Systemy SoftMedica nie wykorzystują biblioteki Apache Log4j w wersjach od 2.0 do 2.14.1 włącznie. W związku z tym podatność, . jaka aktualnie została w bibliotece wykryta nie zagraża oprogramowaniu SoftMedica. Jako producent oprogramowania stale monitorujemy zmiany w komponentach składowych naszych produktów. Decyzję o aktualizacji danego komponentu podejmujemy na podstawie danych publikowanych przez producenta, w zestawieniu ze specyfiką pracy naszych systemów i zależnościami jakie musi spełniać aplikacja do współpracy z innym oprogramowaniem. Staramy się rzetelnie oceniać zyski wynikające z aktualizacji, biorąc pod uwagę stabilność pracy systemów, kompatybilność z pozostałymi komponentami, konieczność wykonania testów, a przede wszystkim ryzyko wystąpienia możliwych incydentów bezpieczeństwa. Aktualnie dystrybuowane systemy korzystają z biblioteki Apache Log4j w wersji 1.2.xx. Jest to wersja, która jest w pełni kompatybilna z naszym oprogramowania, a luki bezpieczeństwa w niej wykryte, po ocenie, w świetle specyfiki pracy systemów SoftMedica nie stanowią okoliczności zwiększających prawdopodobieństwo wystąpienia incydentów bezpieczeństwa.
Do wspomnianych należą:
- Systemy SoftMedica nie są dostępne bezpośrednio z Internetu, pracują w sieci lokalnej, zabezpieczonej przez administratora – zgodnie z odrębnymi przepisami/wytycznymi, np. kodeks branżowy RODO dla ochrony zdrowia lub rekomendacje CEZ (Centrum e-Zdrowia).
- Systemy SoftMedica nie wymagają do normalnej pracy dostępu do Internetu, wyjątkiem są sytuacje wymagające połączenia z platformą P1 (e-Recepty, e-Skierowania, zdarzenia medyczne itp.). Połączenie z platformą P1 jest realizowane zgodnie z wytycznymi CEZ (Centrum e-Zdrowia).
- Jeżeli polityka bezpieczeństwa Klienta wymaga odłączenia sieci lokalnej od Internetu, możliwa jest dystrybucja aktualizacji systemów SoftMedica w trybie offline.
W świetle stanowiska CERT Polska, https://cert.pl/posts/2021/12/krytyczna-podatnosc-w-bibliotece-apache-log4j/ została udostępniona aktualizacja migrująca bibliotekę do wersji 2.17.0, jednakże, ze względu na fakt iż aktualna biblioteka w wersji 1.2.xx nie jest uznana przez firmę SoftMedica za krytyczną, proces migracji zostanie rozłożony w czasie, w toku standardowych aktualizacji.