como sistemas de controle industrial (ICS) ou dispositivos médicos.
É por isso que a FDA contratou o MITRE para criar uma rubrica especial para atribuir pontuações CVSS a vulnerabilidades de dispositivos médicos. A MITRE desenvolveu a nova rubrica no ano passado e a FDA anunciou esta semana que se qualificou como Uma Ferramenta de Desenvolvimento de Dispositivos Médicos (MDDT).
O programa MDDT permite que a organização qualifique ferramentas que possam ser utilizadas no desenvolvimento e avaliação de dispositivos médicos. Para que uma ferramenta se qualifique, ela deve ser avaliada pela FDA, que deve concordar que ela “produz medidas cientificamente plausíveis e funciona conforme pretendido dentro do contexto de uso especificado”.
A FDA acredita que o uso da rubrica do MITRE para aplicar o CVSS a dispositivos médicos, juntamente com o CVSS v3.0, “permite uma estrutura comum para avaliação de riscos e comunicação entre todas as partes envolvidas em uma divulgação de vulnerabilidade de segurança, particularmente quando se discute sua gravidade e urgência”.
A aprovação da ferramenta pela FDA significa “que os fornecedores podem comunicar medidas da rubrica sobre seus dispositivos com a FDA para avaliações de segurança e risco pré-mercado”, disse Elad Luz, chefe de pesquisa da empresa de cibersegurança de saúde CyberMDX,com sede em Nova York, à SecurityWeek.
O CyberMDX identificou mais de dez vulnerabilidades em dispositivos médicos no último ano e viu em primeira mão o quão enganoso o CVSS pode ser se não for adaptado. Por exemplo, uma vulnerabilidade descoberta no ano passado em alguns dos dispositivos de anestesia hospitalar da GE Healthcare foi atribuída a uma pontuação cvss de apenas 5,3, mas, como o próprio fornecedor admitiu, a exploração da falha representava um risco direto para os pacientes, o que o tornava altamente grave.
“[A vulnerabilidade] não foi pontuada como alta gravidade porque você não podia executar código remoto, ou acessar remotamente informações, apenas alterar remotamente funcionalidades específicas limitadas”, explicou Luz. “O problema é que – quando você olha para o aspecto médico disso – essas funções remotas alteradas podem ser apenas a coisa mais grave a comprometer este dispositivo, então isso deve ser expresso para qualquer pessoa que faça uma avaliação de risco para ele.”
Luz diz que a nova rubrica aborda essas e outras questões. O especialista diz que as novas diretrizes são claras e fáceis de usar, com exemplos reais tirados de dispositivos médicos usados em todo o mundo.
“Ao fazer divulgações, há muitas discordâncias quanto à interpretação do CVSS porque nem sempre ficou claro como se deve projetar essas medidas que foram destinadas ao software de computadores/celulares para dispositivos médicos”, explicou. “A rubrica passa por todas as medições do CVSS e as limpa na forma de um fluxograma de Perguntas e Respostas. Isso torna as coisas muito mais claras e espero poupar grande parte dos argumentos.
Luz também destacou que a nova rubrica dá ao grupo métrico ambiental “o lugar que merece”.
“Quando as pessoas são expostas às pontuações do CVSS, elas consomem principalmente o ‘grupo métrico base’. Isso é lamentável porque a pontuação base só dá uma impressão geral do risco”, disse. “O ‘grupo métrico ambiental’ é outro grupo no CVSS que ajusta a pontuação ao seu caso específico. O ambiente onde o dispositivo é implantado e usado afeta muito o risco real e isso deve ser levado em conta. Quase metade da rubrica fala sobre esse grupo ambiental e, finalmente, recebe a atenção certa que merece.”
FONTE: SECURITY WEEK