A CVSS (Common Vulnerability Scoring System) rendszer széles körben ismert és használt az informatikai rendszerek sérülékenységeinek osztályozásához. Jelenleg a CVSSv3 az általánosan használt módszer, ami lehetőséget ad egy alap pontszám kalkulálására a támadási vektor, a támadás komplexitása, a szükséges jogosultságok és felhasználói interakció, a sérülékenység hatókörének és a bizalmasság-sértetlenség-rendelkezésre állás hármas faktorok figyelembe vételével.

Október végén, az atlantai ICS Cyber Security konferencián a Radiflow alapító-vezérigazgatója, Ilan Barda előadásában arra hívta fel a figyelmet, hogy a CVSS pontozásos módszerét eredetileg IT rendszerekre dolgozták ki és ismerve az IT és ICS rendszerek közötti különbségeket, ez problémákat jelenthet az érintett (jellemzően ipari) szervezetek számára.

Számos további ICS biztonsági szakértő (többek között a Nozomi Networks-től, a Positive Technologies-tól, a Kaspersky Lab ICS-CERT-jétől, stb.) is megszólalt a témában és a véleményeik nagyjából egyezik abban, hogy a CVSS alapján történő sérülékenység-kategorizálás hasznos útmutató lehet, de nem szabad csak erre építeni és vakon bízni benne, sokkal inkább csak kiindulási pontként célszerű használni az egyes sérülékenységek adott szervezetre vonatkozó.

A hivatkozott előadás videója itt érhető el, a témában írt SecurityWeek cikk pedig itt, amiben több példán is bemutatják, hogyan vezethet félre ICS sérülékenységek esetén, ha kizárólag a CVSS-besorolás alapján ítéljük meg egy-egy ICS sérülékenység kockázatait.