Vi er forpligtede til at sikre vores produkters sikkerhed og effektivitet. Cybersikkerhed for vores produkter og vores kunders infrastruktur er et af vores primære fokusområder.

Sikkerhedsforskere spiller en rolle ved identificering af cybersikkerhedssårbarheder og problemer. Vores mål er effektivt at samarbejde med forskningsmiljøet for at forstå deres resultater. Vi indfører vores indledende samordnede rapporteringsproces om sårbarhed for at fremme samarbejde og rapportering af medicinsk udstyrs sårbarhed som beskrevet nedenfor.

Vi anvender rapporteringsprogrammet om sårbarhed for medicinsk udstyr, software som medicinsk udstyr samt medicinske mobilapps. Det er ikke beregnet til at give tekniske supportoplysninger om vores produkter eller til indberetning af utilsigtede hændelser eller klager over produktkvalitet.

I tilfælde af indberetning af utilsigtede hændelser eller klager over produktkvalitet kan vi kontaktes på  stryker.com/productexperience.

Sådan indberettes en sårbarhed

Hvis du har identificeret en mulig sikkerhedssårbarhed i noget af vores medicinske udstyr, software som medicinsk udstyr eller medicinske mobilapplikationer, så indsend en sårbarhedsrapport til Strykers produktsikkerhedsteam ved at udfylde følgende blanket og e-maile det udfyldte dokument til ProductSecurity@stryker.com.

Vigtige oplysninger:
 

Vi retsforfølger ikke enkeltpersoner, der indsender rapporter gennem vores rapporteringsproces om sårbarhed, og som indtræder i en juridisk aftale med os. Vi indvilliger i at arbejde med enkeltpersoner, der:    

• Påtager sig at teste systemer/udfører research uden at skade Stryker eller dennes kunder.    
• Udfører test på produkter uden at påvirke kunder eller modtager tilladelse/samtykke fra kunder, før de påtager sig at teste for sårbarhed i forhold til deres udstyr/software osv.  
• Påtager sig at sårbarhedsteste i henhold til vores oplysningsprogram for sårbarhed i overensstemmelse med vilkår og betingelser i de aftaler, der er indgået mellem Stryker og enkeltpersoner.
• Overholder lovgivningen der, hvor de er, samt hvor Stryker er placeret. F.eks. overtræder love, som kun ville medføre et erstatningskrav fra Stryker (og ikke et strafferetligt krav) kan accepteres, hvis Stryker har godkendt aktivitet (reverse engineering eller omgå beskyttelsesforanstaltninger) for at forbedre systemet.
• Afstår fra at videregive detaljer om sårbarhed før enhver gensidigt aftalt tidsfrist udløber.
  

Præference, prioritering og godkendelseskriterier
Vi bruger følgende kriterier for at kunne prioritere og sortere i indsendelser.   

Hvad vi gerne vil have fra dig:

• Rapporter skrevet på engelsk.  
• Rapporter med proof of concept-kode, som vil ruste os til bedre at kunne sortere.   
• Hvordan du fandt sårbarheden, hændelsen og eventuel afhjælpning.   
• Eventuelle planer eller hensigter om offentliggørelse.   

Bemærk: Rapporter, der kun omfatter crashdump eller anden automatiseret program-output kan få lavere prioritet.

Hvad du kan forvente af os:   

• En rimelig svartid på din e-mail (inden for 5 arbejdsdage).
• Vi vil videreformidle eventuelle resultater til de relevante produktteams til kontrol og reproduktion. Du kan på dette tidspunkt blive kontaktet og bedt om at give yderligere oplysninger.  
• Efter undersøgelsen af en rapport vil vi bekræfte forekomsten af sårbarhed og de potentielle konsekvenser.  Hvis det afgøres, at den identificerede sårbarhed påvirker patientsikkerheden, vil vi bestræbe os på hurtigt at udvikle en løsning og træffe passende foranstaltninger. Alle andre sårbarheder bliver evalueret og håndteret med udgangspunkt i den tilknyttede risiko.
• En åben dialog for at diskutere tingene.   
• Besked når sårbarhedsanalysen har været gennem alle trin i vores gennemgang.   
• Kreditering efter sårbarheden er blevet valideret og løst, hvis det ønskes.   
• Vi bestræber os på altid at være så transparente som muligt i forbindelse med varigheden af afhjælpning samt problemer eller udfordringer, der måtte være involveret.  
• Hvis vi ikke kan løse kommunikationsproblemer eller andre problemer, kan vi tage en neutral tredjepart med på råd (f.eks. CERT/CC, ICS-CERT, eller den relevante tilsynsmyndighed) for at hjælpe med at bestemme, hvordan vi bedst kan håndtere sårbarheden.   

Alle aspekter af denne proces kan ændres uden varsel samt undtagelser baseret på hvert enkelt tilfælde. Der garanteres ikke noget særligt svarniveau.

OBS

Hvis du beslutter dig for at dele enhver form for oplysninger med Stryker, accepterer du, at de oplysninger, du giver, bliver behandlet som ikke-fortrolige, og at Stryker har lov til at anvende sådanne oplysninger på enhver måde, helt eller delvist, uden nogen form for begrænsning. Desuden accepterer du, at når du indsender oplysninger, så opnår du ikke nogen rettigheder, og indsendelsen indebærer heller ingen forpligtelse for Stryker.

Som led i vores tilsagn om produktsikkerhed og kundeservice giver vi vores kunder oplysninger for at hjælpe dem med at vurdere og håndtere sårbarheder og risici.

Vi bruger specifikt Manufacturer Disclosure Statement for Medical Device Security (MDS²) til at give sikkerhedsoplysninger om vores produkter.

MDS² indeholder produktspecifikke sikkerhedsoplysninger om udstyrets egenskaber f.eks.:    

• Opretholdelse, opbevaring og overførsel af ePHI 
• Databackup og flytbare medieegenskaber
• Installation af sikkerhedsreparationer og antivirussoftware
• Fjernserviceadgang
• Revisionslogfiler med ePHI-adgang herunder: visning, oprettelse, ændring og sletning af optegnelser, import/eksport

MDS², en universel rapporteringsblanket, der gør det muligt for os at forsyne vores kunder med modelspecifikke oplysninger, er godkendt af American College of Clinical Engineering (ACCE), ECRI (tidligere Emergency Care Research Institute), The National Electrical Manufacturers Association (NEMA) og The Healthcare Information and Management Systems Society (HIMSS).

Blanketten indeholder også anbefalinger om sikkerhedspraksis og forklarende bemærkninger fra producenten.