Kybernetická bezpečnost diagnostických produktů

Poradenství pro zabezpečení produktů

Jak podat oznámení (zákazníci Roche)

Pokud jste zákazník společnosti Roche nebo jej zastupujete, informujte prosím příslušnou místní pobočku společnosti Roche Diagnostics o problémech s produkty, včetně případných potenciálních slabin v oblasti kybernetické bezpečnosti. Zajistíte tak řádné vyřizování a zpracování stížností v souladu s vaší servisní smlouvou.

 

Jak podat oznámení (Odborníci v oblasti zabezpečení a další)

Chcete-li nahlásit potenciální slabinu kybernetického zabezpečení produktu nebo služby Roche Diagnostics, kontaktujte nás na adrese security@roche.com.

Poradenství a archiv týkající se zabezpečení produktů

Poradenství a archiv týkající se zabezpečení produktů

Datum vydání: 2019-09-27

Poslední aktualizace: 2019-09-27

 

Shrnutí

Společnost Roche si je vědoma souboru bezpečnostních slabin v řadě operačních systémů v reálném čase (RTOS), včetně VxWorks RTOS společnosti Wind River, které nedávno odhalili odborníci na bezpečnost ve společnosti Armis. Tyto chyby zabezpečení, běžně označované jako URGENT / 11, mají dopad na stack TCP / IP několika RTOS a mohou vést ke vzdálenému spuštění kódu, který by útočníkovi umožnil převzít kontrolu nad systémem bez interakce s uživatelem.

V rámci našich zásad týkajících se zabezpečení produktů vyhodnotila společnost Roche Diagnostics potenciální dopady těchto bezpečnostních slabin na naše produkty a zjistila, že pro naše produkty nejsou vyžadovány žádné akce.

Jako obecné bezpečnostní opatření Roche důrazně doporučuje důkladně kontrolovat síťový přístup k zařízením pomocí vhodných mechanismů včetně firewallu Roche. Důrazně doporučujeme nakonfigurovat operační prostředí podle instalačních pokynů společnosti Roche a řídit se doporučeními v příručkách k produktu.

 

 

Dotčené produkty

Naše kontrola identifikovala definovaný počet produktů Roche Diagnostics (analyzátory a systémy IVD), které používají operační systém VxWorks. Tyto spadají do dvou kategorií:

  1. připojené produkty, které neobsahují zranitelné verze VxWorks 
  2. produkty off-line, které mohou používat zranitelné verze VxWorks, ale nejsou ohroženy, protože nejsou připojeny k síti

Žádný z těchto produktů nevykazuje bezpečnostní slabinu ani není ohrožen.

 

Potenciální dopad

Naše současné hodnocení hlášených slabin je, že produkty Roche Diagnostics nejsou přímo ovlivněny sadou slabin URGENT / 11. I když existuje potenciální možnost zneužití zranitelných verzí VxWorks, tyto produkty běží na izolovaných jednotkách bez připojení k síti zákazníka, a proto nejsou ohroženy. Produkty Roche Diagnostics používají bránu firewall, která není založena na VxWorks, a proto sama nemá slabiny URGENT / 11.

Pro více informací se obraťte na lokální zastoupení společnosti Roche.

 

Zmírnění dopadů / náhradní řešení

U těchto chyb zabezpečení se nevyžadují žádná zmírnění dopadů ani náhradní řešení.

Pro více informací nebo připomínky kontaktujte lokální zastoupení společnosti Roche.

 

 

 

Kontaktní informace

Zákazníci společnosti Roche

Obraťte se na lokální zastoupení společnosti Roche

 

Odborníci na kybernetickou bezpečnost

Ohledně témat souvisejících se zabezpečením diagnostických produktů se obraťte na dia.pcert@roche.com

Pro obecná bezpečnostní témata týkající se společnosti Roche se obraťte na security@roche.com