Belgeyi İndir () / 20

Ürün Güvenlik Açığı İfşa Politikası

Eaton’ın Siber Güvenlik Mükemmellik Merkezi Direktörü

Müşterilerimize güvenli ve emniyetli ürünler sunduğumuzdan emin olmalıyız. Eaton ürün ve çözümlerinin öneminin farkında olduğumuz için, ürün siber güvenlik teşebbüsümüzü yürütmek amacıyla Ürün Siber Güvenliği Mükemmellik Merkezi’ni (CCoE) kurduk. 

Ürün Güvenliği Vakalarına Müdahale Sürecine Genel Bakış

CCoE, Eaton’ın akıllı ürünlerini etkileyen ürün güvenliği vakalarına ve açıklarına müdahale etmekle görevlidir. Bu amaca özel, küresel bir ekip; Eaton ürünlerine ilişkin güvenlik açığı bilgilerinin elde edilmesi, araştırılması, güvenlik açıklarının giderilmesi ve halka rapor edilmesini kapsayan süreci yönetmektedir. 

Güvenlik Açığı Bilgisinin Toplanması

Ürünlerimizde herhangi bir güvenlik açığını keşfedebilecek veya güvenlik açığı raporu gönderebilecek bağımsız araştırmacılar, ICS- CERT, güvenlik istihbarat toplama ajansları, müşteriler ve saha personeliyle karşılıklı güvene dayalı olarak işbirliği yapmaya hazırız. Herhangi bir ürün güvenlik açığını, ‘’Sorun Bildir’’ sayfamızda rapor edebilirsiniz.

Eaton, aşağıdaki şahıslara karşı yasal işlem başlatmamayı kabul etmektedir:

  • Eaton’ın küçük ürünlerini, Eaton’a veya müşterilerine zarar gelmeden test etmekle veya araştırmakla görevli olanlar...
  • Güvenlik açığı ifşa politikamızın kapsamı içinde veya Eaton’ın öncelikli iznini/rızasını alarak hassasiyet testi gerçekleştirenler...
  • Müşterileri etkilemeksizin ürünleri test edenler veya müşterilerin cihazlarına/ yazılımlarına karşı güvenlik açığı testi yapmadan önce müşterinin iznini/rızasını alanlar...
  • Kendi bulundukları ülkenin ve Eaton lokasyonunun yasalarına bağlı olanlar...
  • Güvenlik açığı raporlarınızı ‘’Sorun Bildir’’ sayfamızda bize gönderin.
  • Karşılıklı olarak mutabakata varılan zaman dilimi sona ermeden önce, ürün güvenlik açığı bilgilerini ifşa etmekte kaçının.

Onay ve Geçici Analiz

Güvenlik açığı bilgisinin alınmasını kabul edip onaylamak, geçici analizler yapmak ve rapor edilen hassasiyete bir değer atamak için dahili bir risk değerlendirme süreci izlemekteyiz. Harici olarak rapor edilen üçüncü şahıs yazılım kitaplığındaki herhangi bir güvenlik açığı için, CVSS v3 güvenlik açığı değerlendirme metodunu kullanarak, bir risk değeri atamaktayız. Bu yöntem, etkilenen Eaton ürün ve ürünün kullanım bağlamı için geçerlidir. Genel CVSS değeri 7.0 veya üstü olan herhangi bir güvenlik açığı CCoE tarafından Yüksek Güvenlik Riski sayılmakta ve öncelikli olarak ele alınmaktadır.

Düzeltme veya Etkiyi Hafifletme

An itibarıyla desteklenen ürünlerde ortaya çıkan güvenlik açıkları, Eaton tarafından giderilmektedir. CCoE ekibi, güvenlik açığının belirlenen önceliğe göre giderilmesi için ürün ekipleriyle işbirliği yapmaktadır. Sorunu çözmek için yaklaşık bir zaman dilimi verilmekte ve bunun bilgisi güvenlik açığını rapor edenlere iletilmektedir.( örneğin bağımsız araştırmacılar, ICS-CERT veya diğer ajanslar).  CCoE ekibi bu aşama esnasında, harici kuruluşlar için tek başvuru noktası işlevi görmekte ve güvenlik açığının çözülmesi ve test edilmesi için dahili ekiplerle yakın ilişkiler kurmaktadır.  Bu süre zarfında, bizler sorunu çözmeye uğraşırken rapor eden tarafla olan iletişim sürdürülebilmektedir.

Düzeltmelerin Piyasaya Sürülmesi

Eaton, etkilenen ürünlerin standart dağıtım kanalları yoluyla, güvenlik açığı giderilmiş / düzeltilmiş ürünleri piyasaya sürmektedir. Bu düzeltmelere ilişkin ayrıntılı teknik bilgiler, Eaton ürün güvenliği tavsiye raporu olarak yayınlanmaktadır.

Eaton, eşgüdümlü bir açıklama yapabilmek için güvenlik açığı araştırmacıları ile iletişim kurmakta ve bu araştırmacıların karşılıklı olarak mutabakata varılan bir zaman dilimi dolmadan güvenlik açığı bilgilerini kamuya açıklamaktan kaçınmalarını beklemektedir.

Eaton Güvenlik Tavsiye Raporları

Güvenlik açıklarıyla ilgili bilgilerin halka açıklanması sibergüvenlik bildirimleri sayfamızdan yapılmaktadır. Bu sayfa, tüm Eaton elektrik ürünleriyle ilgili Eaton ürün güvenliği tavsiye raporları için bir veri havuzu niteliğindedir. En son güvenlik tavsiye raporlarını incelemeleri için müşterilerimizin bu portalı izlemeleri teşvik edilmektedir.

Pratik bir geçici çözüm veya düzeltme tanımlandığında, doğrulanmış güvenlik açıkları için güvenlik tavsiye raporları yayınlamayı amaçlıyoruz. Tavsiye raporu, geçici bir çözüm yokluğunda yayınlanabilir. Her bir güvenlik açığı diğerinden farklı olacağından, güvenlik tavsiye raporlarının yayınlanmasıyla bağlantılı alternatif eylemlerde bulunabiliriz. 

Eaton, güvenlik tavsiye raporlarının müşterilerin önemli kabul edeceği herhangi bir güvenlik sorunu veya tüm güvenlik sorunları için yayınlanacağını veya bu tavsiye raporlarının hernhangi bir özel zaman diliminde yayınlanacağını garanti etmemektedir.

Ödül ve Takdir

Eaton, bu politikaya bağlı kalarak ürün siber güvenlik açıklarını rapor eden güvenlik araştırmacılarının katkılarını usulüne uygun olarak takdir etmek için bir Takdir Listesi oluşturmuştur.

 

Eaton, bu politikayı istediği zaman tamamen kendi takdirine bağlı olarak değiştirme hakkını saklı tutar.