Про безпеку продуктів Lenovo

Lenovo: Вжиття заходів щодо безпеки продуктів

Зі швидкими темпами розвитку продуктів та постійною загрозою від хакерів, жодний виробник не може гарантувати на 100%, що його продукти не матимуть слабких місць. Тим не менш, компанія Lenovo розуміє, що вона повинна постачати продукти та рішення, які не тільки мають функціональні можливості, які хочуть клієнти, а й забезпечити технологію, необхідну для захисту конфіденційності, цілісності та даних. Для вирішення цього завдання Lenovo невпинно працює над захистом наших клієнтів від постійно зростаючих загроз безпеки.

Таким чином, Lenovo створила спеціалізовану команду фахівців у галузі безпеки, які мають досвід роботи у таких сферах:

  • Архітектура системи безпеки – Технічна відповідність в сферах дизайну продукту та стратегії
  • Безпека додатків/BIOS/Апаратного забезпечення – Аналіз коду та аутентифікація
  • Етичний хакінг – Тестування на вразливості "White Hat"
  • Ланцюг постачань – Ретельний огляд безпеки кожного постачальника, який надає компоненти, збірки, апаратне забезпечення, програмне забезпечення та конфігурацію клієнтів
  • Підтримка клієнтів – Робота з проблемами та запитаннями клієнтів
  • Реакція на інциденти – Зменшення ризику та усунення несправностей
  • Управління проектами – Контроль за виконанням контрактних зобов'язань постачальників та управління процесом втілення програм
  • Поінформованість клієнтів – Повідомлення про інциденти та стратегію безпеки

Ми використовуємо дані знання та досвід для вирішення проблем безпеки в наших продуктах і сервісах та постійно шукаємо потенційні ризики та шляхи їх усунення. Подивіться, як структурована наша команда тут.

Система управління безпекою продукту компанії Lenovo створена для забезпечення безпеки протягом усього життєвого циклу продукту, від розробки та виробництва до підтримки клієнтів. Таким чином, ми прагнемо надати безпеку, яка є "вбудованою" в наші продукти.

  • Контроль за безпекою продукту є інтегрованим, щоб забезпечити належний та безпечний процес розробки продуктів, особливо в області створення та дистрибуції BIOS та апаратного забезпечення.
  • З моменту початкового планування наших продуктів ми прагнемо втілити усі важливі функції безпеки, яких потребують наші клієнти.
  • В ході процесу розробки та тестування програма етичного хакінгу Lenovo дає змогу ознайомитись із потенційними проблемами, з якими можуть стикнутися клієнти, тому їх можна виправити перед відправкою.
  • Постійні навчальні програми допомагають ключовому персоналу бути в курсі всіх критичних проблем безпеки та способів їх вирішення на конкретних продуктах.

Існує жорсткий процес кваліфікації постачальників продуктів, який включає оцінку здатності забезпечувати постачання та стандарти якості. Lenovo також оцінює повний процес розробки та виробництва кожного постачальника, щоб допомогти їм виявити та зменшити ризики для безпеки. Постачальники згідно з контрактами зобов'язані відповідати вимогам безпеки Lenovo. Після проходження кваліфікації постачальники повторно оцінюються на регулярній основі, щоб забезпечити дотримання технологій та практик безпеки.

Lenovo прагне захистити продукти на кожному етапі ланцюга поставки. Основні компоненти мають маркування для усунення ризику підробки. Найважливіші деталі контролюються постачальниками і відстежуються протягом всього процесу збірки.
Процес завантаження апаратного та програмного забезпечення постачальниками ретельно аналізується, щоб звести до мінімуму можливість встановлення шкідливого програмного забезпечення в продукт. Lenovo також використовує безпечну упаковку та методи відстеження продуктів від відправки до доставки.

Робота Lenovo щодо забезпечення безпеки своєї продукції та ланцюга поставок була відзначена Chain Security LLC, однією з провідних компаній в галузі безпеки у Сполучених Штатах. Такий висновок був зроблений після майже трьох років детального вивчення процесів безпеки Lenovo, програм корпоративного управління та постачальників. Результатом цього аналізу є 20-сторінковий лист-атестація, в якому Chain Security детально описує свою роботу з Lenovo, зміни та вдосконалення, які Lenovo внесла протягом останніх двох років та коментар Chain Security, що Lenovo "ймовірно, випереджає галузь" в сфері даних процесів безпеки.

Щоб прочитати повний текст листа, натисніть тут.

Lenovo забезпечує підтримку безпеки після продажу, яка включає в себе: 1) оновлення безпеки програмного або апаратного забезпечення та 2) заміну певних деталей. Ці процеси створені захищати клієнтів та гарантувати безпеку їх продуктам.

Важливою частиною Служби безпеки продуктів Lenovo є команда реагування на випадки порушення системи захисту продуктів (PSIRT). Жоден продукт не є захищеним від загроз та вразливостей на 100%, тому Lenovo прагне мінімізувати будь-які ризики або
вразливості, що впливають на наші продукти. Команда Lenovo PSIRT співпрацює з іншими в даній галузі, щоб виявити та зрозуміти сучасні вразливості чи загрози, які можуть завдати шкоди продуктам Lenovo, а потім розробляє методи їх усунення. Поради з безпеки продуктів Lenovo можна знайти тут: https://support.lenovo.com/product. Про нові вразливості можна повідомити, звернувшись до команди реагування на випадки порушення системи захисту продуктів за адресою psirt@lenovo.com.

Технології, втілені в продуктах, зробили Lenovo лідером своєї галузі. Компанія Lenovo знає і розуміє, що вона повинна постійно завойовувати довіру клієнтів і тих, хто знаходиться в спільноті забезпечення безпеки. Ми усвідомлюємо, що ми завжди можемо показати кращі результати і прагнемо дотримуватися найкращих практик галузі.

ПОДІЛИТИСЬ