A política de tratamento de vulnerabilidades do Yokogawa Group

Objetivo da política

O objetivo desta Política é explicar a política básica do Grupo Yokogawa para o tratamento de vulnerabilidades e seu processo para clientes, organizações de equipes de resposta a emergências de computadores (CERT)(*1), fornecedores, pesquisadores e outras partes interessadas. O Grupo Yokogawa tem o compromisso de responder a vulnerabilidades em nossos produtos(*2) de acordo com esta Política.
O Grupo Yokogawa expressa sua mais sincera gratidão às partes interessadas pela colaboração na redução do risco de vulnerabilidades, que são pontos fracos para ataques cibernéticos, com o objetivo de garantir a segurança dos ativos dos clientes.

Política básica

O Grupo Yokogawa trabalhará para apoiar a garantia da segurança dos ativos de nossos clientes, reconhecendo que a avaliação contínua de riscos e a adoção de medidas contra ameaças cibernéticas são uma das tarefas mais importantes para o gerenciamento de ativos dos clientes.
Com relação ao tratamento de vulnerabilidades, o Grupo Yokogawa oferecerá informações e contramedidas sobre as vulnerabilidades de nossos produtos com o objetivo de ajudar os clientes a gerenciar os riscos associados.

Processo

O processo de tratamento de vulnerabilidades consiste nas quatro etapas descritas abaixo.

1. Aceitação de informações

O Grupo Yokogawa aceita informações sobre vulnerabilidades de nossos produtos de qualquer parte. Normalmente, o Grupo entrará em contato com o informante sobre a aceitação das informações de vulnerabilidade dentro de um ou dois dias úteis. O Grupo pode solicitar informações adicionais.
Favor relatar informações sobre vulnerabilidades a partir do seguinte:
https://contact.yokogawa.com/cs/gw?c-id=000983

Com base no conceito de CVD (Coordinated Vulnerability Disclosure, divulgação coordenada de vulnerabilidades)(*3), o Grupo Yokogawa solicita que o relator informe as vulnerabilidades descobertas ao Grupo Yokogawa ou às organizações CERT antes da divulgação.

 

2. Investigação de vulnerabilidades

O Grupo Yokogawa investigará os produtos que serão afetados por vulnerabilidades. O Grupo compartilhará os resultados com o repórter. Ele classificará o nível de gravidade das vulnerabilidades de acordo com o Common Vulnerability Scoring System (CVSS)(*4).

 

3. Preparativos para contramedidas

O Grupo Yokogawa considerará a adoção das seguintes contramedidas e fará a preparação de acordo com o nível de gravidade das vulnerabilidades.
- Remediação: Patch, correção, atualização e coisas do gênero para remover ou atenuar uma vulnerabilidade
- Solução alternativa: Ações e outras destinadas a reduzir os impactos de ataques que exploram vulnerabilidades

 

4. Oferta de informações

O Yokogawa Group fornecerá aos clientes o Yokogawa Security Advisory Report (YSAR), que inclui informações sobre vulnerabilidades. Antes de fazer isso, ele coordenará o conteúdo do YSAR e o momento de seu fornecimento com o relator e com as organizações CERT.
- Conteúdo do YSAR
O YSAR incluirá as seguintes informações.
- Descrições das vulnerabilidades
- Produtos e suas versões afetados pelas vulnerabilidades
- ID DO CVE
- Nível de gravidade (classificado de acordo com o CVSS)
- Detalhes das contramedidas
- Informações sobre o relator (se o relator concordar)
- Contato para consultas
- Método de fornecimento do YSAR
O Grupo Yokogawa fornecerá o YSAR das seguintes maneiras.
- Divulgação no site do Grupo Yokogawa
      https://www.yokogawa.com/library/resources/white-papers/yokogawa-security-advisory-report-list/
- Fornecimento de informações de acordo com os contratos de serviço de manutenção para produtos individuais
- Prazo para o fornecimento do YSAR
Em princípio, o Grupo Yokogawa fornecerá as informações depois que estiver pronto para fornecer a correção. No entanto, considerará a possibilidade de oferecer informações no momento em que estiver pronto para fornecer a solução alternativa em um caso em que seja necessário oferecer informações rapidamente aos clientes, como nos casos em que já foram observados ataques que exploram as vulnerabilidades.

 

5. ID DO CVE

O Grupo Yokogawa pode atribuir IDs CVE a vulnerabilidades de nossos produtos como uma Autoridade de Numeração CVE (CNA)(*5).

 

---

(*1) Organizações que aceitam e publicam informações sobre vulnerabilidades e que emitem alertas, como JPCERT/CC, CERT/CC e CISA
(*2)https://www.yokogawa.com/solutions/products-platforms/
(*3) A concept that the discoverer who discovered new vulnerabilities first discloses directly to the vendor or CERT organizations privately, then make the vendor prepare the countermeasures before the vulnerability information disclosure. It means each stakeholder cooperates to make a profit of product users a primary consideration.
Reference: https://blogs.technet.microsoft.com/msrc/2010/07/22/announcing-coordinated-vulnerability-disclosure/
(*4) A system of evaluation under which the level of severity of vulnerabilities is indicated on the scale from 0.0 to 10.0
Reference: Common Vulnerability Scoring System  https://www.first.org/cvss/
(*5) CVE
https://www.cve.org/About/Overview

---

 

Contato para consultas

Para consultas relacionadas ao tratamento de vulnerabilidades, entre em contato conosco pelo seguinte endereço.
https://contact.yokogawa.com/cs/gw?c-id=000498

 

Histórico de revisões

20 de novembro de 2018: Estabelecido
25 de outubro de 2023: Adicionado "5. ID CVE"