Jesteśmy przygotowani do pracy w dobrej wierze z wieloma niezależnymi naukowcami, centrum ICS-CERT, agencjami wywiadowczymi ds. bezpieczeństwa, klientami i personelem pracującym w terenie, którzy odkrywają podatność naszych produktów na różnego rodzaju zagrożenia i przesyłają raporty na ten temat. Słabe punkty naszych produktów można zgłaszać na stronie „Zgłoś problem”.
Firma Eaton nie podejmuje żadnych działań prawnych przeciwko osobom fizycznym, które:
Stosujemy wewnętrzny proces oceny ryzyka, aby zaakceptować i potwierdzić otrzymanie informacji o podatności produktu na zagrożenia, przeprowadzamy analizę i przypisujemy wstępną ocenę zgłoszonego błędu. Dla każdego zgłoszonego błędu w bibliotekach oprogramowania firm zewnętrznych, przypisujemy ocenę ryzyka przy użyciu metody punktacji CVSS v3, ponieważ odnosi się ona do produktu firmy Eaton i jego kontekstu wdrażania. Każda podatność na zagrożenia produktu, której ogólny wynik CVSS wynosi 7,0 i więcej lub która jest uznawana przez centrum CCoE za wysokie ryzyko dla bezpieczeństwa, zostanie potraktowana priorytetowo.
Podatności na zagrożenia produktów wykryte w obecnie obsługiwanych produktach są usuwane przez firmę Eaton. Eksperci z centrum CCoE współpracują z zespołem ds. produktów w celu naprawienia podatności produktów na zagrożenia zgodnie z przydzielonym priorytetem. Przybliżony harmonogram rozwiązania problemu jest szacowany i przekazywany osobom, które go zgłosiły (tj. naukowcom, centrum ICS-CERT lub innym agencjom). Zespół centrum CCoE na tym etapie działa jako pojedynczy punkt kontaktowy dla podmiotów zewnętrznych i angażuje się w prace zespołów wewnętrznych w celu przetestowania i wyeliminowania zgłoszonych podatności na zagrożenia. Przez cały czas pracy nad rozwiązaniem problemu jesteśmy w kontakcie z osobą, która go zgłosiła.
Firma Eaton uwalnia środki zaradcze/naprawcze podatności produktu na zagrożenia poprzez standardowy kanał dystrybucji produktów, których to dotyczy. Szczegółowe informacje techniczne związane z naprawami są udostępniane jako doradztwo w zakresie bezpieczeństwa produktów firmy Eaton.
Firma Eaton preferuje współpracę z naukowcami zajmującymi się badaniem podatności produktów na zagrożenia w celu skoordynowanego ujawniania informacji i oczekuje, że eksperci zajmujący się testami produktów, powstrzymają się od ujawniania opinii publicznej szczegółów dotyczących podatności na zagrożenia przed upływem wspólnie uzgodnionego terminu.
Informacje na temat braków w zabezpieczeniach są publikowane na naszej stronie powiadomień o cyberbezpieczeństwie. Ta strona jest centralną bazą danych doradców ds. bezpieczeństwa produktów związaną z wszystkimi produktami elektrycznymi firmy Eaton. Zachęcamy klientów do monitorowania tego portalu w celu uzyskania najnowszych informacji na temat bezpieczeństwa.
Zamierzamy wydać zalecenia dotyczące bezpieczeństwa w odniesieniu do sprawdzonych i potwierdzonych słabych punktów w naszych produktach, w przypadku zidentyfikowania praktycznego obejścia lub naprawy problemu. Mogą wystąpić przypadki, w których w przypadku braku obejścia może zostać wydane orzeczenie o charakterze doradczym. Ponieważ każda luka w bezpieczeństwie jest inna, możemy podjąć alternatywne działania w związku z wydawaniem porad jej dotyczących.
Firma Eaton nie gwarantuje, że w odniesieniu do wszystkich kwestii związanych z bezpieczeństwem, które klienci mogą uznać za istotne, zostaną wydane porady w określonym czasie.
Firma Eaton dysponuje programem uznaniowym w celu należytego wyróżnienia wkładu naukowców w dziedzinie bezpieczeństwa, którzy zgłaszają słabe punkty w cyberbezpieczeństwie produktów zgodnie z polityką wykrywania podatności na zagrożenia.
Wyślij wiadomości e-mail
