วัตถุประสงค์ของนโยบาย
วัตถุประสงค์ของนโยบายนี้คือเพื่ออธิบาย โยโกกาวา Group ในการจัดการช่องโหว่และกระบวนการให้กับลูกค้าทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ (CERT) (* 1) องค์กรผู้ขายนักวิจัยและผู้มีส่วนได้ส่วนเสียอื่น ๆ โยโกกาวา Group มุ่งมั่นที่จะตอบสนองต่อช่องโหว่ในผลิตภัณฑ์ของเรา (* 2) ตามนโยบายนี้
โยโกกาวา Group ขอแสดงความขอบคุณอย่างจริงใจต่อผู้มีส่วนได้ส่วนเสียสำหรับความร่วมมือในการลดความเสี่ยงจากช่องโหว่ซึ่งเป็นจุดอ่อนของการโจมตีทางอินเทอร์เน็ตโดยมีวัตถุประสงค์เพื่อให้มั่นใจในความปลอดภัยของทรัพย์สินของลูกค้า
นโยบายพื้นฐาน
โยโกกาวา Group จะทำงานเพื่อสนับสนุนการสร้างความมั่นใจในความปลอดภัยของทรัพย์สินของลูกค้าของเราด้วยการยอมรับว่าการประเมินความเสี่ยงอย่างต่อเนื่องและการใช้มาตรการรับมือกับภัยคุกคามทางไซเบอร์เป็นหนึ่งในงานที่สำคัญที่สุดสำหรับการจัดการทรัพย์สินของลูกค้า
ในส่วนที่เกี่ยวกับการจัดการช่องโหว่ โยโกกาวา Group จะนำเสนอข้อมูลและมาตรการตอบโต้เกี่ยวกับช่องโหว่ของผลิตภัณฑ์ของเราโดยมีจุดประสงค์เพื่อสนับสนุนลูกค้าในการจัดการความเสี่ยงที่เกี่ยวข้อง
กระบวนการ
กระบวนการจัดการช่องโหว่ประกอบด้วยสี่ขั้นตอนที่อธิบายไว้ด้านล่าง
1. การยอมรับข้อมูล
โยโกกาวา Group ยอมรับข้อมูลเกี่ยวกับช่องโหว่ของผลิตภัณฑ์ของเราจากฝ่ายใด ๆ โดยปกติกลุ่ม บริษัท จะติดต่อผู้รายงานเกี่ยวกับการยอมรับข้อมูลช่องโหว่ภายในหนึ่งหรือสองวันทำการ กลุ่ม บริษัท อาจสอบถามข้อมูลเพิ่มเติม
โปรดรายงานข้อมูลช่องโหว่จากสิ่งต่อไปนี้:
https://contact.yokogawa.com/cs/gw?c-id=000983
ตามแนวคิดของการเปิดเผยช่องโหว่เชิงพิกัด (CVD) (* 3) โยโกกาวา Group ขอให้ผู้สื่อข่าวรายงานช่องโหว่ที่ค้นพบต่อ โยโกกาวา Group หรือองค์กร CERT ก่อนการเปิดเผย
2. การตรวจสอบช่องโหว่
โยโกกาวา Group จะตรวจสอบผลิตภัณฑ์ที่จะได้รับผลกระทบจากช่องโหว่กลุ่มจะแบ่งปันผลลัพธ์กับผู้สื่อข่าว จะให้คะแนนระดับความรุนแรงของช่องโหว่ภายใต้ Common Vulnerability Scoring System (CVSS) (* 4)
3. การเตรียมการรับมือ
โยโกกาวา Group จะพิจารณาดำเนินมาตรการตอบโต้ต่อไปนี้และจะเตรียมการให้สอดคล้องกับระดับความรุนแรงของช่องโหว่
- การแก้ไข: แก้ไขแก้ไขอัปเกรดและเช่นนี้เพื่อลบหรือบรรเทาช่องโหว่
- วิธีแก้ปัญหา: การดำเนินการและอื่น ๆ ที่มุ่งลดผลกระทบของการโจมตีที่ใช้ช่องโหว่
4. การเสนอข้อมูล
โยโกกาวา Group จะให้บริการแก่ลูกค้าด้วย โยโกกาวา Security Advisory Report (YSAR) ซึ่งรวมถึงข้อมูลเกี่ยวกับช่องโหว่ ก่อนดำเนินการดังกล่าวจะประสานเนื้อหาของ YSAR และระยะเวลาในการจัดหาให้กับผู้รายงานและองค์กร CERT
- เนื้อหาของ YSAR
YSAR จะรวมข้อมูลต่อไปนี้
- คำอธิบายช่องโหว่
- ผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบจากช่องโหว่
- ระดับความรุนแรง (จัดอันดับภายใต้ CVSS)
- รายละเอียดมาตรการรับมือ
- ข้อมูลเกี่ยวกับผู้รายงาน (หากผู้รายงานเห็นด้วย)
- ติดต่อสอบถาม
- วิธีการจัดหา YSAR
โยโกกาวา Group จะจัดให้มี YSAR ตามมารยาทดังต่อไปนี้
- การเปิดเผยข้อมูลบนเว็บไซต์ โยโกกาวา
https://www.yokogawa.com/library/resources/white-papers/yokogawa-security-advisory-report-list/
- การให้ข้อมูลตามข้อตกลงการบริการบำรุงรักษาสำหรับผลิตภัณฑ์แต่ละรายการ
- ระยะเวลาในการจัดหา YSAR
โดยหลักแล้ว โยโกกาวา Group จะให้ข้อมูลหลังจากที่พร้อมที่จะให้การแก้ไขอย่างไรก็ตามจะพิจารณาเสนอข้อมูลในเวลาที่พร้อมที่จะให้วิธีแก้ปัญหาในกรณีที่จำเป็นต้องเสนอข้อมูลให้กับลูกค้าอย่างรวดเร็ว เช่นกรณีที่พบการโจมตีโดยใช้ช่องโหว่แล้ว
(*1) Organizations that accepts and publishes vulnerabilities information and that gives alert, such as JPCERT/CC, CERT/CC and CISA
(*2) https://www.yokogawa.com/solutions/products-platforms/
(*3) A concept that the discoverer who discovered new vulnerabilities first discloses directly to the vendor or CERT organizations privately, then make the vendor prepare the countermeasures before the vulnerability information disclosure. It means each stakeholder cooperates to make a profit of product users a primary consideration.
Reference: https://blogs.technet.microsoft.com/msrc/2010/07/22/announcing-coordinated-vulnerability-disclosure/
(*4) A system of evaluation under which the level of severity of vulnerabilities is indicated on the scale from 0.0 to 10.0
Reference: Common Vulnerability Scoring System https://www.first.org/cvss/
ติดต่อสอบถาม
สำหรับคำถามเกี่ยวกับการจัดการช่องโหว่โปรดติดต่อเราตามที่อยู่ต่อไปนี้
https://contact.yokogawa.com/cs/gw?c-id=000498
ประวัติการแก้ไข
20 พฤศจิกายน 2018: ก่อตั้ง
คุณต้องการข้อมูลเพิ่มเติมเกี่ยวกับบุคลากร เทคโนโลยี และโซลูชั่นของเราหรือไม่ ?
ติดต่อเรา