Ми готові до чесної й справедливої співпраці з незалежними дослідниками, ICS-CERT, службами безпеки, клієнтами та співробітниками на місцях, що виявлятимуть вразливості в нашій продукції й повідомлятимуть про це. Про виявлені вразливості можна повідомити на нашій сторінці «Повідомити про проблему».
Компанія Eaton погоджується не переслідувати в судовому порядку осіб, що:
Ми дотримуємося процедури оцінки внутрішнього ризику щодо приймання та підтвердження приймання інформації про вразливість, проводимо попередній аналіз та присвоюємо певну категорію виявленій вразливості. Будь-якій вразливості в бібліотеках програмного забезпечення від стороннього розробника, про яку ми отримали повідомлення ззовні, ми присвоюємо категорію ризику за допомогою методу оцінки вразливості CVSS v3 відповідно до її відношення до продукту Eaton та контексту його розгортання. Усі вразливості із загальною оцінкою CVSS 7.0 і більше або ті, що на думку CCoE є вразливостями високого рівня ризику, розглядатимуться в пріоритетному порядку.
Вразливості, виявлені в продуктах, що на даний момент підтримуються, будуть усунені компанією Eaton. Підрозділ CCoE разом із виробничим відділом розпочнуть процедури з усунення вразливості згідно з призначеним пріоритетом. Буде визначено приблизний строк усунення проблеми, який буде повідомлено особам, що виявили вразливість та повідомили про неї (незалежним дослідникам, ICS-CERT чи іншим організаціям). Протягом цього періоду підрозділ CCoE виступає в якості єдиного каналу зв’язку між зовнішніми організаціями та внутрішніми підрозділами, що займаються усуненням вразливості та тестуванням. Під час роботи над проблемою ми можемо підтримувати зв’язок зі стороною, що повідомила про вразливість.
Компанія Eaton випускає виправлення вразливостей через стандартний канал збуту продуктів, на які вплинула вразливість. Докладна технічна інформація, що стосується виправлень, випускається у вигляді довідника з питань безпеки продуктів Eaton.
Компанія Eaton вважає за краще співпрацювати з дослідниками вразливостей, здійснюючи координоване оприлюднення даних про вразливість, та розраховує на те, що дослідники утримуватимуться від оприлюднення інформації про вразливість перед широким загалом до завершення погодженого періоду часу.
Оприлюднення інформації стосовно вразливості системи безпеки на нашій сторінці з повідомленнями «Кібербезпека». Ця сторінка є основним місцем публікації рекомендацій із безпеки, що стосуються всього електричного обладнання Eaton. Клієнтам пропонується стежити за виходом нових рекомендацій із безпеки на цьому порталі.
Ми маємо намір публікувати рекомендації з безпеки щодо підтверджених вразливостей після того, як буде знайдено дієвий вихід із ситуації або спосіб виправлення проблеми. Можуть бути випадки, коли рекомендації публікуватимуться навіть за відсутності обхідного рішення. Оскільки кожна вразливість є різною, ми можемо застосовувати різні підходи до випуску рекомендацій із безпеки.
Компанія Eaton не гарантує, що випускатиме рекомендації щодо всіх проблем із безпекою, які клієнти вважатимуть важливими, або публікуватиме їх за певним графіком.
У компанії Eaton є «зала пошани» для висловлення вдячності дослідникам, що повідомляють про вразливості кібербезпеки, за їхній вклад та дотримання цієї політики.
Надіслати електронний лист
