Osnovno o bezbednosti proizvoda kompanije Lenovo

 

Lenovo: preduzimanje mera za obezbeđivanje bezbednosti proizvoda

Sa brzim razvojem proizvoda i uz stalnu pretnju koju predstavljaju hakeri, nijedan proizvođač ne može da garantuje za svoje proizvode da će oni biti u potpunosti neranjivi. Kompanija Lenovo, međutim, razume da mora da isporučuje proizvode i rešenja koja će korisnicima, pored funkcionalnosti, pružiti i tehnologiju potrebnu za zaštitu privatnosti, integriteta i dostupnosti njihovih podataka. Da bi to postigla, kompanija Lenovo stalno radi na zaštiti svojih korisnika od bezbednosnih pretnji koje se neprekidno razvijaju.

Shodno tome, kompanija Lenovo je oformila poseban tim sastavljen od stručnjaka za bezbednost koji su stručnjaci u sledećim oblastima:

  • Bezbednosna arhitektura – sprovođenje tehničke usklađenosti u vezi sa dizajnom proizvoda i strategijom razvoja
  • Bezbednost BIOS-a/firmvera/aplikacije – pregled koda i potvrda identiteta
  • Etičko hakovanje – testiranje ranjivosti po principu "Beli šešir"
  • Lanac snabdevanja – temeljni pregled bezbednosti svakog dobavljača koji obezbeđuje komponente, module, firmver, softver i konfiguraciju korisnika
  • Korisnička podrška – rešavanje problema i odgovaranje na pitanja korisnika
  • Odgovor na incidente – smanjivanje rizika i rešavanje problema
  • Upravljanje projektima – nadzor nad dobavljačima i upravljanje implementacijom programa
  • Poznavanje korisnika – komunikacija o incidentima i strategiji u vezi sa bezbednošću

Koristimo znanja iz ovih oblasti da bismo rešavali bezbednosne probleme u našim proizvodima i uslugama i stalno tražimo potencijalne rizike i načine da ih otklonimo. Pogledajte strukturu našeg tima ovde:

Sistem upravljanja bezbednošću proizvoda kompanije Lenovo je konfigurisan da osigura bezbednost tokom čitavog životnog ciklusa proizvoda, od razvoja i proizvodnje do podrške za korisnike, u nastojanju da osiguranje bezbednosti bude "integrisano" u naše proizvode, a ne njihov obični "dodatak."

  • Nadzor bezbednosti proizvoda, ili upravljanje, integrisano je u ovaj proces da bi se osiguralo da razvoj proizvoda sledi odgovarajuće, bezbedne procese, posebno u oblastima kreiranja i distribucije BIOS-a i firmvera.
  • Od početnog planiranja proizvoda, trudimo se da integrišemo kritične bezbednosne funkcije potrebne našim korisnicima.
  • Tokom procesa razvoja i testiranja, program etičkog hakovanja kompanije Lenovo pruža uvid u probleme na koje korisnici mogu da naiđu u radu, tako da se oni mogu otkloniti pre isporuke.
  • Stalni programi obuke obezbeđuju da ključno osoblje bude uvek upoznato sa kritičnim bezbednosnim problemima i načinima za njihovo rešavanje na određenim proizvodima.

Uspostavljen je rigorozan proces za određivanje dobavljača proizvoda, što obuhvata standarde u pogledu kapaciteta i kvaliteta dobavljača. Kompanija Lenovo ocenjuje i ceo proces razvoja i proizvodnje svakog dobavljača kako bi im pomogla da identifikuju i smanje bezbednosne rizike. Dobavljači su ugovorom obavezani da ispune bezbednosne zahteve kompanije Lenovo. Kada se jednom označe kao pouzdani partneri, dobavljači se redovno procenjuju i od njih se zahteva da ulažu dodatne napore da bi bili u toku sa bezbednosnim tehnologijama i praksama.

Kompanija Lenovo ima za cilj da zaštiti proizvode u čitavom lancu snabdevanja. Ključne komponente su označene da bi se izbegao rizik od falsifikovanja. Kritične delove kontrolišu dobavljači i mogu da se prate tokom procesa sklapanja. Procesi dobavljača za učitavanje firmvera i softvera se rigorozno procenjuju da bi se smanjila mogućnost unošenja malvera u proizvod. Konačno, kompanija Lenovo koristi tehnike za bezbedno pakovanje i praćenje proizvoda tokom isporuke korisniku.

Kompanija Chain Security, LLC, jedna od vodećih kompanija za bezbednost u SAD, prepoznala je napore koje kompanija Lenovo ulaže da osigura bezbednost svojih proizvoda i lanca snabdevanja. Ovaj zaključak je donet nakon gotovo tri godine detaljnog proučavanja procesa vezanih za bezbednost u kompaniji Lenovo, korporativnog upravljanja i programa dobavljača. Rezultat ove analize je sertifikat na 20 stranica u kojem kompanija Chain Security iznosi detalje o svom radu sa kompanijom Lenovo, promenama i poboljšanjima koje je kompanija Lenovo načinila u poslednje dve godine i zaključak kompanije Chain Security da je kompanija Lenovo verovatno ispred drugih kompanija u svom sektoru u pogledu ovih bezbednosnih procesa.

Da biste pročitali ceo sertifikat, kliknite ovde.

Kompanija Lenovo obezbeđuje podršku za bezbednost i nakon prodaje koja obuhvata:  1) ažuriranja bezbednosti softvera ili firmvera i 2) zamenu određenih delova. Ovi procesi su projektovani da zaštite korisnike i sačuvaju bezbednost njihovih proizvoda.

Glavni deo programa Product Security Office kompanije Lenovo je tim Product Security Incident Response Team (PSIRT). Nijedan proizvod nije u potpunosti imun na bezbednosne pretnje i nijedan nije neranjiv, tako da kompanija Lenovo nastoji da svede na najmanju moguću meru bilo koji rizik ili ranjivost koji mogu da utiču na naše proizvode. Tim PSIRT kompanije Lenovo radi sa drugim timovima u okviru ovog sektora da bi otkrio i razumeo najnovije ranjivosti i pretnje koje bi mogle da predstavljaju rizik za proizvode kompanije Lenovo, a zatim napravi i objavi zakrpe kojima se te pretnje mogu otkloniti. Saveti za bezbednost proizvoda kompanije Lenovo dostupni su na adresi: https://support.lenovo.com/product. Nove ranjivosti možete da prijavite tako što ćete kontaktirati tim Product Security Incident Response Team na adresi psirt@lenovo.com.

Ova tehnologija u našim proizvodima načinila je kompaniju Lenovo liderom u ovom industrijskom sektoru. Kompanija Lenovo shvata da mora stalno da stiče poverenje svojih korisnika i svih članova bezbednosne zajednice. Shvatamo da uvek možemo bolje i posvećeni smo postizanju i praćenju najboljih praksi u ovom industrijskom sektoru.

DELI