Bezpečnost informací ResMed

1. Pošlete e-mail na Bezpečnostní zprávy 
2. Poskytněte co nejvíce informací, včetně kroků k reprodukování problému a veškerých použitých protokolů nebo skriptů (např. text, snímky obrazovky) 
3. Pokud chcete pokračovat, použijte platnou e-mailovou adresu 

• Společnost ResMed vás bude kontaktovat s číslem incidentu a může požádat o další informace
• Společnost ResMed ověří zranitelnost a bude interně koordinovat plánování nápravy, pokud bude ověřena
• Společnost ResMed s vámi zkoordinuje časový plán zveřejnění
• ResMed vás upozorní, až bude problém vyřešen
• Společnost ResMed se bude snažit odpovědět na dotazy týkající se stavu do 10 pracovních dnů

• Sociální inženýrství a phishing
• Fyzické útoky na systémy nebo stránky vlastněné společností ResMed
• Akce, které mohou narušit službu (např. odepření služby (DOS), útok hrubou silou)
• Odesílání identifikovatelných dat zákazníka, pacienta, zaměstnance nebo uživatele
• Předčasné zveřejnění zranitelnosti kybernetické bezpečnosti
• Testování systémů jiných než ResMed, jako jsou dodavatelé třetích stran

Analýza společnosti ResMed pokračuje pro zranitelnost vzdáleného spuštění kódu „Log4Shell“ související s Apache Log4j zveřejněnou 9. prosince 2021 (CVE-2021-44228). Společnost ResMed potvrdila, že její základní aplikace, myAir a AirView, nebyly ovlivněny, a v současné době si nejsme vědomi žádných dalších produktů nebo služeb ohrožených touto zranitelností.

V rámci naší trvalé ostražitosti monitorujeme naše systémy a naše bezpečnostní týmy podnikají kroky ke zmírnění jakéhokoli zvýšeného rizika této hrozby. V současnosti nejsou na systémech ResMed zjištěny žádné známky kompromitace, a pokud se tato situace změní, upozorníme dotčenou stranu.

Zveme vás k nahlédnutí do CVE (CVE-2021-44228 a CVE-2021-45046) a bezpečnostního upozornění vydaného Apache, kde najdete další informace o této zranitelnosti a o tom, jak ji lze zmírnit.

Pro další informace týkající se kteréhokoli z níže uvedených témat kontaktujte ResMed Web Security

Společnost ResMed se snaží chránit informace v souladu se všemi platnými zákony a předpisy. Za účelem dosažení vhodné úrovně kybernetické bezpečnosti se ResMed v případě potřeby zaměřuje na následující činnosti:

• Zabezpečení již v návrhu
• Vývoj bezpečných systémů
• Posouzení systémových rizik
• Správa zranitelnosti
• Odezva na incident

Dne 29. července 2019 byla zveřejněna sada zranitelností URGENT/11 v operačních systémech pracujících v reálném čase. Pokud by byly tyto zranitelnosti zneužity, mohly by narušit funkci lékařských přístrojů, zejména v nemocničních sítích.

Prozkoumali jsme naše přístroje a můžeme potvrdit, že zranitelné operační systémy se v našich zdravotnických přístrojích nepoužívají a že nejsme vystaveni této sadě zranitelností.

Dne 31. května 2019 plánuje ResMed zakázat používání TLS 1.0 napříč weby a službami. Tato změna zajistí, že budeme udržovat bezpečnou komunikaci s našimi partnery, zákazníky a pacienty, a udrží nás v souladu s osvědčenými postupy v měnícím se prostředí kybernetické bezpečnosti. ResMed se zaměří na podporu TLS 1.1 a 1.2.

TLS 1.0 je starší protokol a má slabiny v zabezpečení, kterých mohou hackeři zneužít. Některé útoky využívají zastaralé kryptografické postupy, zatímco jiné využívají dnes výkonnější počítače k prolomení starých kryptografických protokolů, které dobře fungovaly proti pomalejším počítačům. Z těchto důvodů přestane ResMed podporovat protokol TLS 1.0 jako protokol zabezpečení produktu ResMed

Většinou se vás tato změna nedotkne. Většina moderních internetových prohlížečů již používá TLS 1.2, což je současný standard.

Můžete použít jeden z následujících nástrojů webu:

Možnost 1

https://www.howsmyssl.com/

Pokud web ukazuje, že váš prohlížeč je „Nevhodný (Bad)“, budete muset upgradovat na novější verzi prohlížeče. Pokud uvidíte „Pravděpodobně v pořádku (Probably Okay)“ nebo „Lze vylepšit (Improvable)“, stále budete mít přístup k webovým stránkám a službám ResMed.

Možnost 2

https://www.ssllabs.com/ssltest/viewMyClient.html

V části Funkce protokolu, pokud má TLS 1.1 nebo 1.2 možnost „Ano“ pro podporováno, budete se moci úspěšně připojit. Není problém, pokud váš prohlížeč podporuje i TLS 1.0.

Tato část ukazuje, které prohlížeče podporují modernější verze TLS. I když některé starší prohlížeče budou fungovat i po ukončení podpory TLS 1.0 společností ResMed, měla by se používat nejaktuálnější verze prohlížeče, aby se předešlo dalším chybám zabezpečení.

Následující seznam je sestaven z různých zdrojů. Ne všechny stránky ResMed podporují níže uvedené prohlížeče, ale uvádíme je jako kompletní.

• Microsoft Internet Explorer pro stolní počítače a notebooky: minimální verze IE 8, doporučená verze IE 11
• Microsoft Edge pro stolní počítače a notebooky: žádná minimální verze, doporučeno 18
• Mozilla Firefox pro stolní počítače a notebooky: minimální verze 27, doporučeno 65
• Google Chrome pro všechna zařízení: minimální verze 30, doporučeno 72
• Apple Safari pro stolní počítače a notebooky: minimální verze 7, doporučeno 12
• Opera pro všechna zařízení: minimální verze 17, doporučeno 58
• Samsung internet pro mobil: minimální verze 4, doporučeno 9
• Safari pro mobilní zařízení iOS: minimální verze 5, doporučeno 12
• Microsoft Edge pro mobily: minimální verze 1, doporučeno 1

Pokud se ke službám ResMed připojujete prostřednictvím jiných technologií než webového prohlížeče, budete se muset ujistit, že podporují TLS 1.1 nebo TLS 1.2, což může vyžadovat aktualizaci prostředí, ve kterém váš systém běží. Nemůžeme poskytnout vyčerpávající seznam možností pro tyto další technologie a programy, ale svůj systém můžete otestovat na webových stránkách a službách ResMed již dnes, protože TLS 1.1 a TLS 1.2 již naše systémy podporují. Pokud nezkontrolujete připojení před výše uvedeným datem, vaše programy se možná nebudou moci připojit ke službám ResMed.

Současná rozhraní API podporují TLS 1.1 a 1.2, pokud potřebujete otestovat, zda váš systém bude po 31. květnu správně fungovat. Pokud máte problémy s připojením k webovým stránkám a službám ResMed, kontaktujte integration-support@resmed.com a tým vás může nasměrovat na příslušný zdroj ResMed. Níže jsou uvedeny verze běžných nástrojů, které podporují TLS 1.1 a 1.2.

• Verze 6: TLS 1.1 = zakázáno – TLS 1.2 = ne – poznámky: 1.1 k dispozici s aktualizací 111
• Verze 7: TLS 1.1 = zakázáno – TLS 1.2 = zakázáno
• Verze 8: TLS 1.1 = Ano – TLS 1.2 = Ano – poznámky: současná verze

• Verze 3.5 a starší: TLS 1.1 = ne – TLS 1.2 = ne
• Verze 4.0: TLS 1.1 = ne – TLS 1.2 = ne (upgrade na 4.5)
• Verze 4.5-4.5.2: TLS 1.1 = zakázáno – TLS 1.2 = zakázáno (ve výchozím nastavení lze povolit v registru nebo v kódu)
• Verze 4.6+: TLS 1.1 = Ano – TLS 1.2 = Ano

Kompatibilita Pythonu se liší v závislosti na podpoře OS pro Python, dokumentaci k tomu lze nalézt na oficiálních stránkách Ppythonu. Python 3.6 a 2.7.9 jsou kompatibilní s TLS 1.2.

Počítače používají TLS (Transport Layer Security) ke vzájemné kontrole identity a zajištění, že mohou mluvit soukromě. Tato technologie vám umožňuje komunikovat s ResMed a zároveň chránit komunikovaná data a zároveň ověřit, zda je druhá strana důvěryhodná. Podpora TLS v různých formách byla přidána do mnoha prohlížečů a systémů, aniž by to narušilo prostředí běžného uživatele. Tato bezpečnostní opatření znamenají, že hesla nebo čísla kreditních karet lze posílat přes internet, aniž by se museli bát, že někdo jiný získá tyto informace „při přenosu“

Podrobněji TLS kontroluje certifikáty jako formu digitální identifikace. Každý server s povoleným TLS by měl mít odpovídající certifikát, který se automaticky vymění a ověří během počátečního připojení. Důvěryhodná strana digitálně „podepíše“ certifikát ověřující systém. Většina operačních systémů a webových prohlížečů má předem nakonfigurovaný seznam důvěryhodných stran k porovnání. Po kontrole certifikátu váš webový prohlížeč a server automaticky rozhodnou, jak chránit data pomocí šifrování.

Pro další informace nebo jakékoli dotazy týkající se ukončení podpory TLS 1.0 kontaktujte ResMed Web Security