IT biztonság és koordinált sérülékenység-bejelentés

A Labtech Kft. elkötelezett az orvostechnikai eszközeink és a Cardiospy szoftver-ökoszisztéma kiberbiztonsága mellett. Bátorítjuk a biztonsági kutatókat, ügyfeleinket és partnereinket, hogy azonosított sérülékenységeket felelősen, összehangolt módon jelentsék, hogy ezzel védhessük a betegeket, az egészségügyi ellátókat és a kórházi IT rendszereket.

 

Biztonsági elérhetőség

Kapcsolatfelvétel a Labtech biztonsági csapatával

Ha úgy gondolja, hogy bármely Labtech termékben vagy szolgáltatásban biztonsági sérülékenységet talált, kérjük, a weboldalunk „Kapcsolat” menüpontja alatt elérhető kapcsolatfelvételi űrlapon keresztül jelezze felénk.

  • Nyissa meg a weboldalon a „Kapcsolat” menüpontot, és töltse ki a kapcsolatfelvételi űrlapot.
  • A tárgy vagy kategória mezőben kérjük jelezze, hogy az üzenet „Kiberbiztonság” vagy „Vigilancia” témájú, vagy egyértelműen írja be, hogy biztonsági sérülékenység bejelentés.

Visszajelzési idők

  • Visszaigazolás: legkésőbb 48 órán belül
  • Elsődleges értékelés: legkésőbb 72 órán belül

Kérjük, ne küldjön a szövegben vagy a csatolmányokban betegazonosításra alkalmas adatokat titkosítatlan formában. Amennyiben érzékeny információt szükséges megosztania, jelezze ezt az üzenetben, és felvesszük Önnel a kapcsolatot, hogy biztonságos adattovábbítási módot egyeztessünk.


Hatókör

A jelen szabályzat hatálya

Ez a biztonsági és koordinált sérülékenység-bejelentési szabályzat az alábbi rendszerekben azonosított sérülékenységekre vonatkozik:

  • Cardiospy PC szoftver
  • Cardiospy Mobile (Android / iOS)
  • EC-sorozatú orvostechnikai eszközök (EC-2H, EC-3H, EC-12H, EC-12RM, EC-12S, EC-ABP, rehabilitációs készülékek)
  • Firmware és kommunikációs protokollok (USB, Bluetooth, SD-kártyás tárolás)
  • Frissítési és terjesztési infrastruktúra (Applife Update, firmware-feltöltés, biztonságos FTP végpontok)
  • A Labtech által üzemeltetett, biztonsági szempontból releváns felhő- vagy kiegészítő szolgáltatások

Nem tartozik a hatály alá

Az alábbiak általában nem tartoznak a program hatálya alá:

  • Social engineering, phishing vagy fizikai támadások a Labtech munkatársai vagy ügyfelei ellen
  • Szolgáltatásmegtagadásos (DoS/DDoS) támadások, amelyek nem járnak adatkompromittálással
  • Olyan harmadik fél által üzemeltetett kórházi infrastruktúra problémái, amelyek nem a Labtech felelősségi körébe tartoznak
  • Spam vagy nem biztonsági jellegű, kéretlen e-mail bejelentések

Bejelentés

Sérülékenység bejelentése

Sérülékenység bejelentésekor kérjük, hogy a lehető legtöbb alábbi információt adja meg:

  • Termék neve és verziója (pl. Cardiospy PC 5.x, Cardiospy Mobile 3.x, EC-12RM firmware verzió)
  • A hiba egyértelmű leírása és a lehetséges hatás
  • Pontos lépések a hiba reprodukálásához (konfigurációval és környezettel együtt)
  • Proof-of-concept kód vagy képernyőképek (ha biztonságosan megoszthatók)
  • Javasolt CVSS pontszám vagy súlyossági besorolás (opcionális)
  • Elérhetőségei a további egyeztetéshez

Ha a jelentés érzékeny technikai részleteket vagy esetleg betegadatokra utaló információkat tartalmaz, kérjük, titkosítva küldje el, és kérésre PGP kulcsot is biztosítunk.

Folyamat

Koordinált sérülékenység-kezelési folyamat

A Labtech Kft. a sérülékenységek kezelésére olyan koordinált folyamatot alkalmaz, vamely egyszerre szolgálja az átláthatóságot, a betegek biztonságát és az ésszerű határidőn belüli elhárítást.

Folyamat áttekintése

  1. Bejelentés – A sérülékenységet a weboldalunk „Kapcsolat” menüpontja alatt elérhető kapcsolatfelvételi űrlapon keresztül küldi el. Kérjük, egyértelműen jelezze, hogy kiberbiztonsági vagy vigilanciával kapcsolatos bejelentésről van szó, illetve hogy biztonsági sérülékenység bejelentés.
  2. Visszaigazolás (≤ 48 óra) – Megerősítjük, hogy megkaptuk a bejelentést.
  3. Elsődleges értékelés (≤ 72 óra) – Megvizsgáljuk a reprodukálhatóságot, a hatást és a hatókört.
  4. Vizsgálat és validálás – Biztonsági és fejlesztő csapataink, szükség esetén akkreditált kiberbiztonsági labor bevonásával, validálják a problémát.
  5. Elhárítási terv – Meghatározzuk és megvalósítjuk a szükséges intézkedéseket (szoftverjavítás, konfigurációmódosítás vagy kompenzáló kontrollok).
  6. Koordinált nyilvánosságra hozatal – A javítás elérhetősége után értesítjük az érintett ügyfeleket, és szükség esetén biztonsági közleményt adunk ki.
  7. Kutatói elismerés – Az Ön hozzájárulásával a biztonsági közleményekben név szerint is megemlíthetjük a közreműködését.

Elhárítási célidők (SLA)

A sérülékenységek súlyossága alapján az alábbi célszinteket alkalmazzuk:

Súlyosság (belső besorolás) Célzott elhárítási idő
Critical / High ≤ 15 munkanap
Medium ≤ 60 munkanap
Low Következő ütemezett kiadás

A tényleges határidők a klinikai kockázat, a megoldás összetettsége, valamint az egészségügyi szolgáltatókkal és szabályozó hatóságokkal történő egyeztetés függvényében eltérhetnek.

Jóhiszemű kutatás

Jóhiszemű kutatás és „safe harbor”

A Labtech Kft. támogatja azokat a jóhiszemű biztonsági kutatásokat, amelyek célja az orvostechnikai eszközök biztonságának és hatékonyságának javítása.

Vállalásaink:

  • Nem indítunk jogi eljárást olyan kutatók ellen, akik:
    • jóhiszeműen jelentenek sérülékenységeket,
    • tiszteletben tartják a betegadatok védelmét és az adatvédelmi szabályokat, és
    • betartják az ezen az oldalon leírt irányelveket.
  • Az ezen szabályzatnak megfelelő tesztelést és bejelentést
    engedélyezettnek tekintjük a Labtech eszközök és szoftverek biztonságának javítása érdekében.
  • Együttműködünk Önnel a sérülékenység megértésében, elhárításában és – ahol ez indokolt – a nyilvános közzététel koordinálásában.

Irányelvek

Kutatói irányelvek és elvárások

A betegek és egészségügyi szolgáltatók védelme érdekében kérjük, hogy a kutatók az alábbiakat tartsák be:

  • Ne férjenek hozzá, ne módosítsák és ne töröljék valódi betegadatokat.
  • Ne zavarják meg a klinikai szolgáltatásokat vagy kórházi működést.
  • Ne végezzenek tesztelést olyan éles rendszereken, amelyeket közvetlen betegellátásban használnak.
  • Lehetőség szerint használjanak tesztkörnyezetet vagy nem éles konfigurációt.
  • Ha véletlenül betegazonosító adatba ütköznek, azonnal hagyják abba a tesztelést, és értesítsenek minket.
  • Tartsák be a vonatkozó jogszabályokat és adatvédelmi előírásokat (pl. GDPR).

Nem ide tartozó esetek

Nem a program hatálya alá tartozó bejelentések példái

Minden jóhiszemű bejelentést szívesen fogadunk, ugyanakkor az alábbi típusú problémák általában nem tartoznak a program hatálya alá:

  • Fizikai támadások eszközök, létesítmények vagy hálózati eszközök ellen
  • Social engineering, phishing vagy csalás a Labtech munkatársai vagy ügyfelei ellen
  • Szolgáltatásmegtagadásos (DoS/DDoS) támadások adatkompromittálás nélkül
  • Olyan harmadik fél által fejlesztett termékek sérülékenységei, amelyeket nem a Labtech tart karban
  • Nem biztonsági jellegű hibák, amelyek nem érintik a bizalmasságot, sértetlenséget vagy rendelkezésre állást

Ha bizonytalan abban, hogy az Ön észlelése a program hatálya alá tartozik-e, akkor is bátorítjuk a bejelentést – inkább vizsgálunk meg egy plusz jelentést, minthogy egy fontos problémáról ne szerezzünk tudomást.

Közlemények

Biztonsági közlemények és bulletinek

Amennyiben egy sérülékenységet megerősítünk és elhárítunk, a Labtech szükség esetén biztonsági közleményt tesz közzé CVE azonosítóval, technikai részletekkel és az ügyfeleknek, illetve egészségügyi szolgáltatóknak szóló útmutatással.

Közlemény-archívum

Jelenleg nincsenek nyilvánosan elérhető biztonsági közlemények.
A jövőbeni közlemények ezen az oldalon fognak megjelenni.

Szabályzatok

Hivatkozott dokumentumok

Szabályozó hatóságok, bejelentett szervezetek és kórházi IT/biztonsági csapatok számára részletes kiberbiztonsági dokumentáció – többek között a teljes koordinált sérülékenység-bejelentési szabályzat és kockázatelemzési jelentések – kérésre elérhetők.

  • Cybersecurity Risk Assessment és Incident Response Plan (eszköz-specifikus, kérésre)
  • SBOM és KEV monitorozási dokumentáció (kérésre, titoktartási megállapodás mellett)

Utolsó frissítés:

2025.12.12.