นโยบายการจัดการช่องโหว่ของ โยโกกาวา โยโกกาวา ประเทศไทย

วัตถุประสงค์ของนโยบาย

วัตถุประสงค์ของนโยบายนี้คือเพื่ออธิบาย โยโกกาวา Group ในการจัดการช่องโหว่และกระบวนการให้กับลูกค้าทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ (CERT) (* 1) องค์กรผู้ขายนักวิจัยและผู้มีส่วนได้ส่วนเสียอื่น ๆ โยโกกาวา Group มุ่งมั่นที่จะตอบสนองต่อช่องโหว่ในผลิตภัณฑ์ของเรา (* 2) ตามนโยบายนี้
โยโกกาวา Group ขอแสดงความขอบคุณอย่างจริงใจต่อผู้มีส่วนได้ส่วนเสียสำหรับความร่วมมือในการลดความเสี่ยงจากช่องโหว่ซึ่งเป็นจุดอ่อนของการโจมตีทางอินเทอร์เน็ตโดยมีวัตถุประสงค์เพื่อให้มั่นใจในความปลอดภัยของทรัพย์สินของลูกค้า

นโยบายพื้นฐาน

โยโกกาวา Group จะทำงานเพื่อสนับสนุนการสร้างความมั่นใจในความปลอดภัยของทรัพย์สินของลูกค้าของเราด้วยการยอมรับว่าการประเมินความเสี่ยงอย่างต่อเนื่องและการใช้มาตรการรับมือกับภัยคุกคามทางไซเบอร์เป็นหนึ่งในงานที่สำคัญที่สุดสำหรับการจัดการทรัพย์สินของลูกค้า
ในส่วนที่เกี่ยวกับการจัดการช่องโหว่ โยโกกาวา Group จะนำเสนอข้อมูลและมาตรการตอบโต้เกี่ยวกับช่องโหว่ของผลิตภัณฑ์ของเราโดยมีจุดประสงค์เพื่อสนับสนุนลูกค้าในการจัดการความเสี่ยงที่เกี่ยวข้อง

กระบวนการ

กระบวนการจัดการช่องโหว่ประกอบด้วยสี่ขั้นตอนที่อธิบายไว้ด้านล่าง

1. การยอมรับข้อมูล

โยโกกาวา Group ยอมรับข้อมูลเกี่ยวกับช่องโหว่ของผลิตภัณฑ์ของเราจากฝ่ายใด ๆ โดยปกติกลุ่ม บริษัท จะติดต่อผู้รายงานเกี่ยวกับการยอมรับข้อมูลช่องโหว่ภายในหนึ่งหรือสองวันทำการ กลุ่ม บริษัท อาจสอบถามข้อมูลเพิ่มเติม
โปรดรายงานข้อมูลช่องโหว่จากสิ่งต่อไปนี้:
https://contact.yokogawa.com/cs/gw?c-id=000983

ตามแนวคิดของการเปิดเผยช่องโหว่เชิงพิกัด (CVD) (* 3) โยโกกาวา Group ขอให้ผู้สื่อข่าวรายงานช่องโหว่ที่ค้นพบต่อ โยโกกาวา Group หรือองค์กร CERT ก่อนการเปิดเผย

2. การตรวจสอบช่องโหว่

โยโกกาวา Group จะตรวจสอบผลิตภัณฑ์ที่จะได้รับผลกระทบจากช่องโหว่กลุ่มจะแบ่งปันผลลัพธ์กับผู้สื่อข่าว จะให้คะแนนระดับความรุนแรงของช่องโหว่ภายใต้ Common Vulnerability Scoring System (CVSS) (* 4)

3. การเตรียมการรับมือ

โยโกกาวา Group จะพิจารณาดำเนินมาตรการตอบโต้ต่อไปนี้และจะเตรียมการให้สอดคล้องกับระดับความรุนแรงของช่องโหว่
- การแก้ไข: แก้ไขแก้ไขอัปเกรดและเช่นนี้เพื่อลบหรือบรรเทาช่องโหว่
- วิธีแก้ปัญหา: การดำเนินการและอื่น ๆ ที่มุ่งลดผลกระทบของการโจมตีที่ใช้ช่องโหว่

4. การเสนอข้อมูล

โยโกกาวา Group จะจัดเตรียมรายงานที่ปรึกษาด้านความปลอดภัย โยโกกาวา (YSAR) ให้กับลูกค้า ซึ่งรวมถึงข้อมูลเกี่ยวกับช่องโหว่ต่างๆ ก่อนที่จะดำเนินการดังกล่าว ทางบริษัทจะประสานงานเนื้อหาของ YSAR และระยะเวลาในการจัดเตรียมเนื้อหากับผู้รายงานและกับองค์กรของ CERT
- เนื้อหาของ YSAR
YSAR จะรวมข้อมูลต่อไปนี้
- คำอธิบายของช่องโหว่
- ผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบจากช่องโหว่
- รหัส CVE
- ระดับความรุนแรง (จัดอันดับภายใต้ CVSS)
- รายละเอียดมาตรการรับมือ
- ข้อมูลเกี่ยวกับผู้รายงาน (หากผู้รายงานยินยอม)
- ติดต่อสอบถาม
- วิธีการจัดให้มี YSAR
โยโกกาวา Group จะจัดหา YSAR ในลักษณะดังต่อไปนี้
- การเปิดเผยบนเว็บไซต์กลุ่ม โยโกกาวา
https://www.yokogawa.com/library/resources/white-papers/yokogawa-security-advisory-report-list/
- การให้ข้อมูลตามข้อตกลงการบริการบำรุงรักษาสำหรับผลิตภัณฑ์แต่ละรายการ
- ระยะเวลาในการจัดหา YSAR
โดยหลักแล้ว โยโกกาวา Group จะให้ข้อมูลหลังจากที่พร้อมที่จะให้การแก้ไขอย่างไรก็ตามจะพิจารณาเสนอข้อมูลในเวลาที่พร้อมที่จะให้วิธีแก้ปัญหาในกรณีที่จำเป็นต้องเสนอข้อมูลให้กับลูกค้าอย่างรวดเร็ว เช่นกรณีที่พบการโจมตีโดยใช้ช่องโหว่แล้ว

5. รหัส CVE

โยโกกาวา Group สามารถกำหนด CVE ID ให้กับช่องโหว่สำหรับผลิตภัณฑ์ของเราในฐานะ CVE Numbering Authority (CNA)(*5)

ถึงผู้สื่อข่าว

เราจะรวมข้อมูลของผู้รายงานไว้ในรายงานที่ปรึกษาข้างต้นเพื่อเป็นการรับทราบ (หากผู้รายงานเห็นด้วย)

(*1) องค์กรที่ยอมรับและเผยแพร่ข้อมูลช่องโหว่และแจ้งเตือน เช่น JPCERT/CC, CERT/CC และ CISA
(*2)https://www.yokogawa.com/solutions/products-platforms/
(*3) แนวคิดที่ว่าผู้ค้นพบช่องโหว่ใหม่จะเปิดเผยข้อมูลโดยตรงให้กับผู้จำหน่ายหรือองค์กร CERT เป็นการส่วนตัวก่อน จากนั้นให้ผู้จำหน่ายเตรียมมาตรการรับมือ ก่อนที่จะเปิดเผยข้อมูลช่องโหว่ ซึ่งหมายความว่าผู้มีส่วนได้ส่วนเสียแต่ละฝ่ายจะร่วมมือกันเพื่อให้ผลประโยชน์ของผู้ใช้ผลิตภัณฑ์เป็นสิ่งสำคัญอันดับแรก
อ้างอิง:https://blogs.technet.microsoft.com/msrc/2010/07/22/announcing-coordinated-vulnerability-disclosure/
(*4) ระบบการประเมินซึ่งระบุระดับความรุนแรงของช่องโหว่ในระดับ 0.0 ถึง 10.0
อ้างอิง: ระบบการให้คะแนนช่องโหว่ทั่วไป (Common Vulnerability Scoring System)https://www.first.org/cvss/
(*5) CVE
https://www.cve.org/About/Overview

ติดต่อสอบถาม

สำหรับคำถามเกี่ยวกับการจัดการช่องโหว่โปรดติดต่อเราตามที่อยู่ต่อไปนี้
https://contact.yokogawa.com/cs/gw?c-id=000498

ประวัติการแก้ไข

20 พฤศจิกายน 2018: ก่อตั้ง
25 ตุลาคม 2023: เพิ่ม "5. CVE ID"

สรุปข่าว 25 ต.ค. 2023

โยโกกาวา เร่งการเปิดเผยข้อมูลช่องโหว่ด้านความปลอดภัยทางไซเบอร์โดยการเข้าร่วม CVE Numbering Authority

คุณต้องการข้อมูลเพิ่มเติมเกี่ยวกับบุคลากร เทคโนโลยี และโซลูชั่นของเราหรือไม่ ?

ติดต่อเรา