Bezpieczeństwo informacji ResMed | ResMed Polska

Bezpieczeństwo informacji ResMed

Misja: ResMed, światowy lider w dziedzinie oprogramowania medycznego i połączonych rozwiązań zdrowotnych, dąży do ochrony bezpieczeństwa informacji naszych klientów i ich pacjentów, naszych partnerów handlowych i naszego globalnego zespołu.

Dowiedz się więcej o tym, jak ResMed wypełnia tę misję

Ujawnianie luk w zabezpieczeniach

Aby tworzyć bezpieczne systemy, firma ResMed uznaje potrzebę angażowania się w działania szerszej społeczności zajmującej się bezpieczeństwem.

 

Nasze bezpieczeństwo

Ponieważ środowisko cyberbezpieczeństwa stale się zmienia, ResMed stara się na bieżąco informować naszych klientów i partnerów handlowych o działaniach mających na celu ochronę ich informacji.

 

Wycofanie TLS 1.0

Aby nasze systemy były na bieżąco z najlepszymi praktykami bezpieczeństwa, 31 maja wyłączymy obsługę TLS 1.0 w naszych systemach.

 

Ujawnienie luk w zabezpieczeniach firmy ResMed

  1. Wyślij wiadomość e-mail na adres Security Reports
  2. Podaj jak najwięcej informacji, w tym kroki do odtworzenia błędu i wszelkie użyte dzienniki lub skrypty (np. tekst, zrzuty ekranu).
  3. Jeśli chcesz otrzymać dalsze informacje, podaj prawidłowy adres e-mail.

  • ResMed skontaktuje się z Tobą, podając numer incydentu i może poprosić o dodatkowe informacje.
  • ResMed zweryfikuje lukę w zabezpieczeniach i skoordynuje wewnętrznie plan działań naprawczych, jeśli zostanie to zweryfikowane.
  • ResMed uzgodni z użytkownikiem harmonogram ujawniania informacji.
  • ResMed powiadomi użytkownika, gdy problem zostanie rozwiązany.
  • ResMed dołoży starań, aby odpowiedzieć na zapytania dotyczące statusu w ciągu 10 dni roboczych.

  • Inżynieria społeczna i phishing
  • Fizyczne ataki na systemy lub witryny należące do ResMed
  • Działania, które mogą zakłócić działanie usługi (np. odmowa usługi, brutalna siła)
  • Wysyłanie możliwych do zidentyfikowania danych klientów, pacjentów, pracowników lub użytkowników
  • Przedwczesne publiczne ujawnienie luki w cyberbezpieczeństwie
  • Testowanie systemów firm innych niż ResMed, takich jak dostawcy zewnętrzni.

Bezpieczeństwo informacji ResMed

ResMed kontynuuje analizę podatności na zdalne wykonanie kodu „Log4Shell” związanej z Apache Log4j ujawnionej 9 grudnia 2021 r. (CVE-2021-44228). Firma ResMed potwierdziła, że jej podstawowe aplikacje, myAir i AirView, nie zostały naruszone, a obecnie nie wiemy o żadnych innych produktach lub usługach zagrożonych tą luką.

W ramach naszej ciągłej czujności monitorujemy nasze systemy, a nasze zespoły ds. bezpieczeństwa podejmują kroki w celu ograniczenia zwiększonego ryzyka związanego z tym zagrożeniem. Obecnie w systemach ResMed nie wykryto żadnych oznak naruszenia bezpieczeństwa, a jeśli sytuacja ulegnie zmianie, powiadomimy o tym zainteresowaną stronę.

Zachęcamy do zapoznania się z CVE (CVE-2021-44228CVE-2021-45046) oraz poradnikiem bezpieczeństwa opublikowanym przez Apache w celu uzyskania dalszych informacji na temat tej luki i sposobu jej wyeliminowania.

W celu uzyskania dalszych informacji dotyczących któregokolwiek z poniższych tematów prosimy o kontakt z działem bezpieczeństwa sieciowego firmy ResMed.

Firma ResMed dąży do ochrony informacji zgodnie ze wszystkimi obowiązującymi przepisami prawa i regulacjami. Aby osiągnąć odpowiedni poziom cyberbezpieczeństwa, firma ResMed koncentruje się na następujących działaniach w stosownych przypadkach:

  • Bezpieczeństwo już na etapie projektowania
  • Rozwój bezpiecznych systemów
  • Ocena ryzyka systemowego
  • Zarządzanie podatnościami
  • Reagowanie na incydenty

W dniu 29 lipca 2019 r. upubliczniono zestaw luk URGENT/11 w systemach operacyjnych czasu rzeczywistego. Wykorzystanie tych luk może zakłócić działanie urządzeń medycznych, zwłaszcza w sieciach szpitalnych.

Sprawdziliśmy nasze urządzenia i możemy potwierdzić, że podatne systemy operacyjne nie są używane w naszych urządzeniach medycznych i że nie jesteśmy narażeni na ten zestaw luk.

ResMed wyłącza TLS 1.0

W dniu 31 maja 2019 r. firma ResMed planuje wyłączyć stosowanie protokołu TLS 1.0 na wszystkich stronach internetowych i w usługach. Zmiana ta zapewni nam bezpieczną komunikację z naszymi partnerami, klientami i pacjentami oraz dostosuje nas do najlepszych praktyk w zmieniającym się środowisku cyberbezpieczeństwa. ResMed skupi się na obsłudze TLS 1.1 i 1.2.

TLS 1.0 jest starszym protokołem i ma słabe punkty w zabezpieczeniach, na które hakerzy opracowali ataki. Niektóre ataki wykorzystują przestarzałe praktyki kryptograficzne, podczas gdy inne wykorzystują dzisiejsze mocniejsze komputery do łamania starych protokołów kryptograficznych, które działały dobrze na wolniejszych komputerach. Z tych powodów ResMed przestanie wspierać TLS 1.0 jako protokół.Bezpieczeństwo produktów ResMed

W większości przypadków zmiana ta nie będzie miała wpływu na użytkownika. Większość nowoczesnych przeglądarek internetowych korzysta już z TLS 1.2, obecnego standardu.

Możesz użyć jednego z następujących narzędzi internetowych:

Opcja 1

https://www.howsmyssl.com/

Jeśli witryna pokazuje, że przeglądarka jest „Bad”, należy zaktualizować ją do nowszej wersji. Jeśli wyświetli się komunikat „Prawdopodobnie w porządku” lub „Można poprawić”, nadal będzie można uzyskać dostęp do stron internetowych i usług ResMed.

Opcja 2

https://www.ssllabs.com/ssltest/viewMyClient.html

W sekcji Funkcje protokołu, jeśli TLS 1.1 lub 1.2 ma wartość „Tak” jako obsługiwany, będzie można pomyślnie nawiązać połączenie. Nie ma problemu, jeśli przeglądarka obsługuje również TLS 1.0.

Ta sekcja pokazuje, które przeglądarki obsługują bardziej nowoczesne wersje TLS. Chociaż niektóre starsze przeglądarki będą nadal działać po wycofaniu TLS 1.0 przez ResMed, należy używać najnowszej wersji przeglądarki, aby uniknąć innych luk w zabezpieczeniach.

Poniższa lista została skompilowana z różnych źródeł. Nie wszystkie witryny ResMed obsługują poniższe przeglądarki, ale wymieniamy je, aby zapewnić kompletność.

  • Microsoft Internet Explorer dla komputerów stacjonarnych i laptopów: minimalna wersja IE 8, zalecana IE 11
  • Microsoft Edge dla komputerów stacjonarnych i laptopów: brak wersji minimalnej, zalecana 18
  • Mozilla Firefox dla komputerów stacjonarnych i laptopów: minimalna wersja 27, zalecana 65
  • Google Chrome dla wszystkich urządzeń: minimalna wersja 30, zalecana 72
  • Apple Safari dla komputerów stacjonarnych i laptopów: minimalna wersja 7, zalecana 12
  • Opera dla wszystkich urządzeń: minimalna wersja 17, zalecana 58
  • Samsung Internet dla urządzeń mobilnych: minimalna wersja 4, zalecana 9
  • Safari dla urządzeń mobilnych z systemem iOS: minimalna wersja 5, zalecana 12
  • Microsoft Edge dla urządzeń mobilnych: minimalna wersja 1, zalecana 1

Jeśli łączysz się z usługami ResMed za pośrednictwem technologii innych niż przeglądarka internetowa, musisz upewnić się, że TLS 1.1 lub TLS 1.2 są obsługiwane, co może wymagać aktualizacji środowiska, w którym działa system. Nie możemy dostarczyć wyczerpującej listy opcji dla tych innych technologii i programów, ale możesz przetestować swój system na stronach internetowych i usługach ResMed już dziś, ponieważ TLS 1.1 i TLS 1.2 są już obsługiwane przez nasze systemy. Jeśli nie sprawdzisz łączności przed datą wymienioną powyżej, Twoje programy mogą nie być w stanie połączyć się z usługami ResMed.

Obecne interfejsy API obsługują TLS 1.1 i 1.2, jeśli chcesz sprawdzić, czy Twój system będzie działał poprawnie po 31 maja. W przypadku problemów z połączeniem ze stronami internetowymi i usługami ResMed należy skontaktować się z integration-support@resmed.com, a zespół może przekierować użytkownika do odpowiednich zasobów ResMed. Poniżej znajdują się wersje popularnych narzędzi obsługujących TLS 1.1 i 1.2.

  • Wersja 6: TLS 1.1 = wyłączony – TLS 1.2 = nie – uwagi: 1.1 dostępny z aktualizacją 111
  • Wersja 7: TLS 1.1 = wyłączony – TLS 1.2 = wyłączony
  • Wersja 8: TLS 1.1 = tak – TLS 1.2 = tak – uwagi: aktualna wersja

  • Wersja 3.5 i starsze: TLS 1.1 = nie – TLS 1.2 = nie
  • Wersja 4.0: TLS 1.1 = nie – TLS 1.2 = nie (aktualizacja do wersji 4.5)
  • Wersje 4.5-4.5.2: TLS 1.1 = wyłączony – TLS 1.2 = wyłączony (można włączyć domyślnie w rejestrze lub w kodzie)
  • Wersje 4.6+: TLS 1.1 = tak – TLS 1.2 = tak

Kompatybilność Pythona różni się w zależności od systemu operacyjnego obsługującego Pythona, dokumentację na ten temat można znaleźć na oficjalnej stronie Pythona. Python 3.6 i 2.7.9 są kompatybilne z TLS 1.2.

Komputery używają TLS (Transport Layer Security) do sprawdzania wzajemnej tożsamości i zapewnienia, że mogą rozmawiać prywatnie. Technologia ta umożliwia komunikację z ResMed przy jednoczesnej ochronie przesyłanych danych i weryfikacji, czy druga strona jest zaufana. Obsługa TLS, w różnych formach, została dodana do wielu przeglądarek i systemów bez ingerencji w normalne doświadczenie użytkownika. Te środki bezpieczeństwa oznaczają, że hasła lub numery kart kredytowych mogą być przesyłane przez Internet bez obawy, że ktoś inny uzyska te informacje „w tranzycie”.

Bardziej szczegółowo, TLS sprawdza certyfikaty jako formę cyfrowej identyfikacji. Każdy serwer obsługujący TLS posiada odpowiedni certyfikat, który jest automatycznie wymieniany i weryfikowany podczas pierwszego połączenia. Zaufana strona cyfrowo „podpisuje” certyfikat weryfikujący system. Większość systemów operacyjnych i przeglądarek internetowych ma wstępnie skonfigurowaną listę zaufanych stron do porównania. Po sprawdzeniu certyfikatu przeglądarka internetowa i serwer automatycznie zdecydują, jak chronić dane za pomocą szyfrowania.

Aby uzyskać więcej informacji lub uzyskać odpowiedzi na pytania dotyczące wycofania TLS 1.0, prosimy o kontakt z ResMed Web Security