Ürünlerimizde herhangi bir güvenlik açığını keşfedebilecek veya güvenlik açığı raporu gönderebilecek bağımsız araştırmacılar, ICS- CERT, güvenlik istihbarat toplama ajansları, müşteriler ve saha personeliyle karşılıklı güvene dayalı olarak işbirliği yapmaya hazırız. Herhangi bir ürün güvenlik açığını, ‘’Sorun Bildir’’ sayfamızda rapor edebilirsiniz.
Eaton, aşağıdaki şahıslara karşı yasal işlem başlatmamayı kabul etmektedir:
Güvenlik açığı bilgisinin alınmasını kabul edip onaylamak, geçici analizler yapmak ve rapor edilen hassasiyete bir değer atamak için dahili bir risk değerlendirme süreci izlemekteyiz. Harici olarak rapor edilen üçüncü şahıs yazılım kitaplığındaki herhangi bir güvenlik açığı için, CVSS v3 güvenlik açığı değerlendirme metodunu kullanarak, bir risk değeri atamaktayız. Bu yöntem, etkilenen Eaton ürün ve ürünün kullanım bağlamı için geçerlidir. Genel CVSS değeri 7.0 veya üstü olan herhangi bir güvenlik açığı CCoE tarafından Yüksek Güvenlik Riski sayılmakta ve öncelikli olarak ele alınmaktadır.
An itibarıyla desteklenen ürünlerde ortaya çıkan güvenlik açıkları, Eaton tarafından giderilmektedir. CCoE ekibi, güvenlik açığının belirlenen önceliğe göre giderilmesi için ürün ekipleriyle işbirliği yapmaktadır. Sorunu çözmek için yaklaşık bir zaman dilimi verilmekte ve bunun bilgisi güvenlik açığını rapor edenlere iletilmektedir.( örneğin bağımsız araştırmacılar, ICS-CERT veya diğer ajanslar). CCoE ekibi bu aşama esnasında, harici kuruluşlar için tek başvuru noktası işlevi görmekte ve güvenlik açığının çözülmesi ve test edilmesi için dahili ekiplerle yakın ilişkiler kurmaktadır. Bu süre zarfında, bizler sorunu çözmeye uğraşırken rapor eden tarafla olan iletişim sürdürülebilmektedir.
Eaton, etkilenen ürünlerin standart dağıtım kanalları yoluyla, güvenlik açığı giderilmiş / düzeltilmiş ürünleri piyasaya sürmektedir. Bu düzeltmelere ilişkin ayrıntılı teknik bilgiler, Eaton ürün güvenliği tavsiye raporu olarak yayınlanmaktadır.
Eaton, eşgüdümlü bir açıklama yapabilmek için güvenlik açığı araştırmacıları ile iletişim kurmakta ve bu araştırmacıların karşılıklı olarak mutabakata varılan bir zaman dilimi dolmadan güvenlik açığı bilgilerini kamuya açıklamaktan kaçınmalarını beklemektedir.
Güvenlik açıklarıyla ilgili bilgilerin halka açıklanması sibergüvenlik bildirimleri sayfamızdan yapılmaktadır. Bu sayfa, tüm Eaton elektrik ürünleriyle ilgili Eaton ürün güvenliği tavsiye raporları için bir veri havuzu niteliğindedir. En son güvenlik tavsiye raporlarını incelemeleri için müşterilerimizin bu portalı izlemeleri teşvik edilmektedir.
Pratik bir geçici çözüm veya düzeltme tanımlandığında, doğrulanmış güvenlik açıkları için güvenlik tavsiye raporları yayınlamayı amaçlıyoruz. Tavsiye raporu, geçici bir çözüm yokluğunda yayınlanabilir. Her bir güvenlik açığı diğerinden farklı olacağından, güvenlik tavsiye raporlarının yayınlanmasıyla bağlantılı alternatif eylemlerde bulunabiliriz.
Eaton, güvenlik tavsiye raporlarının müşterilerin önemli kabul edeceği herhangi bir güvenlik sorunu veya tüm güvenlik sorunları için yayınlanacağını veya bu tavsiye raporlarının hernhangi bir özel zaman diliminde yayınlanacağını garanti etmemektedir.
Eaton, bu politikaya bağlı kalarak ürün siber güvenlik açıklarını rapor eden güvenlik araştırmacılarının katkılarını usulüne uygun olarak takdir etmek için bir Takdir Listesi oluşturmuştur.