Bezpieczeństwo danych w produktach Lenovo

Lenovo: działania zapewniające bezpieczeństwo danych

Tempo rozwoju produktów rośnie, a zagrożenie ze strony hakerów się nie zmniejsza, dlatego nikt nie może zagwarantować, że jego produkty będą w 100% wolne od podatności na zagrożenia. W Lenovo rozumiemy jednak, że musimy dostarczać produkty i rozwiązania, które nie tylko mają oczekiwane przez klientów funkcje, ale też zawierają technologie wymagane do ochrony poufności, integralności i dostępności danych. W tym celu Lenovo nieustannie stara się chronić klientów przed wciąż zmieniającymi się zagrożeniami.
W związku z tym powołaliśmy specjalny zespół ekspertów specjalizujących się w następujących dziedzinach:

  • architektura zabezpieczeń — egzekwowanie zgodności strategii i projektowania produktów z technicznymi standardami
  • bezpieczeństwo oprogramowania BIOS, firmware i aplikacji — weryfikacja kodu i jego autentyczności
  • etyczny hacking — testowanie podatności na zasadach White Hat
  • łańcuch dostaw — dokładna weryfikacja bezpieczeństwa każdego dostawcy elementów, podzespołów, oprogramowania firmware i aplikacji oraz konfiguracji dla klientów
  • obsługa klientów — reagowanie na zastrzeżenia i pytania klientów
  • reakcja na zdarzenia naruszające ochronę — minimalizacja ryzyka i działania naprawcze
  • zarządzanie projektami — nadzór nad dostawcami i zarządzanie realizacją programów
  • budowanie świadomości klientów — informowanie o zdarzeniach naruszających ochronę i strategiach zapobiegania im.

Wiedzę tę wykorzystujemy do reagowania na zastrzeżenia związane z bezpieczeństwem naszych produktów i usług. Ponadto nieustannie poszukujemy zagrożeń oraz sposobów ich eliminacji. Ze strukturą naszego zespołu można zapoznać się tutaj:

System zarządzania bezpieczeństwem danych w produktach Lenovo obejmuje cały cykl życia produktu: od rozwoju i produkcji po wsparcie dla klientów. W ten sposób staramy się, by zabezpieczenia danych były "wbudowane" w nasze produkty, a nie jedynie do nich "dobudowane"

  • Nieodłącznym aspektem tego systemu jest nadzór nad bezpieczeństwem danych w produktach. Zapewnia on prawidłowy przebieg bezpiecznych procesów, szczególnie w zakresie tworzenia i dystrybucji oprogramowania BIOS i firmware.
  • Potrzebne klientom funkcje zabezpieczeń o znaczeniu krytycznym staramy się uwzględniać od samego początku planowania produktów.
  • Prowadzony na całym etapie rozwoju i testowania program etycznego hackingu Lenovo zapewnia nam wgląd w problemy, z jakimi mogą zetknąć się klienci, i umożliwia ich rozwiązywanie przed dostarczeniem produktów.
  • Prowadzone na bieżąco szkolenia zapewniają naszym kluczowym pracownikom aktualną znajomość krytycznych problemów związanych z bezpieczeństwem oraz umiejętność ich rozwiązywania w określonych produktach.

Prowadzimy rygorystyczny proces kwalifikacji dostawców produktów z uwzględnieniem ich potencjału dostaw oraz standardów jakości. Lenovo ocenia także pełny proces rozwoju i produkcji u każdego dostawcy, aby pomóc mu w identyfikacji i eliminacji zagrożeń. Dostawcy są zobowiązani na mocy umowy do spełniania wymagań Lenovo w zakresie bezpieczeństwa danych. Zakwalifikowani dostawcy są poddawani regularnym ocenom, co wymaga z ich strony stałego nadążania za technologiami i praktykami związanymi z bezpieczeństwem danych.

Lenovo stara się chronić produkty, uwzględniając cały łańcuch dostaw. Najważniejsze elementy są znakowane, aby zapobiec ich podrabianiu. Części o znaczeniu krytycznym są kontrolowane przez dostawców i można prześledzić cały proces ich montażu. Procesy
dostawców związane z instalacją oprogramowania firmware i aplikacji są drobiazgowo oceniane, aby zminimalizować ryzyko wprowadzenia szkodliwego oprogramowania do produktu. Lenovo stosuje też bezpieczne techniki pakowania i śledzenia produktów od wysyłki po dostawę.

Starania Lenovo na rzecz bezpieczeństwa danych w produktach i łańcuchu dostaw zostały docenione przez Chain Security LLC — jedną z czołowych amerykańskich firm w dziedzinie bezpieczeństwa. Na tę pozytywną opinię wpłynęły wyniki niemal trzyletnich szczegółowych badań procesów zapewniania bezpieczeństwa, ładu korporacyjnego i programów dla dostawców Lenovo. W wyniku analizy powstało 20-stronicowe zaświadczenie, w którym firma Chain Security opisała swoją pracę z Lenovo, zmiany i udoskonalenia wprowadzone przez Lenovo w ciągu ostatnich dwóch lat, a także uznała, że Lenovo "prawdopodobnie wyprzedza resztę branży" pod względem procesów zapewniania bezpieczeństwa danych.

Aby przeczytać pełną treść zaświadczenia, kliknij tutaj.

Lenovo oferuje obsługę posprzedażową w zakresie bezpieczeństwa danych, która obejmuje: 1) aktualizacje zabezpieczeń aplikacji i oprogramowania firmware oraz 2) wymianę określonych części. Procesy te chronią klientów oraz ich produkty.

Niezwykle istotną rolę w pracach działu Lenovo Product Security Office odgrywa zespół reagowania na zdarzenia naruszenia ochrony produktów (Product Security Incident Response Team, PSIRT). Żaden produkt nie jest odporny w 100% na zagrożenia i podatności, dlatego Lenovo dokłada wszelkich starań, by minimalizować wszelkie zagrożenia
i luki w zabezpieczeniach, które wpływają na nasze produkty. Lenovo PSIRT współpracuje z innymi podmiotami w branży nad wykrywaniem i poznawaniem najnowszych podatności lub zagrożeń, które mogą dotyczyć produktów Lenovo, a następnie dystrybuuje poprawki, które je eliminują. Z poradami Lenovo dotyczącymi bezpieczeństwa danych w produktach Lenovo można zapoznać się tutaj: https://support.lenovo.com/product_security/home. Nowe podatności można zgłaszać zespołowi Product Security Incident Response Team pod adresem psirt@lenovo.com.

Technologie stosowane w produktach zapewniły Lenovo pozycję branżowego lidera. W Lenovo zdajemy sobie sprawę z tego, że musimy nieustannie dbać o zaufanie i poczucie pewności naszych klientów oraz społeczności specjalistów w dziedzinie zabezpieczeń. Jesteśmy świadomi tego, że żadne starania nie są w pełni wystarczające, i przestrzegamy najlepszych praktyk branżowych w trosce o jak największą skuteczność.

UDOSTĘPNIJ