資安風險下手前，請先理解「可利用性(Exploitability)」

醫療器材開發中，倚賴ISO 14971作為風險管理的核心標準。無論是硬體、軟體，甚至是 SaMD，風險評估大多圍繞在「發生機率(Probability)× 嚴重度(Severity)」的邏輯之上。然而，當醫療器材開始具備連網能力、遠端更新、雲端服務或 App 介面時，網路安全風險已不再能完全套用傳統的安全性風險思維。

從FDA在2025發布的《Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions (2025)》就明確指出：

Performing security risk management is distinct from performing safety risk management as described in ISO 14971.

也就表示，資安風險管理與 ISO 14971 所描述的安全性風險管理，本質上是不同的流程。因為在資安情境下，風險評估的範圍與評估因子本身就不一樣。

為什麼「發生機率」不適合用來評估資安風險？

FDA指引提及：Instead, security risk assessment processes focus on exploitability, or the ability to exploit vulnerabilities present within a device and/or system.

這段話點出了資安風險管理的核心：重點不在於會不會發生，而在於「容不容易被成功利用」。

要理解這個差異，我們先回到 ISO 14971 原本的設計初衷。

ISO 14971 的風險邏輯，本來就是是為了「隨機失效」。

ISO 14971風險模型非常適合用來評估：零件疲勞、感測器失準、軟體隨機錯誤等情況，因爲這些事件多半是非刻意且隨機發生的，在評估上也能透過過去的歷史經驗來推估頻率。

但網路安全事件，從來就不是「隨機」的

網路安全事件的本質完全不同，它並不是隨機發生的。

在 AAMI TIR57《Principles for medical device security—Risk management》 中明確指出，資安事件具有以下特性：例如有攻擊者(Threat Actor)、有動機與目的(想要破壞醫院的系統、想要竊取個資)，攻擊行為是主動且刻意的。

對於這樣的攻擊，是否能成功，取決於防護強度、架構設計與控制措施，而不是發生機率。

因此，TIR57 認為用「發生機率」描述駭客攻擊，本身就是不合適的假設，應改以Exploitability(可利用性)來評估。

什麼是Exploitability(可利用性)？

Exploitability(可利用性)指的是：一個已存在的漏洞，被攻擊者成功利用的難易程度。

實務上，在醫療器材的資安風險評估實務中，Exploitability 通常會從下列幾個面向來判斷：

• 攻擊門檻(Attack Complexity)：攻擊是否需要高階技術、特殊工具，還是只要照著教學、使用現成工具就能完成？

• 存取需求(Access Required)：是否必須實體接觸設備？是否需要已登入的帳號或管理者權限？

• 攻擊面暴露程度(Attack Surface)：裝置是否直接連網？是否有開放的通訊介面、API 或無加密傳輸？

• 攻擊能不能重複執行：這種攻擊是否可以快速、反覆使用，甚至一次影響多台設備？

• 公開資訊成熟度：是否已有 CVE、PoC、公開技術分析或一鍵式攻擊工具？

這些條件越容易滿足，代表該漏洞越容易被成功利用，也就是 Exploitability 越高。

為什麼 Exploitability 會隨時間增加？

另一個在資安風險管理中非常重要、但常被忽略的觀念是： 漏洞的可利用性不是固定值，而是會隨時間改變(通常越變越糟)。

如同FDA指引所述：The exploitability of a vulnerability is likely to increase over the device lifecycle.

隨著漏洞被揭露、分析與公開(例如 CVE 資料庫中的漏洞說明)，原本需要高度專業能力才能利用的弱點，往往會逐漸演變成低門檻、甚至自動化的攻擊手法。（並且越來越容易達成）

醫療器材所存在的漏洞通常不會自行消失，但攻擊工具會不斷進化。因此，資安風險評估不能只看當下，而必須納入全生命週期(TPLC)的觀點。

寫資安風險前，思維一定要先轉彎

ISO 14971 依然是醫療器材風險管理的基石，但在網路安全情境下，單純以發生機率來評估風險，已不足以回應真實世界的攻擊模式。

當您開始草擬資安風險時，請先從被攻擊的角度來思考，駭客成功的門檻有多高、一旦成功，是否可能對病患造成不可接受的傷害等。

當這個問題被正確回答，資安風險管理才算是真正開始。

參考資料：

• AAMI TIR57：Principles for medical device security—Risk management

• ISO 14971：Medical devices — Application of risk management to medical devices

• FDA (2025). Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions

• NIST SP 800-30: Guide for Conducting Risk Assessments