O varnosti izdelkov družbe Lenovo

 

Lenovo: Ukrepi za varnost izdelkov

S hitrim razvojem izdelkov in stalno grožnjo hekerjev ne more noben proizvajalec jamčiti, da so njegovi izdelki 100-odstotno varni. Vendar pa Lenovo razume, da mora poskrbeti za izdelke in rešitve, ki nimajo le funkcij, prilagojenih željam strank, temveč vsebujejo tudi tehnologijo, potrebno za zaščito zaupnosti, celovitosti in razpoložljivosti podatkov. Lenovo se s tem izzivom spopada tako, da neprestano izboljšuje zaščito strank pred varnostnimi grožnjami, ki se stalno razvijajo.

Tako je družba Lenovo sestavila posebno ekipo strokovnjakov za varnost z naslednjih področij:

  • varnostna arhitektura – vzpostavitev tehnične skladnosti v zvezi z zasnovo izdelka in strategijo
  • varnost BIOS-a/strojne opreme/aplikacij – pregled kod in preverjanje pristnosti
  • etični vdori v sisteme – preverjanje ranljivosti »White Hat«
  • dobavna veriga – temeljit pregled varnosti za vsakega dobavitelja sestavnih delov, sklopov, strojne in programske opreme ter konfiguracije za stranke
  • podpora za stranke – obravnavanje skrbi in vprašanj strank
  • odziv na napake – zmanjševanje tveganja in odpravljanje težav
  • upravljanje projektov – pregled nad pogodbenimi dobavitelji ter nadzor nad uvedbo programov
  • ozaveščanje strank – komunikacija v zvezi z varnostnimi težavami in strategijo

To znanje uporabljamo za obravnavanje varnostnih vprašanj v zvezi z našimi izdelki in storitvami ter neprestano iščemo možna tveganja in jih poskušamo odpraviti. Strukturo naše ekipe si lahko ogledate tukaj:

Sistem za upravljanje varnosti izdelkov družbe Lenovo je sestavljen tako, da skrbi za varnost v celotnem življenjskem ciklu izdelka, od razvoja in proizvodnje do podpore za stranke – pri tem poskuša zagotoviti, da je varnostni sistem vdelan v naše izdelke, ne dodan naknadno.

  • Pregled oz. upravljanje varnosti izdelkov je vdelan v ta postopek, ki zagotavlja, da razvoj izdelkov upošteva ustrezne, varne postopke, predvsem na področju ustvarjanja BIOS-a in strojne opreme ter njihove distribucije.
  • Vse od začetka načrtovanja naših izdelkov je naš cilj, da vključimo najpomembnejše varnostne funkcije, ki jih potrebujejo naše stranke.
  • V postopku razvoja in preizkušanja program etičnega vdiranja v sisteme družbe Lenovo omogoča vpogled v možne težave strank, da jih lahko odpravimo pred dostavo.
  • Stalni programi usposabljanja pomagajo zagotavljati, da je ključno osebje vedno obveščeno o najnovejših kritičnih varnostnih težavah in da jih znajo v posameznih izdelkih tudi obravnavati.

Obstaja strog postopek za izbiro dobaviteljev izdelkov, vključno z dobavno zmogljivostjo in standardi kakovosti. Lenovo prav tako ocenjuje celoten postopek razvoja in proizvodnje vsakega dobavitelja ter jim tako pomaga pri prepoznavanju in odpravljanju varnostnih tveganj. Dobavitelji se s pogodbo obvežejo, da bodo izpolnjevali varnostne zahteve družbe Lenovo. Tudi ko so dobavitelji izbrani, potekajo redna ocenjevanja, zato morajo vedno poskrbeti, da so v koraku z najnovejšimi varnostnimi tehnologijami in praksami.

Cilj družbe Lenovo je zagotavljati varnost izdelkov v celotni dobavni verigi. Ključni sestavni deli vključujejo oznake, da obstaja nevarnost ponarejanja. Najpomembnejše dele nadzirajo dobavitelji in jim je mogoče slediti v celotnem postopku sestavljanja. Postopki dobaviteljev za nalaganje strojne in programske opreme so temeljito ocenjeni, s čimer se zmanjša možnost namestitve zlonamerne programske opreme v izdelek. Lenovo poleg tega uporablja tudi tehnike varnega pakiranja in sledenja izdelkom od odpreme iz tovarne do dostave stranki.

Prizadevanja družbe Lenovo za zagotavljanje varnosti izdelkov in oskrbovalne verige je prepoznala družba Chain Security, LLC, ki je ena vodilnih družb za varnost v Združenih državah. Družba je do tega sklepa prišla po skoraj treh letih podrobnega proučevanja varnostnih postopkov, upravljanja družbe in programov dobaviteljev družbe Lenovo. Po tej analizi je družba Chain Security izdala 20-stransko potrdilo, v katerem podrobneje opisuje svoje delo z družbo Lenovo ter spremembe in izboljšave, ki jih je družba Lenovo uvedla v zadnjih dveh letih. Družba Chain Security je s tem sklenila, da je družba Lenovo z vidika teh varnostnih postopkov »najverjetneje vodilna na svojem področju«.
Če želite potrdilo prebrati v celoti, kliknite tukaj.

Lenovo zagotavlja poprodajno podporo na področju varnosti, ki vključuje:  1) varnostne posodobitve za programsko in strojno opremo ter 2) zamenjavo določenih delov. Ti postopki so zasnovani za zagotavljanje varnosti stranke in njenih izdelkov.

Izjemno pomemben del oddelka Product Security Office družbe Lenovo je ekipa za odzivanje na težave PSIRT (Product Security Incident Response Team). Noben izdelek ni 100-odstotno varen pred varnostnimi grožnjami in ranljivostmi, zato je cilj družbe Lenovo zmanjšati vsa tveganja in ranljivosti, ki vplivajo na naše izdelke. Ekipa PSIRT v družbi Lenovo v sodelovanju z drugimi v panogi poskuša odkriti in razumeti najnovejše ranljivosti ali grožnje, ki so nevarne za izdelke Lenovo, nato pa ustvarja popravke za njihovo odpravo. Nasveti za zagotavljanje varnosti izdelkov Lenovo so na voljo tukaj: https://support.lenovo.com/product. Nove ranljivosti lahko prijavite po e-pošti ekipi Product Security Incident Response Team na naslovu psirt@lenovo.com.

Tehnologija v naših izdelkih je družbo Lenovo povzdignila v sam vrh panoge. Družba Lenovo ve in razume, da mora neprestano upravičevati zaupanje strank in širše varnostne skupnosti. Zavedamo se, da vedno obstaja prostor za izboljšave, ter smo predani iskanju in uvajanju najboljših praks v panogi.

DELI