Относно сигурността на продуктите на Lenovo

 

Lenovo: Предприемане на действия относно сигурността на продуктите

Предвид бързите темпове на развитие на продуктите и постоянната заплаха от хакерски атаки, нито един производител не може да гарантира, че неговите продукти нямат никакви уязвимости. Lenovo разбира, че трябва да предлага продукти и решения, които не само притежават желаната от клиентите функционалност, но и осигуряват технологията, необходима за защита на поверителността, целостта и достъпността на клиентските данни. За да посрещне това предизвикателство, Lenovo непрекъснато работи в посока защита на нашите клиенти от постоянно еволюиращите заплахи за сигурността.

Предвид това, Lenovo е изградила специален екип от професионалисти в сигурността с експертни умения в следните области:

  • Архитектура на сигурността – внедряване на техническо съответствие в стратегията и проектирането на продукта
  • Сигурност на приложенията/фърмуера/BIOS – удостоверяване и преглед на кода
  • Етично хакерство – тестване за уязвимости от "етични хакери"
  • Верига за доставки – внимателен преглед на сигурността на всеки доставчик, който осигурява компоненти, модули, фърмуер, софтуер и персонализирана конфигурация
  • Поддръжка на клиенти – решаване на проблеми и въпроси от клиенти
  • Реакция при инциденти – редуциране на риска и решаване на проблема
  • Управление на проекти – контрол на доставчици по договор и управление на внедряването на програми
  • Информиране на клиентите – комуникация по отношение на инциденти със сигурността и стратегия

Използваме тези експертни познания, за да овладеем аспектите, свързани със сигурността в нашите продукти и услуги, и непрекъснато проверяваме за потенциални рискове и начини за елиминирането им. Вижте как е структуриран нашият екип тук:

Системата за управление на сигурността на продуктите на Lenovo е конфигурирана така, че да интегрира сигурността през целия жизнен цикъл на продукта, от разработването и производството до поддръжката на клиентите – със старанието сигурността да бъде "внедрена в" нашите продукти, а не просто "добавена."

  • Управлението, или контролът на сигурността на продуктите, е интегриран в този процес, за да гарантира, че разработването на продукти се осъществява посредством подходящи и защитени процеси, особено по отношение на създаването и дистрибуцията на BIOS и фърмуер.
  • Още от първоначалното планиране на нашите продукти ние се стремим да внедрим важните функции за сигурност, от които нашите клиенти се нуждаят.
  • В процесите на разработване и тестване програмата на Lenovo за етично хакерство осигурява задълбочено проучване на потенциалните проблеми за клиентите, за да могат да бъдат отстранени преди доставянето на продукта.
  • Провежданите програми за обучение помагат да се гарантира, че ключовият персонал познава важните проблеми, свързани със сигурността, и знае как да се справи с тях във връзка с конкретните продукти.

Използва се стриктна процедура за квалифициране на доставчиците на продукти, включително възможности за снабдяване и стандарти за качество. Lenovo също така оценява целия процес на разработване и производство на всеки доставчик, за да му помогне да идентифицира и редуцира рисковете за сигурността. Доставчиците са задължени по договор да отговарят на изискванията за сигурност на Lenovo. След като бъдат квалифицирани, доставчиците се подлагат на редовни оценки, изискващи постоянни усилия за поддържане на актуални познания относно технологиите и практиките, свързани със сигурността.

Lenovo има за цел да защити продуктите през цялата верига за доставки. Ключовите компоненти са обозначени, за да се предотврати рискът от фалшифициране. Важните части се контролират от доставчиците и са проследими през процеса на сглобяване. Процесите на доставчиците за зареждане на фърмуер и софтуер се оценяват внимателно, за да се минимизира вероятността от проникване на малуер в продукта. Накрая, Lenovo използва защитени техники за проследяване на продукта и опаковане, от изпращането през цялата доставка.

Работата на Lenovo за осигуряване на защита на своите продукти и верига за доставки е получила признание от Chain Security, LLC, една от водещите компании в областта на сигурността в САЩ. Това заключение идва след почти три години детайлно проучване на процесите за сигурност, корпоративното управление и програмите за доставчици на Lenovo. Резултатът от този анализ е 20 страници писмо за атестация, в което Chain Security описва своята работа с Lenovo, промените и подобренията, които Lenovo е въвела през последните две години, и заключението на Chain Security, че Lenovo “вероятно изпреварва тенденциите в сектора” по отношение на тези процеси за сигурност.
За да прочетете цялото писмо, кликнете тук.

Lenovo осигурява следпродажбена поддръжка на сигурността, която включва:  1) актуализации на сигурността за софтуера и фърмуера и 2) подмяна на определени части. Тези процеси са проектирани да защитават клиентите и да помагат за поддържане на сигурността на продуктите им.

Важна част от отдела за сигурност на продуктите Product Security Office на Lenovo е екипът за реакция при инцидент със сигурността на продукти Product Security Incident Response Team (PSIRT). Нито един продукт не е 100% защитен от уязвимости и заплахи за сигурността, така че Lenovo има ангажимент да минимизира всякакви рискове или уязвимости, които могат да окажат влияние върху нашите продукти. Екипът PSIRT на Lenovo работи с други фигури в сектора, за да открие и разбере най-новите уязвимости или заплахи, които могат да представляват риск за продуктите на Lenovo, и след това създава корекции, за да ги овладее. Известията за сигурност за продуктите на Lenovo са достъпни тук: https://support.lenovo.com/product. Нови уязвимости могат да бъдат съобщавани чрез свързване с екипа за реакция при инцидент със сигурността на продукти Product Security Incident Response Team на адрес psirt@lenovo.com.

Технологията в нашите продукти направи Lenovo лидер в сектора. Lenovo знае и разбира, че трябва постоянно да печели доверието на своите клиенти и на всички в общността, свързана със сигурността. Ние знаем, че винаги може по-добре, и се поемаме ангажимент да следваме най-добрите практики в сектора.

СПОДЕЛЯНЕ