Dell pyrkii auttamaan asiakkaitaan minimoimaan Dell-tuotteissa oleviin tietoturvahaavoittuvuuksiin liittyvät riskit. Dellin tavoitteena on tarjota asiakkaille haavoittuvuuksien käsittelyyn oikea-aikaiset tiedot, ohjeet ja lievennysvaihtoehdot. Dellin tuoteturvallisuustapausten vastetiimin (Dell Product Security Incident Response Team, Dell PSIRT) tehtävänä on vastata kaikkiin Dell-tuotteita koskeviin haavoittuvuuksiin ja ilmoittaa niistä.
Dell osallistuu aktiivisesti erilaisiin yhteisöihin (englanniksi), mukaan lukien Forum of Incident Response and Response Teams (FIRST) (englanniksi) ja Software Assurance Forum for Excellence in Code (SAFECode) (englanniksi). Prosessimme ja menettelymme vastaavat FIRST PSIRT Services Framework (englanniksi) -viitekehystä sekä muita standardeja, kuten ISO/IEC 29147:2018 (englanniksi) ja ISO/IEC 30111:2019 (englanniksi).
Dell arvostaa alan kumppaneita ja tietoturvatutkijoita sekä panostusta tietoturvahankkeisiimme. Rohkaisemme vastuulliseen ja koordinoituun tietojen julkistamiseen, sillä asiakkaidemme turvallisuus on meille ensiarvoista. Tavoitteenamme on varmistaa, että korjauskeinot ja/tai lievennysstrategiat ovat sovellettavissa Dellin tuotteita koskevista haavoittuvuuksista ilmoitettaessa, ja tehdä yhteistyötä kolmansien osapuolten toimittajien kanssa, mikäli korjaus edellyttää heidän yhteistyötään.
Tämän käytännön mukaisesti kaikki uusista haavoittuvuuksista ilmoitetut tiedot pidetään luottamuksellisina, ja ne jaetaan Dellin ja ilmoittavan osapuolen kesken vain, jos tiedot eivät ole vielä julkisia, ennen kuin korjauskeino on saatavilla ja ilmoitustoimet on koordinoitu.
Ilmoitetun haavoittuvuuden tutkimisen ja vahvistamisen jälkeen Dell pyrkii kehittämään asianmukaisen korjauksen tuotteisiin, joita Dell tukee yhä aktiivisesti. Korjaus voi koostua vähintään yhdestä seuraavista:
Dell pyrkii kaikin keinoin tarjoamaan korjauksen tai korjaavan toimenpiteen niin nopeasti kuin se on kaupallisesti kohtuullista. Vasteaikataulut määräytyvät useiden tekijöiden mukaan, kuten:
Dell käyttää Common Vulnerability Scoring System (englanniksi) -standardin versiota 3.1 (CVSS v3.1) Dell-tuotteita koskevien haavoittuvuuksien ominaisuuksista ilmoittaessaan. FIRST ylläpitää standardia.
CVSS-pisteytys on numeerinen tapa arvioida haavoittuvuuksien vakavuutta ja ottaa huomioon useita tekijöitä, kuten haavoittuvuuden hyödyntämiseen tarvittavan vaivan sekä haavoittuvuuden mahdollisen hyödyntämisen vaikutukset. Dell tekee yhteenvedon haavoittuvuuden arvioidusta vaikutuksesta numeerisella pisteytyksellä, vektorimerkkijonolla ja vakavuuden laadullisella arviolla (kriittinen, korkea, keskitaso tai alhainen) alla olevan asteikon mukaisesti:
Vakavuus | CVSS v3.1 -pisteet |
Kriittinen | 9.0–10 |
Korkea | 7.0–8.9 |
Medium | 4.0–6.9 |
Alhainen | 0.1–3.9 |
Huomaa, että Dellin arvio haavoittuvuudesta, CVSS-pisteistä ja/tai vektorimerkkijonosta voivat poiketa muista lähteistä. Jos arviot eivät täsmää, Dell käyttää Dell Security Advisories -tiedotteiden sisältämiä tietoja määräävänä tietolähteenä.
Dell julkaisee tietoturvatiedotteita, ilmoituksia ja tietoartikkeleita, jotka kertovat asiakkaisille tuotteisiimme vaikuttavista tietoturvahaavoittuvuuksista.
Tietoturvatiedotteiden avulla saat ohjeita tai neuvoja siitä, miten asiakkaat voivat suojautua haavoittuvuuksilta tai vähentää ja/tai korjata niitä, kun Dell on analysoinut ja tunnistanut ratkaisuja.
Tietoturvatiedotteilla on tarkoitus antaa riittävästi tietoa, jotta voidaan arvioida haavoittuvuuksien vaikutusta ja korjata mahdollisesti asiaan liittyvät tuotteet. Kaikkia tietoja ei kuitenkaan välttämättä anneta, jotta voidaan pienentää sen todennäköisyyttä, että haitalliset toimijat voivat hyödyntää annettuja tietoja asiakkaitamme vastaan.
Dellin tietoturvatiedotteet sisältävät yleensä seuraavat tiedot soveltuvissa tapauksissa:
Dell voi julkaista tapauskohtaisesti tietoturvatiedotteen, jossa kerrotaan yleisesti tunnetusta tietoturvahaavoittuvuudesta ja annetaan lausunto tai muita ohjeita siitä, milloin (tai missä) lisätietoja on saatavilla.
Dell voi julkaista tietoturvaan liittyviä tietoartikkeleita tietojen jakamiseksi tietoturvaan liittyvistä aiheista, kuten:
Dellin tietoturvatiedotteet ja -ilmoitukset ovat saatavilla osoitteessa www.dell.com/support/security (englanniksi). Tässä linkissä on todennettuja tietoja koskevia artikkeleita.
Jos havaitset tietoturvahaavoittuvuuden Dell-tuotteessa, ilmoitathan siitä meille mahdollisimman pian. Tietoturvahaavoittuvuuksien oikea-aikainen tunnistaminen ja raportointi on asiakkaille erittäin tärkeää mahdollisten riskien lieventämiseksi. Tietoturvatutkijat voivat lähettää tuotteen haavoittuvuusraportit Dell Bugcrowd -sivuston (englanniksi) kautta. Yrityskäyttöön ja kaupalliseen käyttöön tarkoitettuja tuotteita käyttävien asiakkaiden ja kumppaneiden tulee ilmoittaa Dell-tuotteissa havaitut tietoturvaongelmat teknisen tuen tiimilleen. Teknisen tuen tiimi, asianmukainen tuotetiimi ja Dell PSIRT tutkivat ongelmaa yhdessä ja esittävät asiakkaille seuraavat vaiheet.
Toimialaryhmät, valmistajat ja muut käyttäjät, joilla ei ole teknistä tukea ja/tai jotka eivät halua käyttää ohjelmistovirheiden palkkio-ohjelmaa, voivat lähettää haavoittuvuusilmoituksia suoraan Dell PSIRT:lle sähköpostitse. Arkaluontoisia tietoja sisältävät sähköpostiviestit ja liitteet voidaan salata PGP-protokollalla ja Dell PSIRT PGP -avaimella, joka on ladattavissa täältä. Dell kuittaa haavoittuvuuden luovutusta koskevan raporttisi niin pian kuin olosuhteet sen sallivat.
Kaikissa tapauksissa Dell pyrkii vastaamaan haavoittuvuutta koskevaan ilmoitukseesi kolmen (3) arkipäivän kuluessa sen vastaanottamisesta ja tarjoamaan korjauspäivitykset enintään kolmenkymmenen (30) kalenteripäivän kuluessa.
Kun ilmoitat mahdollisesta haavoittuvuudesta, liitäthän ilmoitukseen mahdollisimman paljon alla olevista tiedoista, jotta voimme ymmärtää ilmoitetun ongelman luonteen ja laajuuden mahdollisimman hyvin:
Jos haavoittuvuus mahdollistaa pääsyn luottamuksellisiin tai ei-julkisiin tietoihin (mukaan lukien kolmannen osapuolen tiedot, henkilötiedot tai tiedot, jotka Dell on merkinnyt sisäiseen käyttöön, rajoitetuksi tai erittäin rajoitetuksi), käytä kyseisiä tietoja niin vähän kuin on tarpeen haavoittuvuuden ilmoittamiseksi Dellille. Älä tallenna, siirrä, käytä, säilytä, luovuta tai kopioi kyseisiä tietoja muutoin kuin lähettääksesi ne Dellille.
Älä myöskään tee mitään, mikä vaikuttaa Dell-järjestelmien eheyteen tai käytettävyyteen, ellei sinulla ole omistajan nimenomaista suostumusta. Tee soveltuvuusselvitystä tehdessäsi mahdollisimman vähän. Jos tutkimuksen aikana havaitset suorituskyvyn heikkenemistä tai tahattomia rikkomuksia tai häiriöitä (esim. pääsy asiakastietoihin tai palvelumäärityksiin), lopeta automaattisten työkalujen käyttö ja ilmoita tapahtumasta välittömästi. Jos jossain vaiheessa olet epävarma siitä, onko tietoturvatutkimus yhteensopiva tämän käytännön kanssa, ota yhteyttä osoitteeseen secure@dell.com, ennen kuin jatkat.
Ilmoita Dellille muista tietoturvaongelmista alla lueteltujen yhteystietojen avulla:
Tietoturvaongelma | Yhteystiedot |
Tietoturvahaavoittuvuudesta tai -ongelmasta ilmoittaminen Dell.comissa tai muussa online-palvelussa, verkkosovelluksessa tai verkkoalustalla. | Lähetä raportti ja vaiheittaiset ohjeet ongelman toistamiseen osoitteessa https://bugcrowd.com/dell-com (englanniksi). |
Jos epäilet identiteettivarkautta tai jos olet joutunut Dell Financial Servicesiin liittyvän petoksen kohteeksi. | Katso Dell Financial Services Security (englanniksi). |
Tietosuojaan liittyvien pyyntöjen tai kysymysten lähettäminen. | Katso Dellin tietosuoja (englanniksi). |
Dell pyrkii mahdollisimman läpinäkyvästi tarjoamaan tietoja haavoittuvuuden korjaustoimista tietoturvatiedotteessa ja niihin liittyvissä oppaissa, jotka voivat sisältää julkaisutietoja, tietokanta-artikkeleita ja usein kysyttyjä kysymyksiä. Dell ei jaa tunnistettujen haavoittuvuuksien vahvistettuja hyödyntämistapoja tai näyttöä niiden toimivuudesta. Alan käytäntöjen mukaisesti Dell ei jaa ulkoisten yksiköiden kanssa testituloksia, sisäisissä suojaustesteissä ilmenneitä todisteita haavoittuvuuden hyödyntämisen toimivuudesta eikä muita ei-julkisia tietoja.
Dellin asiakkaiden oikeuksia liittyen takuisiin sekä tukeen ja ylläpitoon (mukaan luettuna Dellin ohjelmistotuotteessa oleva haavoittuvuus) käsitellään ainoastaan Dellin ja kunkin asiakkaan välisen sovellettavan sopimuksen mukaisesti. Tämän verkkosivun lausekkeet eivät muuta, laajenna tai muuta muulla tavalla asiakkaan oikeuksia tai luo muita takuita.
Kaikki tämän haavoittuvuuksien vastauskäytännön osatekijät voivat muuttua ilman erillistä ilmoitusta. Mihinkään tiettyyn ongelmaan tai ongelmaluokkaan ei voida taata vastausta. Tämän asiakirjan sisältämien tietojen tai tässä linkitettyjen materiaalien käyttö on omalla vastuullasi.