Declaração coordenada de divulgação de vulnerabilidades v2.1 da GE HealthCare

Atualização Agosto 2023

A GE HealthCare incentiva a pesquisa responsável em segurança

A GE HealthCare reconhece o papel importante que os pesquisadores de segurança desempenham para ajudar a promover práticas de projeto seguras e atenuação de riscos de segurança dentro do setor de dispositivos médicos, especificamente, e do ecossistema de saúde como um todo. Valorizamos o trabalho feito por pesquisadores de segurança e incentivamos o envolvimento proativo conosco nas vulnerabilidades descobertas e a divulgação proposta de maneira coordenada e responsável. Este documento define as nossas expectativas para pesquisadores que realizam pesquisas de segurança sobre os produtos da GE HealthCare em suas interações conosco e com terceiros e também o que eles podem esperar de nós.

Objetivo

O objetivo do Programa coordenado de divulgação de vulnerabilidades da GE HealthCare é coordenar a investigação e divulgação de novas vulnerabilidades em potencial nos produtos da GE HealthCare. O objetivo coletivo de pesquisadores de segurança e da GE HealthCare deve sempre ser o de reduzir os riscos, com a devida consideração dada a todo o ambiente operacional afetado por qualquer vulnerabilidade descoberta.

Escopo

Esta Declaração coordenada de divulgação de vulnerabilidades se aplica a todos os produtos disponíveis comercialmente da GE HealthCare.

Este processo deve ser usado para relatar possíveis novas vulnerabilidades nos produtos da GE HealthCare. Vulnerabilidades em sistemas operacionais e outros componentes de terceiros não devem ser relatadas por meio desse processo.

Pré-requisitos de emissão de relatórios

Os pesquisadores de segurança devem aderir aos seguintes pré-requisitos durante todo o processo de pesquisa e divulgação, incluindo pesquisa e teste iniciais:

  • Cumprir todas as leis e regulamentos aplicáveis de sua localização e lugar onde o produto da GE HealthCare está localizado;
  • Não usar uma vulnerabilidade para tomar medidas desproporcionais, como explorar uma vulnerabilidade que não seja para provar sua existência, remover dados confidenciais do produto, criar uma brecha ou introduzir mais vulnerabilidade em um produto para uso subsequente;
  • Não se envolver em pesquisa ou teste de sistemas onde haja risco de danos ao paciente;
  • Não testar produtos ou a infraestrutura da rede em ambientes clínicos ou outros ambientes ativos nos quais os produtos estão sendo usados para qualquer tipo de diagnóstico, tratamento, cuidado ou monitoramento de pacientes, ou que poderiam ser inadvertidamente usados dessa forma;
  • Qualquer produto destinado ao uso subsequente em um ambiente clínico deve ser devolvido ao seu estado original quando o teste for concluído. Entrar em contato com a GE HealthCare para assistência técnica;
  • Obter permissão por escrito do proprietário do produto da GE HealthCare antes de qualquer teste, para garantir que o escopo seja claro. Se o produto for arrendado da GE HealthCare, a permissão deve ser obtida tanto da GE HealthCare quanto do arrendatário;
  • Não divulgar detalhes da vulnerabilidade ao público antes que um prazo mutuamente acordado com a GE HealthCare tenha expirado;
  • Não operar fora do escopo descrito neste documento; e
  • Fornecer à GE detalhes da comunicação com organizações reguladoras ou outros terceiros sobre qualquer vulnerabilidade descoberta, sem atraso.

Como enviar uma vulnerabilidade

Para enviar uma vulnerabilidade à Equipe de Segurança de Produtos da GE HealthCare, envie um e-mail para (GEHealthcareCVD@GE.com). Use nossa chave PGP, ou outras ferramentas de criptografia adequadas, para proteger detalhes confidenciais. Não inclua dados confidenciais (por exemplo, dados identificáveis do paciente) no corpo da comunicação ou em anexos (por exemplo, capturas de tela, imagens ou arquivos de registro).

Este e-mail do CVD não deve ser usado para consultas relacionadas a vulnerabilidades já divulgadas ou vulnerabilidades em componentes de terceiros (não no software do produto da GE HealthCare). Informações relacionadas a vulnerabilidades divulgadas anteriormente estão disponíveis no Portal de Segurança de Produtos da GE HealthCareou podem ser solicitadas por meio de um Representante de Serviços da GE HealthCare.

Preferências, priorização e critérios de aceitação

O que solicitamos a você e esperamos de você:

  • Relatórios bem escritos em português têm uma chance maior de resolução;
  • A inclusão de detalhes essenciais, como localização geográfica do produto, modelo e número de série exatos, bem como a versão do software e o método de obtenção do sistema, beneficiará a priorização;
  • Relatórios que incluem código de prova de conceito nos permitem realizar uma triagem melhor;
  • Relatórios sobre produtos ou ambientes fora do escopo desta declaração podem não ser priorizados;
  • Todas as informações sobre como você descobriu a vulnerabilidade, qual impacto você vê, seus pensamentos sobre pontuação CVSS e correções sugeridas ajudarão a apoiar a interação eficiente conosco;
  • Inclua o objetivo de sua divulgação para nós ou qualquer intenção de divulgação pública; e
  • Não use este canal para relatar reclamações sobre produtos da GE atualmente em uso. Todas as reclamações dos clientes sobre a segurança ou o desempenho de um produto da GE HealthCare em uso devem ser feitas diretamente a um representante de serviços da GE HealthCare.

O que você pode esperar de nós:

  • Confirmaremos o recebimento de sua mensagem dentro de quatro (4) dias úteis;
  • Na fase seguinte da triagem inicial e das avaliações, um membro apropriado da Equipe de segurança de produtos da GE HealthCare pode entrar em contato com você para:
    • Solicitar mais informações, ou
    • Comunicar um processo e cronograma esperados ou
    • Notificar que a vulnerabilidade relatada não é aceita no programa por não atender aos requisitos do programa ou devido à falta de detalhes suficientes;
  • Quando informações suficientes forem coletadas e o relatório tiver sido aceito, nós iremos:
    • Avaliar o relatório e investigar com equipes relevantes de segurança e engenharia de produtos;
    • Comunicar durante todo o processo de investigação e correção com expectativas claras sobre o cronograma; e
    • Comunicar nossa conclusão final;
  • A GE HealthCare é uma Autoridade de numeração CVE (CNA) MITRE e pode criar suas próprias entradas CVE e NVD para divulgação, se necessário.
  • Forneceremos reconhecimento público para o pesquisador de segurança (se solicitado) e se o relatório resultar em uma divulgação pública.

Quando necessário, a GE HealthCare pode solicitar a um terceiro neutro que ajude na resolução da consulta.

Ao enviar uma solicitação, você reconhece que a GE HealthCare pode usar de maneira irrestrita (e permite que outros façam o mesmo) quaisquer dados ou informações que você fornecer à GE HealthCare. Seu envio não concede a você nenhum direito sob a propriedade intelectual da GE HealthCare nem cria quaisquer obrigações por parte da GE HealthCare.