Siemens Healthineers Polska
Support & Documentation
Bezpieczeństwo cybernetyczne w firmie Siemens Healthineers

Cybersecurity - Protecting healthcare institutions against cyberthreats

Bezpieczeństwo cybernetyczneOchrona placówek służby zdrowia przed zagrożeniami cybernetycznymi

Nasze zaangażowanie w bezpieczeństwo cybernetyczne

Cyfrowa transformacja jest w pełnym rozkwicie. Zadbanie o odpowiedni poziom cyberbezpieczeństwa jest niezbędne, by Twoja instytucja mogła uczestniczyć w tej transformacji. Będąc światowym liderem na rynku obrazowania medycznego i diagnostyki dokładamy wszelkich starań, aby pomóc Ci w utrzymaniu właściwego kierunku - bez względu na wyzwania i zagrożenia, z jakimi musisz się zmierzyć. Oferujemy niezwykle nowoczesne portfolio zapewniające ochronę całej placówce, w którego skład wchodzą bezpieczne produkty, usługi zarządzania cyberbezpieczeństwem oraz doradztwo. Nieustannie udoskonalamy nasze systemy i procesy oraz szkolimy nasze zespoły w obszarach dotyczących cyberbezpieczeństwa, ponieważ zależy nam, by zachować maksymalnie wysoki poziom świadomości dotyczącej zagrożeń cybernetycznych.

Zaufanie i certyfikacja

Firma Siemens Healthineers była certyfikowana przez niezależne agencje certyfikacyjne zgodnie z normą ISO/IEC 27001:2013 poszerzoną o normę ISO/IEC 27701:2019. Świadczy to o naszym zaangażowaniu w ochronę prywatności danych i zapewnienie cyberbezpieczeństwa zarówno naszego zrównoważonego biznesu, jak i wszystkich kluczowych interesariuszy firmy, w szczególności klientów.

Jesteśmy partnerem biznesowym, który towarzyszy klientom na każdym etapie ścieżki terapeutycznej ich pacjentów. Poniżej podajemy kilka kluczowych argumentów, dlaczego warto nam zaufać.

Globalny system zarządzania cyberbezpieczeństwem firmy Siemens Healthineers obejmuje bezpieczeństwo informacji i zarządzanie informacjami dotyczącymi ochrony prywatności. Obejmuje on również nadzór korporacyjny i asekurację zapewnianą przez grupy ds. cyberbezpieczeństwa, ochrony danych, bezpieczeństwa informatycznego i operacji IT, działające z poziomu centrali firmy w Erlangen.

Click to download the ISO/IEC 27001:2013 and ISO/IEC 27701:2019 certificate. Please note that this is a static download and will be reverted back to the online version hosted by SGS as soon as possible.

Certyfikat (pdf)

Bezpieczeństwo cybernetyczne obejmujące cały cykl życia produktu

Zdolność do wykrywania zagrożeń cybernetycznych, zapobiegania im i reagowania na nie (ang. cybersecurity readiness) to elementy kultury korporacyjnej firmy Siemens Healthineers. Opracowujemy i projektujemy produkty z zachowaniem zasad bezpieczeństwa, dbamy o bezpieczne wdrażanie i pomagamy w stałym utrzymaniu bezpieczeństwa operacji.

Cybersecurity throughout the product lifecycle

Bezpieczeństwo produktu

Sprzęt medyczny* firmy Siemens Healthineers wyposażony jest w rozwiązania, które chronią przed zagrożeniami cybernetycznymi. Nasze produkty projektowane są z myślą o bezpieczeństwie cybernetycznym: wspierają bezpieczną integrację z siecią i umożliwiają wykonywanie bezpiecznych operacji przez całą dobę.

Bezpieczny cykl rozwojowy

Dzięki bezpiecznemu cyklowi rozwojowemu (SDL - Secure Development Lifecycle), na którym opiera się podejście firmy Siemens Healthineers do cyberbezpieczeństwa, nasze produkty* spełniają aktualne wymagania operacyjne:

Projektowanie sprzętu i oprogramowania odbywa się zgodnie z określonymi, niezwykle nowoczesnymi procesami
Produkty opracowywane są zgodnie ze znormalizowanymi wymaganiami firmy Siemens Healthineers oraz najlepszymi praktykami branżowymi
Odpowiednie procesy i wymagania są konsekwentnie wdrażane i stosowane w ramach całego portfolio produktów firmy Siemens Healthineers

_{*Nieustannie udoskonalamy i zwiększamy zakres środków bezpieczeństwa dla aktualnej gamy naszych produktów. Zagrożenia i związane z nimi ryzyko ewoluują, dlatego też nie wszystkie stwierdzenia zawarte na tej stronie mają zastosowanie do wszystkich produktów i usług. Więcej informacji można uzyskać kontaktując się z lokalnym przedstawicielem firmy Siemens.}

*Szyfrowanie danych:* zabezpiecz przechowywane i przesyłane dane korzystając z najnowocześniejszych funkcji szyfrowania danych

Wbudowane mechanizmy kontroli bezpieczeństwa

Wszystkie obecnie opracowywane produkty (a także szereg dotychczas oferowanych produktów) mają wbudowane mechanizmy kontroli bezpieczeństwa, które są niezbędne w nowoczesnych środowiskach informatycznych:

Bezpieczna konfiguracja i wzmacnianie
Uwierzytelnianie i autoryzacja
Technologia białej listy
Szyfrowanie danych
Zaufane certyfikaty
Audyt i rejestrowanie

Przejrzystość

Informacje, których potrzebujesz, są przez nas przekazywane z wyprzedzeniem, by uniknąć niespodzianek po wdrożeniu systemu. Skontaktuj się z lokalnym przedstawicielem handlowym, aby uzyskać następujące dokumenty:

Białą księgę produktu opisującą wszystkie dostępne funkcje bezpieczeństwa produktu
Wykaz komponentów oprogramowania (SBOM - Software Bill of Materials)
Ogólne wytyczne i porady dotyczące cyberbezpieczeństwa
Zalecenia dotyczące bezpiecznej konfiguracji środowiska
Oświadczenie producentów dotyczące bezpieczeństwa wyrobu medycznego (MDS²)

Wdrożenie

Podczas wdrożenia weryfikujemy instalację i konfigurujemy zabezpieczenia w zależności od wymagań Twojej placówki medycznej dotyczących sieci i bezpieczeństwa.

Konfiguracja zarządzania użytkownikami umożliwiająca przypisywanie ról pracownikom
Zindywidualizowane hasła
Aktywacja szyfrowania w celu ochrony przed kradzieżą danych
Bezpieczne połączenie z równorzędnymi systemami, np. archiwum DICOM

Usługi w zakresie zarządzania cyberbezpieczeństwem

Nowe luki w zabezpieczeniach wykrywane są na bieżąco, dlatego też niezbędne jest monitorowanie, aktualizowanie i modernizowanie systemów w celu zachowania bezpieczeństwa. Oferujemy pakiet usług, które pomogą Ci utrzymać zalecany poziom bezpieczeństwa systemów firmy Siemens Healthineers.

Cybersecurity Management Services - Vulnerability monitoring and assessment

Monitorowanie i ocena podatności na zagrożenia

Zgodnie z wytycznymi amerykańskiej Agencji Żywności i Leków (FDA) i najlepszymi praktykami branżowymi stale monitorujemy i oceniamy, czy rozpoznane luki w zabezpieczeniach mogą zostać użyte w celu niepożądanego wykorzystania systemów i oprogramowania. Opracowaliśmy również formalną procedurę rozpatrywania i ujawniania zgłoszonych luk w zabezpieczeniach związanych ze sprzętem i rozwiązaniami naszej firmy.

Przejrzysty przegląd stanu zabezpieczeń
Chcemy, aby korzystanie z ochrony przed zagrożeniami było dla Ciebie maksymalnie dogodne. Jest to możliwe dzięki platformie teamplay Fleet oraz naszemu portalowi internetowemu umożliwiającemu prostą i efektywną obsługę sprzętu, w której zakres wchodzi również cyberbezpieczeństwo.

Profile cyberbezpieczeństwa na platformie teamplay Fleet dostarczają informacje o stanie bezpieczeństwa Twojej floty
Jeden interfejs do oceny stanu urządzeń medycznych i rozwiązań informatycznych firmy Siemens Healthineers
Wysoki poziom przejrzystości powiadomień dotyczących ostatnich luk w zabezpieczeniach
Dostęp do poradników na temat bezpieczeństwa oraz rekomendacji dotyczących środków ograniczających ryzyko

Aktualizacje pod kątem cyberbezpieczeństwa

Raz na kwartał dostarczamy łatki do oprogramowania dla sprzętu firmy Siemens Healthineers* i w razie potrzeby udostępniamy dodatkowe poprawki. Pozwala to na zachowanie odpowiedniego poziomu ochrony oraz nadążenie za zmianami, które mają miejsce w zmieniającym się krajobrazie zagrożeń:

Wszystkie łatki do oprogramowania przed wdrożeniem poddawane są walidacji pod kątem bezpieczeństwa pacjenta i ciągłości działania systemów
Jeżeli Twoje systemy są połączone z naszym zdalnym serwisem (SRS - Smart Remote Service) zapewniającym szyfrowanie danych przez sieć VPN, łatki do oprogramowania będą przesyłane automatycznie, a Ty będziesz mógł zainstalować je jednym kliknięciem
Możesz również zaplanować instalację aktualizacji w dogodnym dla siebie momencie dzięki funkcji „Aktualizacje oprogramowania w dowolnym momencie” (Anytime Software Update) na platformie teamplay Fleet. Funkcja ta jest przydatna zwłaszcza w przypadku sprzętu*, który nie ma możliwości zdalnego serwisowania.

Supernowoczesne oprogramowanie systemu

Sprzęt medyczny może stać się przestarzały, zanim zostanie zgodnie z planem wymieniony na nowy. Dzięki naszym Planom typu Advance możemy pomóc w aktualizowaniu systemów firmy Siemens Healthineers tak, by mogły one sprostać przyszłym wymaganiom i były „cyberbezpieczne” przez cały okres ich eksploatacji. Wybierz jeden z wielu poziomów usług, które zaspokoją Twoje potrzeby w sposób dostosowany do wymogów regulacyjnych i możliwości finansowych. W przypadku produktów, które nie kwalifikują się jeszcze do objęcia Planami Advance, oferujemy inne umowy serwisowe. Odwiedź naszą stronę internetową „Usługi dla Klientów”, gdzie znajdziesz dodatkowe informacje.

Kompetentne zarządzanie incydentami

Dzięki ponad 30-letniemu doświadczeniu w dziedzinie bezpieczeństwa informatycznego jesteśmy dobrze przygotowani do reagowania na cyberataki. Nasza reakcja na naruszenia integralności sprzętu jest szybka i ukierunkowana na ograniczenie potencjalnych szkód:

Wykonujemy ocenę techniczną, ustalamy priorytety związane z wyeliminowaniem naruszeń i udostępniamy istotne informacje w efektywny i przejrzysty sposób
Przeprowadzamy analizy kryminalistyczne, aby zminimalizować ryzyko cyberataków w przyszłości
Oferujemy wsparcie w przywracaniu pełnej funkcjonalności sprzętu.

Potrzebujesz wsparcia już teraz? Otwórz zgłoszenie serwisowe na platformie teamplay Fleet.

Ochrona danych osobowych

Ochrona prywatności Twoich danych jest dla nas bardzo ważna. Aby pomóc Ci w przestrzeganiu przepisów, takich jak ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) w USA oraz ogólne rozporządzenie o ochronie danych (RODO) w Europie, dostosowaliśmy nasze procesy do podstawowej zasady „prywatności w fazie projektowania oraz domyślnej ochrony prywatności”. Oznacza to, że już na wczesnych etapach projektowania i planowania ochrona danych uwzględniana jest w produktach, rozwiązaniach i usługach, w przypadku których ma miejsce przetwarzanie danych osobowych.

Certyfikowana zdalna obsługa serwisowa
Serwis zdalny (SRS Smart Remote Services) został zaprojektowany tak, by pomóc Ci w utrzymaniu wysokiego poziomu poufności i integralności danych pacjentów przy jednoczesnym zachowaniu dostępności Twoich danych. Zdalny serwis, certyfikowany zgodnie z normą ISO 27001, wykorzystuje zaawansowane procedury uwierzytelniania i autoryzacji, najnowocześniejsze technologie szyfrowania i procedury rejestrowania wraz ze ściśle egzekwowanymi środkami organizacyjnymi. Zabezpieczenia te pozwalają optymalnie chronić dane pacjenta i ograniczyć dostęp do nich w razie potrzeby.

Bezpieczeństwo przetwarzania w chmurze

Nasze rozwiązania oparte na chmurze — w tym platforma teamplay (która uzyskała europejski certyfikat prywatności European Privacy Seal (EuroPriSe)), AI-Rad Companion oraz Digital Ecosystem – zabezpieczone są przez platformę chmurową Microsoft Azure. Zapewnia ona najnowocześniejszą ochronę przed naruszeniami i złośliwymi atakami. Szyfrowane są wszystkie Twoje dane, w tym informacje przesyłane z Twojej placówki oraz te przechowywane w naszej infrastrukturze chmurowej. Ponadto nasze rozwiązania umożliwiają ograniczenie korzystania z sieci oraz dostępu do danych w oparciu o role pracowników, co ma na celu zachowanie ścisłej kontroli nad informacjami podlegającymi szczególnej ochronie.

Publikacje

Na bieżąco publikujemy poradniki i biuletyny dotyczące bezpieczeństwa, by informować o wszelkich zweryfikowanych lukach w zabezpieczeniach występujących w produktach firmy Siemens Healthineers. Środki zaradcze mogą polegać na zastosowaniu aktualizacji, ulepszonej wersji lub innych działaniach z Twojej strony. Więcej informacji można uzyskać odwiedzając portal internetowy dla klientów na platformie teamplay Fleet firmy Siemens Healthineers.

Luki w zabezpieczeniach produktów stosowanych w ochronie zdrowia związane z deserializacją

Pełny poradnik na temat bezpieczeństwa można znaleźć tutaj (Poradnik firmy Siemens Healthineers dotyczący bezpieczeństwa) lub w portalu internetowym dla klientów na platformie teamplay Fleet firmy Siemens Healthineers.

Luka w zabezpieczeniach związana z biblioteką Java Log4j (CVE-2021-44228)

W Siemens Healthineers zdajemy sobie sprawę z możliwości wykorzystania luki zero-day do przeprowadzania ataków z wykorzystaniem zdalnie wykonywanego szkodliwego kodu (RCE - remote code execution) w bibliotece Java Log4j, zidentyfikowanej jako CVE-2021-44228. Nasi eksperci ds. cyberbezpieczeństwa nadal analizują ten problem i podejmują działania, żeby zniwelować jego potencjalny wpływ na nasze produkty. Wydano wstępny poradnik dotyczący bezpieczeństwa – znajdziesz go tutaj.

Luki w zabezpieczeniach parsowania w plikach DICOM/BMP w syngo fastView

Stos jądra TCP/IP

Pełny poradnik na temat bezpieczeństwa można znaleźć w portalu internetowym dla klientów korzystających z platformie teamplay Fleet firmy Siemens Healthineers.

Luka PrintNightmare (CVE-2021-34527)

W Siemens Healthineers zdajemy sobie sprawę z istnienia luki w buforze wydruku umożliwiającej zdalne wykonanie kodu w systemie Windows (CVE-2021-34527) o nazwie PrintNightmare (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527), ujawnionej przez firmę Microsoft 1 lipca 2021 roku.

Nasi eksperci analizują raporty w celu ustalenia, czy ma to wpływ na jakiekolwiek produkty firmy Siemens Healthineers. Niniejsze oświadczenie zostanie zaktualizowane, gdy będzie to wymagane ze względu na pojawienie się kolejnych informacji dotyczących tego tematu. Powiadomimy o tym klientów za pośrednictwem portalu internetowego dla klientów na platformie teamplay Fleet firmy Siemens Healthineers.

Luka BadAlloc w QNX - systemie operacyjnym czasu rzeczywistego

W Siemens Healthineers jesteśmy świadomi istnienia luki zwanej BadAlloc w QNX - systemie operacyjnym czasu rzeczywistego. Nasi eksperci ds. cyberbezpieczeństwa przeprowadzili dochodzenie i jak dotąd nie znaleźli oznak świadczących o tym, że produkty firmy Siemens Healthineers są w związku z tym zagrożone. Nieustannie monitorujemy problem w miarę jego rozwoju. O ile to będzie konieczne, powiadomimy klientów za pośrednictwem internetowego portalu dla klientów na platformie teamplay Fleet firmy Siemens Healthineers.

Luki w zabezpieczeniach Platformy SolarWinds Orion

W Siemens Healthineers zdajemy sobie sprawę z podatności na tzw. atak w łańcuchu dostaw wskutek luk w zabezpieczeniach Platformy SolarWinds Orion, które zostały ogłoszone publicznie w grudniu 2020 roku.

W badaniach przeprowadzonych przez naszych ekspertów ds. bezpieczeństwa nie stwierdzono, aby ta luka w zabezpieczeniach miała wpływ na jakiekolwiek produkty firmy Siemens Healthineers. Nieustannie monitorujemy ten problem w miarę jego rozwoju. W razie potrzeby przekażemy klientom dodatkowe informacje za pośrednictwem portalu internetowego dla klientów na platformie teamplay Fleet firmy Siemens Healthineers.

Podatność na zdalne wykonanie kodu w oprogramowaniu syngo.via (CVE-2019-18935)
Pełny poradnik na temat bezpieczeństwa można znaleźć tutaj (Poradnik firmy Siemens Healthineers dotyczący bezpieczeństwa) lub w portalu internetowym dla klientów na platformie teamplay Fleet firmy Siemens Healthineers.

Poradnik CISA ICSA-20-343-01
W Siemens Healthineers znamy doniesienia zawarte w poradniku Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa (CISA) ICSA-20-343-01, w którym wyszczególniono 33 luki w zabezpieczeniach o numerach od CVE-2020-13984 do CVE-2020-25112. Eksperci z firmy Siemens Healthineers badają tę sytuację. Jeżeli zajdzie taka konieczność, dostarczymy naszym klientom dodatkowe informacje za pośrednictwem portalu internetowego dla klientów na platformie teamplay Fleet firmy Siemens Healthineers.

Analizator DCA Vantage (luki CVE-2020-7590 oraz CVE-2020-15797)
W Siemens Healthineers zdajemy sobie sprawę z istnienia dwóch luk w zabezpieczeniach w Analizatorze DCA Vantage: CVE-2020-7590 oraz CVE-2020-15797. Obecnie udostępnione zostało oprogramowanie dla klientów w wersji 4.5, którego celem jest usunięcie obu problemów. Pełny poradnik na temat bezpieczeństwa można znaleźć tutaj (Poradnik firmy Siemens Healthineers dotyczący bezpieczeństwa) lub w portalu internetowym dla klientów na platformie teamplay Fleet firmy Siemens Healthineers.

24.06.2020: luki w zabezpieczeniach Ripple20 - Treck TCP/IP stack
W Siemens Healthineers jesteśmy świadomi istnienia luk w zabezpieczeniach TCP/IP stack o nazwie Ripple20 (https://h-isac.org/h-isac-vulnerability-bulletin-ripple20/), ujawnionych przez Treck 16 czerwca 2020 roku.
Nasi eksperci analizują raporty w celu ustalenia, czy ma to wpływ na jakiekolwiek produkty firmy Siemens Healthineers. Niniejsze oświadczenie zostanie zaktualizowane, gdy tylko pojawi się więcej informacji na ten temat. Powiadomimy o tym klientów za pośrednictwem portalu internetowego dla klientów na platformie teamplay Fleet firmy Siemens Healthineers.

25.02.2020: SweynTooth - luki w zabezpieczeniach technologii Bluetooth Low Energy (BLE)
W Siemens Healthineers jesteśmy świadomi istnienia luk w zabezpieczeniach technologii Bluetooth Low Energy (BLE), znanych pod wspólną nazwą SweynTooth. Dochodzenia przeprowadzone przez naszych ekspertów ds. bezpieczeństwa nie wykryły jakichkolwiek produktów dotkniętych tymi lukami w zabezpieczeniach. Nieustannie monitorujemy problem w miarę jego rozwoju i w razie potrzeby powiadomimy klientów za pośrednictwem internetowego portalu dla klientów na platformie teamplay Fleet firmy Siemens Healthineers.

Skoordynowane ujawnianie luk w zabezpieczeniach

Zachęcamy wszystkich do zgłaszania luk w zabezpieczeniach, niezależnie od zawartych umów serwisowych czy fazy cyklu życia produktu. Jesteśmy otwarci na doniesienia o lukach w zabezpieczeniach pochodzące od badaczy, grup branżowych, CERT, partnerów i z wszelkich innych źródeł. W Siemens Healthineers szanujemy interesy strony zgłaszającej (również przekazującej informacje anonimowo na żądanie) i zobowiązujemy się do usunięcia wszelkich luk w zabezpieczeniach, co do których istnieje uzasadnione przypuszczenie, że mają one związek z produktami lub komponentami firmy Siemens Healthineers. Wzywamy strony zgłaszające do ujawniania luk w zabezpieczeniach w skoordynowany sposób, ponieważ natychmiastowe podanie ich do wiadomości publicznej powoduje „sytuację dnia 0”, która naraża systemy naszych klientów oraz szpitale klientów na niepotrzebne ryzyko.

Proces zgłoszeniowy firmy Siemens Healthineers jest zgodny z procedurą firmy Siemens AG dotyczącą skoordynowanego ujawniania luk w zabezpieczeniach. Proces ten rozpoczyna się od wysłania wiadomości e-mail na jeden z poniższych adresów. Bardziej szczegółowy opis procesu można znaleźć na stronie internetowej dotyczącej postępowania z lukami w zabezpieczeniach oraz ich ujawniania w firmie Siemens.

Skontaktuj się z nami

Serwis

Edukacja

„Data Security in Healthcare Needs Intensive Care” [„Bezpieczeństwo danych w opiece zdrowotnej wymaga intensywnej terapii”], Security Scorecard, dostęp: 1 października 2019 roku

https://securityscorecard.com/resources/data-security-in-healthcare-needs-intensive-care.

Chandu Gopalakrishnan, „Healthcare leads in cost of data breaches” („Służba zdrowia jest w czołówce pod względem kosztów naruszeń bezpieczeństwa danych”), SC Media UK, publikacja z dnia 23 września 2019 roku, dostęp: 1 października 2019 roku

https://www.scmagazineuk.com/healthcare-leads-cost-data-breaches/article/1660364.

„July 2019 Healthcare Data Breach Report” [„Raport z lipca 2019 roku dotyczący naruszeń bezpieczeństwa danych w sektorze opieki zdrowotnej”], HIPAA Journal, publikacja z 26 sierpnia 2019 roku, dostęp: 1 października 2019 roku

https://www.hipaajournal.com/july-2019-healthcare-data-breach-report

*Nieustannie udoskonalamy i rozszerzamy środki bezpieczeństwa dla naszych obecnych produktów. Zagrożenia i związane z nimi ryzyko ewoluują, dlatego też nie wszystkie stwierdzenia zawarte na tej stronie mają zastosowanie do wszystkich produktów i usług. Więcej informacji można uzyskać kontaktując się z lokalnym przedstawicielem firmy Siemens.