Dichiarazione sulla divulgazione coordinata delle vulnerabilità di GE HealthCare v2.1

Aggiornato ad agosto 2023

GE HealthCare incoraggia la ricerca responsabile sulla sicurezza

GE HealthCare riconosce l'importante ruolo svolto dai ricercatori nel campo della sicurezza, che contribuisce a promuovere pratiche di progettazione sicure e il contenimento dei rischi di sicurezza, sia nel settore dei dispositivi medici che nell'ecosistema sanitario nel suo complesso. Apprezziamo il lavoro svolto dai ricercatori sulla sicurezza e incoraggiamo una collaborazione proattiva sulle vulnerabilità scoperte e sulla divulgazione proposta in modo coordinato e responsabile. In questo documento si illustrano sia le nostre aspettative nei confronti dei ricercatori che conducono ricerche sulla sicurezza dei prodotti GE HealthCare nelle loro interazioni con noi e con altri, sia le aspettative che i ricercatori possono avere nei nostri confronti.

Scopo

Lo scopo del GE HealthCare Coordinated Vulnerability Disclosure Program (Programma sulla divulgazione coordinata delle vulnerabilità di GE HealthCare) è quello di coordinare l'indagine e la divulgazione di potenziali nuove vulnerabilità nei prodotti GE HealthCare. L'obiettivo collettivo dei ricercatori nel campo della sicurezza e di GE HealthCare deve sempre essere la riduzione dei rischi, tenendo in debita considerazione l'intero ambiente operativo interessato da qualsiasi vulnerabilità scoperta.

Ambito di applicazione

La presente divulgazione coordinata sulle vulnerabilità si applica a tutti i prodotti GE HealthCare disponibili in commercio.

Questo processo deve essere utilizzato per segnalare potenziali nuove vulnerabilità all'interno dei prodotti GE HealthCare. Le vulnerabilità dei sistemi operativi e di altri componenti di terze parti non devono essere segnalate tramite questo processo.

Prerequisiti per la segnalazione

I ricercatori della sicurezza devono attenersi ai seguenti prerequisiti durante il processo di ricerca e divulgazione, comprese la ricerca e la verifica iniziali:

  • Rispettare tutte le leggi e le normative applicabili presso la propria sede e la sede in cui si trova il prodotto GE HealthCare.
  • Non utilizzare una vulnerabilità per intraprendere azioni sproporzionate, come lo sfruttamento di una vulnerabilità per scopi diversi dalla dimostrazione della sua esistenza, la rimozione di dati sensibili dal prodotto o la creazione di una backdoor all'interno di un prodotto o l'introduzione di altre vulnerabilità per un utilizzo successivo.
  • Non effettuare ricerche o test su sistemi che presentano rischi di lesioni al paziente.
  • Non testare prodotti o infrastrutture di rete in ambienti clinici o in altri ambienti attivi in cui i prodotti vengono utilizzati per qualsiasi tipo di diagnosi, trattamento, cura o monitoraggio del paziente o che potrebbero essere inavvertitamente utilizzati per tali scopi.
  • Al termine del test, deve essere ripristinato lo stato originale di tutti i prodotti destinati all'uso successivo in ambiente clinico. Rivolgersi a GE HealthCare per l'assistenza.
  • Richiedere e ottenere l'autorizzazione scritta dal proprietario del prodotto GE prima di eseguire qualsiasi test, per garantire che l'ambito sia chiaro. Se il prodotto viene noleggiato da GE HealthCare, l'autorizzazione deve essere ottenuta sia da GE HealthCare che dal locatario.
  • Non divulgare al pubblico i dettagli sulla vulnerabilità prima della scadenza di un intervallo di tempo concordato con GE HealthCare.
  • Non operare al di fuori dell'ambito descritto in questo documento.
  • Fornirci informazioni dettagliate sulla comunicazione alle autorità normative o ad altre terze parti in merito a qualsiasi vulnerabilità scoperta.

Come presentare una vulnerabilità

Per inviare una vulnerabilità al Product Security Team di GE HealthCare, inviare un messaggio e-mail all'indirizzo GEHealthcareCVD@GE.com. Utilizzare la nostra chiave PGP, o altri strumenti di crittografia idonei, per proteggere eventuali informazioni riservate. Non includere dati sensibili (ad esempio dati dei pazienti identificabili) all'interno del corpo della comunicazione o di eventuali allegati (ad esempio schermate, immagini o file di registro).

Questa e-mail CVD non deve essere utilizzata per richieste relative a vulnerabilità già divulgate o a vulnerabilità in componenti di terze parti (non all'interno del software dei prodotti GE HealthCare). Le informazioni relative alle vulnerabilità precedentemente divulgate sono disponibili sul GE HealthCare Product Security Portal (Portale sulla sicurezza dei prodotti GE HealthCare), oppure possono essere richieste tramite un rappresentante dell'assistenza GE HealthCare.

Criteri di preferenza, priorità e accettazione

Cosa chiediamo e ci aspettiamo da voi:

  • Le segnalazioni ben scritte in inglese hanno maggiori possibilità di risoluzione.
  • L'inclusione di dettagli essenziali, quali la posizione geografica, il modello esatto e il numero di serie del prodotto, nonché la versione del software e il metodo per ottenere il sistema, costituisce un importante vantaggio per la definizione delle priorità.
  • Le segnalazioni che includono un codice di prova ci consentono di migliorare il triage.
  • Le segnalazioni relative a prodotti o ambienti che non rientrano nell'ambito di questa informativa potrebbero non essere considerati prioritari.
  • Tutte le informazioni su come si è scoperta la vulnerabilità, l'impatto rilevato, le considerazioni sul punteggio CVSS e le soluzioni suggerite contribuiranno a supportare un'interazione efficiente con noi.
  • Includere l'obiettivo della divulgazione a noi o le eventuali intenzioni per la divulgazione pubblica.
  • Non utilizzare questo canale per segnalare reclami sui prodotti GE attualmente in uso. Tutti i reclami dei clienti relativi alla sicurezza o alle prestazioni di un prodotto GE HealthCare in uso devono essere inoltrati direttamente a un rappresentante dell'assistenza GE HealthCare.

Cosa è lecito aspettarsi da noi:

  • Confermeremo la ricezione del messaggio entro quattro (4) giorni lavorativi.
  • Nella seguente fase di triage e valutazioni iniziali, un membro competente del team per la sicurezza dei prodotti GE HealthCare potrà contattarvi per:
    • Richiedere ulteriori informazioni o
    • Comunicare un processo e una tempistica previsti o
    • Notificare che la vulnerabilità segnalata non è stata accettata nel programma a causa della mancata conformità ai requisiti del programma o della disponibilità di dettagli sufficienti.
  • Una volta raccolte informazioni sufficienti e accettata la segnalazione, noi:
    • Valuteremo ulteriormente la segnalazione e indagheremo con i team per la sicurezza e i tecnici dei prodotti interessati.
    • Comunicheremo durante l'intero processo di indagine e correzione, con previsioni chiare in merito alla tempistica.
    • Comunicheremo la nostra conclusione finale.
  • GE HealthCare è riconosciuta come autorità di numerazione CVE (CNA) dalla MITRE Corporation e può creare le proprie voci CVE e NVD per la divulgazione, se necessario.
  • Forniremo riconoscimento pubblico al ricercatore della sicurezza (se richiesto) e se la segnalazione avrà come risultato una divulgazione pubblica.

Se necessario, GE HealthCare può richiedere a una terza parte neutrale di fornire assistenza per la risoluzione della segnalazione.

Con l'invio di una richiesta, si riconosce che GE HealthCare può utilizzare in modo illimitato (e consentire ad altri di fare altrettanto) i dati o le informazioni fornite a GE HealthCare. L'invio non attribuisce all'utente alcun diritto sulla proprietà intellettuale di GE HealthCare né costituisce alcun obbligo per GE HealthCare.