Java con sistema LIS

  

¿Esto es una preocupación?

No diré que no, pero una cosa a tener en cuenta es que Java viene con muchas cosas que no son relevantes en el contexto en el que es probable que lo veas usado. Casi todas las vulnerabilidades de seguridad en Java son del lado del cliente. Es decir, la mayoría solo son aplicables cuando está utilizando complementos de Java en su navegador. Muy pocas de las vulnerabilidades de Java son del lado del servidor. Muchas personas del tipo de administración de TI no entienden esto y es posible que estén reaccionando de forma exagerada.

Por otro lado, un pequeño número de vulnerabilidades (por ejemplo, una) puede permitir explotaciones bastante significativas, por lo que realmente no hay un buen argumento para no trabajar para parchar la JVM.

Sin embargo, en general, es probable que su proveedor haya creado vulnerabilidades en su código o haya usado bibliotecas con vulnerabilidades. Apostaría a que es mucho más probable que esos problemas sean explotados que las vulnerabilidades de JVM / JDK. Esto es fuertemente sugerido por el hecho de que parecen incapaces / renuentes a volver a probar su código en una nueva versión de Java. La compatibilidad hacia atrás se mantiene muy bien en Java. Es realmente inaceptable que respondan de esta manera. Implica que tienen procesos de desarrollo muy débiles.

  

¿Qué preguntas le hago al proveedor para determinar nuestra vulnerabilidad específica? si mantienen nuestro sistema actualizado con parches críticos, etc.?

Esas son buenas preguntas para comenzar. Aunque probablemente necesites ayuda. Es posible que desee que alguien realice un análisis estático (sin embargo, su licencia puede prohibir esto) del sistema y / o las pruebas de penetración.

  

¿El único recurso es insistir en que el proveedor pase a la versión 1.8 antes de crear acceso a nuestra red desde entidades externas?

Lo haría. Realmente no debería ser un problema. No necesitarán cambiar ningún código, que yo sepa. No es razonable que se nieguen.

EDITAR: Debería agregar, si esta es una aplicación que se ejecuta en los servidores que controla su equipo de TI, puede hacer que su personal de TI instale y ejecute la aplicación en una JVM actualizada sin la ayuda del proveedor. Es poco probable que haya problemas a menos que estén haciendo algo ridículo, pero podrían usar esto como una excusa para no admitir la aplicación. No hay necesidad de volver a compilar ni nada, una aplicación escrita con Java 1.6 debe ejecutarse en una JVM 1.8.

  

¿Es cierto que 1.6 está al final de su vida útil y, por lo tanto, no se generan más parches de seguridad?

Sí, en 2013 . Sin embargo, puedes comprar soporte extendido.

Personalmente, creo que necesita contratar una empresa de consultoría de seguridad para cubrir adecuadamente los problemas de seguridad aquí. Sus problemas de seguridad exactos probablemente serán altamente contextuales, y hay implicaciones regulatorias adicionales en los hospitales. Dicho esto, intentaré cubrir sus inquietudes.

  

Esta aplicación se usa en muchos sistemas hospitalarios grandes, por lo que resulta difícil creer que el proveedor no haya abordado esto de alguna manera

Desafortunadamente, eso es bastante común. Hable con cualquier persona que maneje infraestructura de TI, redes, seguridad, software, etc. en un hospital (o en cualquier organización) y le dirán lo mismo: los proveedores suelen ser lentos para solucionar los problemas y, a menudo, no ponen la esfuerzo por productos heredados en los que aún se confía.

  

¿Esto es una preocupación?

Muy probablemente, sí. Está poniendo un marco obsoleto e inseguro en los sistemas afectados. Java puede invocarse a través del navegador a menos que esté configurado correctamente, lo que potencialmente permite ataques remotos contra el sistema. Otro posible vector de ataque contra el marco es a través de servidores web Java como Apache Tomcat, que podrían exponer una funcionalidad explotable (por ejemplo, RMI) independientemente de lo que haga la aplicación.

  

¿Qué preguntas le hago al proveedor para determinar nuestra vulnerabilidad específica? si mantienen nuestro sistema actualizado con parches críticos, etc.?

El problema es que, si están utilizando Java desactualizado (especialmente 1.6 o anterior), entonces no importa lo que hagan para abordar las vulnerabilidades individuales en su aplicación: el marco subyacente en sí está roto y no se puede mitigar eso individualmente.

  

¿El único recurso es insistir en que el proveedor pase a la versión 1.8 antes de crear acceso a nuestra red desde entidades externas?

La respuesta simple es sí. La respuesta más compleja es que usted podría excluir del servidor de la aplicación para que, si fuera comprometido, haya un nivel limitado de acceso a su red interna, si lo hubiera. Sin embargo, si se incluyen los datos del paciente (especialmente cualquier PII), entonces tiene requisitos reglamentarios con los que disputar.

El TL; DR es que el proveedor debe actualizar su código para que funcione con una versión más moderna de Java. Hay dos formas principales de acelerar este proceso: ofrecer un pago por el tiempo de desarrollo requerido para hacerlo, o amenazar con desconectar su servicio y usar una alternativa que esté más actualizada.

Otra vía que tiene es la normativa: suponiendo que se encuentre en los EE. UU., informe a su organismo regulador de la HIPAA que su software utiliza un marco vulnerable que genera riesgos de exposición de la información del paciente. Si su base de clientes es grande, es posible que la ley les exija actualizar su software o mitigar cualquier problema.

  

¿Esto es una preocupación?

Obviamente, sí, porque es una versión bastante antigua de Java incluso antes de que Oracle compre Sun para que su versión pierde parches de seguridad críticos.

  

¿Qué preguntas le hago al vendedor para determinar nuestra específica   vulnerabilidad - por ejemplo Si mantienen actualizado nuestro sistema con críticos.   parches, etc?

El problema es que toda la plataforma puede ser problemática por el motivo que mencioné en la pregunta anterior. La solución ideal es pedirle a la compañía de terceros que evalúe esa aplicación dentro de la versión más nueva de Java, pero eso no es práctico, ya que le costará mucho dinero y tiempo.

  

Es el único recurso para insistir en que el proveedor pase a 1.8 antes de que nosotros   ¿Crear acceso a nuestra red desde entidades externas?

Como dije antes, puede ser la solución ideal: pero, ¿cuánto tiempo y dinero llevará?

  

¿Es cierto que 1.6 está al final de su vida útil y, por lo tanto, no hay más seguridad?   se generan parches?

Consulte la respuesta de @JimmyJames (enlace adicional: Políticas de soporte vitalicio de Oracle )