Siirry pääsisältöön
Kirjaudu ulos

Tervetuloa Dellin asiakkaaksi

Oma tili
  • Tee tilauksia nopeasti ja helposti
  • Tarkastele tilauksia ja seuraa lähetyksen tilaa
  • Luo tuoteluettelo ja käytä sitä
  • Hallitse Dell EMC-sivustoja, tuotteita ja tuote-tason yhteystietoja yrityksen hallinnan avulla.
Kirjaudu sisään Luo tili Premier-kirjautuminen Kumppaniohjelman sisäänkirjautumissivu
Ota yhteyttä

Dellin reagointikäytäntö haavoittuvuuksiin

Johdanto

Dell pyrkii auttamaan asiakkaitaan minimoimaan Dell-tuotteissa oleviin tietoturvahaavoittuvuuksiin liittyvät riskit. Dellin tavoitteena on tarjota asiakkaille haavoittuvuuksien käsittelyyn oikea-aikaiset tiedot, ohjeet ja lievennysvaihtoehdot. Dellin tuoteturvallisuustapausten vastetiimin (Dell Product Security Incident Response Team, Dell PSIRT) tehtävänä on vastata kaikkiin Dell-tuotteita koskeviin haavoittuvuuksiin ja ilmoittaa niistä.

Dell osallistuu aktiivisesti erilaisiin yhteisöihin (englanniksi), mukaan lukien Forum of Incident Response and Response Teams (FIRST) (englanniksi) ja Software Assurance Forum for Excellence in Code (SAFECode) (englanniksi). Prosessimme ja menettelymme vastaavat FIRST PSIRT Services Framework (englanniksi) -viitekehystä sekä muita standardeja, kuten ISO/IEC 29147:2018 (englanniksi) ja ISO/IEC 30111:2019 (englanniksi).

Haavoittuvuusraporttien käsittely

Dell arvostaa alan kumppaneita ja tietoturvatutkijoita sekä panostusta tietoturvahankkeisiimme. Rohkaisemme vastuulliseen ja koordinoituun tietojen julkistamiseen, sillä asiakkaidemme turvallisuus on meille ensiarvoista. Tavoitteenamme on varmistaa, että korjauskeinot ja/tai lievennysstrategiat ovat sovellettavissa Dellin tuotteita koskevista haavoittuvuuksista ilmoitettaessa, ja tehdä yhteistyötä kolmansien osapuolten toimittajien kanssa, mikäli korjaus edellyttää heidän yhteistyötään.

Tämän käytännön mukaisesti kaikki uusista haavoittuvuuksista ilmoitetut tiedot pidetään luottamuksellisina, ja ne jaetaan Dellin ja ilmoittavan osapuolen kesken vain, jos tiedot eivät ole vielä julkisia, ennen kuin korjauskeino on saatavilla ja ilmoitustoimet on koordinoitu.

Haavoittuvuuden korjaus

Ilmoitetun haavoittuvuuden tutkimisen ja vahvistamisen jälkeen Dell pyrkii kehittämään asianmukaisen korjauksen tuotteisiin, joita Dell tukee yhä aktiivisesti. Korjaus voi koostua vähintään yhdestä seuraavista:

  • Dellin pakkaaman, haavoittuvan tuotteen uusi julkaisu
  • Dellin tarjoama ohjelmistokorjaus, joka voidaan asentaa haavoittuvaiseen tuotteeseen
  • ohjeet haavoittuvuuden lieventämiseen tarvittavan päivityksen tai ohjelmistokorjauksen lataamiseen ja asentamiseen kolmannen osapuolen toimittajalta
  • Dellin julkaisema korjaava toimenpide tai kiertotapa, joka neuvoo käyttäjiä haavoittuvuuden korjaamisessa.

Dell pyrkii kaikin keinoin tarjoamaan korjauksen tai korjaavan toimenpiteen niin nopeasti kuin se on kaupallisesti kohtuullista. Vasteaikataulut määräytyvät useiden tekijöiden mukaan, kuten:

  • haavoittuvuuden vakavuus
  • haavoittuvuuden monimutkaisuus
  • vaikutusalue
  • korjaamisen vaivalla/vaikutus
  • tuotteen elinkaari.

Miten Dell arvioi haavoittuvuuksien vakavuuden ja vaikutukset

Dell käyttää Common Vulnerability Scoring System (englanniksi) -standardin versiota 3.1 (CVSS v3.1) Dell-tuotteita koskevien haavoittuvuuksien ominaisuuksista ilmoittaessaan. FIRST ylläpitää standardia.

CVSS-pisteytys on numeerinen tapa arvioida haavoittuvuuksien vakavuutta ja ottaa huomioon useita tekijöitä, kuten haavoittuvuuden hyödyntämiseen tarvittavan vaivan sekä haavoittuvuuden mahdollisen hyödyntämisen vaikutukset. Dell tekee yhteenvedon haavoittuvuuden arvioidusta vaikutuksesta numeerisella pisteytyksellä, vektorimerkkijonolla ja vakavuuden laadullisella arviolla (kriittinen, korkea, keskitaso tai alhainen) alla olevan asteikon mukaisesti:

Vakavuus

CVSS v3.1 -pisteet

Kriittinen

9.0–10

Korkea

7.0–8.9

Medium

4.0–6.9

Alhainen

0.1–3.9

Dell suosittelee, että kaikki asiakkaat käyttävät näitä tietoja ympäristönsä kannalta tärkeiden tietojen laskentaan, jotta he voivat arvioida tarkasti resursseihinsa tai Dell-tuotteiden käyttöönottoon liittyvän riskin.

Huomaa, että Dellin arvio haavoittuvuudesta, CVSS-pisteistä ja/tai vektorimerkkijonosta voivat poiketa muista lähteistä. Jos arviot eivät täsmää, Dell käyttää Dell Security Advisories -tiedotteiden sisältämiä tietoja määräävänä tietolähteenä.

Ulkoinen viestintä

Dell julkaisee tietoturvatiedotteita, ilmoituksia ja tietoartikkeleita, jotka kertovat asiakkaisille tuotteisiimme vaikuttavista tietoturvahaavoittuvuuksista.

Tietoturvatiedotteiden avulla saat ohjeita tai neuvoja siitä, miten asiakkaat voivat suojautua haavoittuvuuksilta tai vähentää ja/tai korjata niitä, kun Dell on analysoinut ja tunnistanut ratkaisuja.

Tietoturvatiedotteilla on tarkoitus antaa riittävästi tietoa, jotta voidaan arvioida haavoittuvuuksien vaikutusta ja korjata mahdollisesti asiaan liittyvät tuotteet. Kaikkia tietoja ei kuitenkaan välttämättä anneta, jotta voidaan pienentää sen todennäköisyyttä, että haitalliset toimijat voivat hyödyntää annettuja tietoja asiakkaitamme vastaan.

Dellin tietoturvatiedotteet sisältävät yleensä seuraavat tiedot soveltuvissa tapauksissa:

  • kokonaisvaikutus, joka on vakavuusasteen (kriittinen, korkea, keskitaso ja alhainen) kirjoitettu kuvaus, joka lasketaan haavoittuvuuksista korkeimpaan CVSS Base Score -pistearvoon Severity Qualitative Severity Rating Scale -asteikolla
  • haavoittuvat tuotteet ja versiot
  • kaikkien tunnistettujen haavoittuvuuksien CVSS Base Score -pistearvo ja Vector-tunnusluku
  • CVE (Common Vulnerabilities and Exposures) (englanniksi) -tunniste kaikille tunnistetuille haavoittuvuuksille, jotta kunkin yksittäisen haavoittuvuuden tiedot voidaan jakaa eri haavoittuvuuksien hallintaominaisuuksien kesken (esimerkiksi haavoittuvuuksien tarkistustyökalut, säilöt ja palvelut)
  • haavoittuvuuden lyhyt kuvaus ja mahdollinen vaikutus, jos sitä käytetään hyväksi
  • korjauksen tiedot, joihin sisällytetään päivityksen tai ongelman kiertoratkaisun tiedot
  • haavoittuvuusluokkien tiedot
    • valmistajan koodi – Dellin kehittämä laitteisto, ohjelmisto tai laiteohjelmisto
    • kolmannen osapuolen komponentti – laitteisto, ohjelmisto tai laiteohjelmisto, jota jaetaan vapaasti joko pakattuna tai joka on muutoin sisällytetty Dell-tuotteeseen
  • lisäviitteet soveltuvin osin.

Dell voi julkaista tapauskohtaisesti tietoturvatiedotteen, jossa kerrotaan yleisesti tunnetusta tietoturvahaavoittuvuudesta ja annetaan lausunto tai muita ohjeita siitä, milloin (tai missä) lisätietoja on saatavilla.

Dell voi julkaista tietoturvaan liittyviä tietoartikkeleita tietojen jakamiseksi tietoturvaan liittyvistä aiheista, kuten:

  • käyttöön on otettu uusia suojausta parantavia ominaisuuksia
  • tuotekohtaisista tietoturvan määritysoppaista ja parhaista käytännöistä
  • kolmannen osapuolen komponenteissa olevista tietoturvahaavoittuvuuksista, jotka on tunnistettu haavoittuvuuden tarkistustyökaluilla, mutta joita ei voida käsitellä tietyssä tuotteessa
  • asennusohjeista tiettyjen tietoturvapäivitysten soveltamiseksi
  • tiedoista, jotka koskevat tietoturvapäivitysten vaikutusta muiden kuin Dell-tuotteiden yhteis- tai esivaatimuksiin, jotka voivat vaikuttaa Dell-tuotteisiin.

Dellin tietoturvatiedotteet ja -ilmoitukset ovat saatavilla osoitteessa www.dell.com/support/security (englanniksi). Tässä linkissä on todennettuja tietoja koskevia artikkeleita.

Tietoturvahaavoittuvuudesta ilmoittaminen

Jos havaitset tietoturvahaavoittuvuuden Dell-tuotteessa, ilmoitathan siitä meille mahdollisimman pian. Tietoturvahaavoittuvuuksien oikea-aikainen tunnistaminen ja raportointi on asiakkaille erittäin tärkeää mahdollisten riskien lieventämiseksi. Tietoturvatutkijat voivat lähettää tuotteen haavoittuvuusraportit Dell Bugcrowd -sivuston (englanniksi) kautta.  Yrityskäyttöön ja kaupalliseen käyttöön tarkoitettuja tuotteita käyttävien asiakkaiden ja kumppaneiden tulee ilmoittaa Dell-tuotteissa havaitut tietoturvaongelmat teknisen tuen tiimilleen. Teknisen tuen tiimi, asianmukainen tuotetiimi ja Dell PSIRT tutkivat ongelmaa yhdessä ja esittävät asiakkaille seuraavat vaiheet.

Toimialaryhmät, valmistajat ja muut käyttäjät, joilla ei ole teknistä tukea ja/tai jotka eivät halua käyttää ohjelmistovirheiden palkkio-ohjelmaa, voivat lähettää haavoittuvuusilmoituksia suoraan Dell PSIRT:lle sähköpostitse. Arkaluontoisia tietoja sisältävät sähköpostiviestit ja liitteet voidaan salata PGP-protokollalla ja Dell PSIRT PGP -avaimella, joka on ladattavissa täältä. Dell kuittaa haavoittuvuuden luovutusta koskevan raporttisi niin pian kuin olosuhteet sen sallivat.

Kaikissa tapauksissa Dell pyrkii vastaamaan haavoittuvuutta koskevaan ilmoitukseesi kolmen (3) arkipäivän kuluessa sen vastaanottamisesta ja tarjoamaan korjauspäivitykset enintään kolmenkymmenen (30) kalenteripäivän kuluessa.

Kun ilmoitat mahdollisesta haavoittuvuudesta, liitäthän ilmoitukseen mahdollisimman paljon alla olevista tiedoista, jotta voimme ymmärtää ilmoitetun ongelman luonteen ja laajuuden mahdollisimman hyvin:

  • Tuotenimi ja -versio, jotka sisältävät epäillyn haavoittuvuuden/haavoittuvuuden
  • käyttöympäristön tai järjestelmän tiedot, joissa ongelma toistettiin (esimerkiksi tuotteen mallinumero, käyttöjärjestelmäversio ja muut asiaan liittyvät tiedot)
  • Common Weakness Enumeration (CWE) ja haavoittuvuuden tyyppi ja/tai luokka (esim. sivustojen välinen komentosarja, puskurin ylivuoto, palvelunesto, etäkoodin suorittaminen)
  • yksityiskohtaiset ohjeet, joilla haavoittuvuuden voi toistaa
  • soveltuvuusselvitys tai haavoittuvuutta hyödyntävä koodi
  • haavoittuvuuden mahdolliset vaikutukset.

Tutkijoiden toimintaohjeet

Jos haavoittuvuus mahdollistaa pääsyn luottamuksellisiin tai ei-julkisiin tietoihin (mukaan lukien kolmannen osapuolen tiedot, henkilötiedot tai tiedot, jotka Dell on merkinnyt sisäiseen käyttöön, rajoitetuksi tai erittäin rajoitetuksi), käytä kyseisiä tietoja niin vähän kuin on tarpeen haavoittuvuuden ilmoittamiseksi Dellille. Älä tallenna, siirrä, käytä, säilytä, luovuta tai kopioi kyseisiä tietoja muutoin kuin lähettääksesi ne Dellille.

Älä myöskään tee mitään, mikä vaikuttaa Dell-järjestelmien eheyteen tai käytettävyyteen, ellei sinulla ole omistajan nimenomaista suostumusta. Tee soveltuvuusselvitystä tehdessäsi mahdollisimman vähän. Jos tutkimuksen aikana havaitset suorituskyvyn heikkenemistä tai tahattomia rikkomuksia tai häiriöitä (esim. pääsy asiakastietoihin tai palvelumäärityksiin), lopeta automaattisten työkalujen käyttö ja ilmoita tapahtumasta välittömästi. Jos jossain vaiheessa olet epävarma siitä, onko tietoturvatutkimus yhteensopiva tämän käytännön kanssa, ota yhteyttä osoitteeseen secure@dell.com, ennen kuin jatkat.

Muista tietoturvaongelmista ilmoittaminen Dellille

Ilmoita Dellille muista tietoturvaongelmista alla lueteltujen yhteystietojen avulla:

Tietoturvaongelma

Yhteystiedot

Tietoturvahaavoittuvuudesta tai -ongelmasta ilmoittaminen Dell.comissa tai muussa online-palvelussa, verkkosovelluksessa tai verkkoalustalla.

Lähetä raportti ja vaiheittaiset ohjeet ongelman toistamiseen osoitteessa https://bugcrowd.com/dell-com (englanniksi).

Jos epäilet identiteettivarkautta tai jos olet joutunut Dell Financial Servicesiin liittyvän petoksen kohteeksi.

Katso Dell Financial Services Security (englanniksi).

Tietosuojaan liittyvien pyyntöjen tai kysymysten lähettäminen.

Katso Dellin tietosuoja (englanniksi).

Rajoitukset

Dell pyrkii mahdollisimman läpinäkyvästi tarjoamaan tietoja haavoittuvuuden korjaustoimista tietoturvatiedotteessa ja niihin liittyvissä oppaissa, jotka voivat sisältää julkaisutietoja, tietokanta-artikkeleita ja usein kysyttyjä kysymyksiä.  Dell ei jaa tunnistettujen haavoittuvuuksien vahvistettuja hyödyntämistapoja tai näyttöä niiden toimivuudesta. Alan käytäntöjen mukaisesti Dell ei jaa ulkoisten yksiköiden kanssa testituloksia, sisäisissä suojaustesteissä ilmenneitä todisteita haavoittuvuuden hyödyntämisen toimivuudesta eikä muita ei-julkisia tietoja.

Asiakkaan oikeudet: takuut, tuki ja ylläpito

Dellin asiakkaiden oikeuksia liittyen takuisiin sekä tukeen ja ylläpitoon (mukaan luettuna Dellin ohjelmistotuotteessa oleva haavoittuvuus) käsitellään ainoastaan Dellin ja kunkin asiakkaan välisen sovellettavan sopimuksen mukaisesti. Tämän verkkosivun lausekkeet eivät muuta, laajenna tai muuta muulla tavalla asiakkaan oikeuksia tai luo muita takuita.

Vastuuvapautuslauseke

Kaikki tämän haavoittuvuuksien vastauskäytännön osatekijät voivat muuttua ilman erillistä ilmoitusta. Mihinkään tiettyyn ongelmaan tai ongelmaluokkaan ei voida taata vastausta. Tämän asiakirjan sisältämien tietojen tai tässä linkitettyjen materiaalien käyttö on omalla vastuullasi.