Política de Gestão Coordenada de Vulnerabilidades
1. INTRODUÇÃO
Este documento de Política de Gestão Coordenada de Vulnerabilidades de Produtos ELSYS é destinado a representar os principais direcionadores sobre as obrigações, responsabilidades e ações que são empregados para perceber, receber, avaliar e tratar as vulnerabilidades e falhas dos produtos ELSYS.
Independentemente de cargo ou função que exerçam, todos os colaboradores e parceiros da ELSYS precisam estar cientes e cumprirem sem restrições todas as diretrizes desta Política, além de buscar a aplicação prática destas em todas as atividades envolvendo a percepção, a avaliação e a correção ou tratamento das vulnerabilidades e falhas dos produtos ELSYS.
2. OBJETIVO
Formalizar as diretrizes relacionadas a percepção, recebimento, avaliação, correção e tratamento das vulnerabilidades e falhas dos produtos ELSYS, em aderência as melhores práticas e regulamentações do assunto e de segurança da informação e cibernética vigentes no Brasil, durante todo o ciclo de vida do produto ELSYS, assegurando a integridade e a conformidade em relação aos requisitos, controles e especificações de operação e de tratamento de vulnerabilidades e falhas dos produtos e equipamentos produzidos, disponibilizados e comercializados pela ELSYS.
3. ABRANGÊNCIA
Este documento público e corporativo da ELSYS, possui valor jurídico e aplicabilidade imediata e indistinta, com vigência a partir da data de sua publicação e abrange a definição das principais diretrizes técnicas e operacionais, de tratamento de vulnerabilidades e falhas executadas nas atividades, processos e ações relacionadas às regulamentações brasileiras dos produtos produzidos e comercializados pela ELSYS.
4. SIGLAS E DEFINIÇÕES
Gestão Coordenada de Vulnerabilidades: A Gestão Coordenada de Vulnerabilidades (DCV) é um processo destinado a garantir que todas as etapas de tratamento de uma vulnerabilidade ocorram de forma organizada para a minimizar os danos à sociedade causados por produtos vulneráveis. Um DCV pode ser pensado como um processo iterativo que começa com alguém encontrando uma vulnerabilidade e, em seguida, perguntando repetidamente “o que devo fazer com essa informação?” e “a quem mais devo contar?” até que as respostas sejam a explicação e a correção ou contorno da vulnerabilidade.
Público em geral: qualquer pessoa que utiliza e/ou tem acesso ao produto e que não possui conhecimento técnico especializado sobre a utilização do equipamento para telecomunicação e que tem interesse apenas no emprego das suas funcionalidades e no consumo dos serviços de telecomunicação.
Vulnerabilidade: condições ou comportamentos que permitem a violação de uma política ou controle de modo de operação explícita ou implícita de um dispositivo ou software, relacionada ou não à segurança e a confiabilidade dele.
Exploit: é um software que descobre e usa uma vulnerabilidade para obter algum efeito, às vezes simples, como demonstrar a existência da vulnerabilidade, outras vezes, permitindo que os adversários ataquem os sistemas pelas vulnerabilidades descobertas.
Malware: é um software usado por adversários para aproveitar os exploits e comprometer o funcionamento correto e a segurança de um software ou equipamento, nem todo malware se aproveita dos exploits.
Incidentes: é uma violação ou tentativa de violação de um controle operacional ou de segurança e pode envolver a ação de um malware e a exploração de vulnerabilidades.
Firmware: é um tipo de programa de software incorporado em dispositivos ou equipamentos para ajudá-los a funcionar de maneira eficaz, pode ser instalado diretamente em uma peça do equipamento durante a fabricação e é usado para executar programas do usuário no dispositivo, podendo ser considerado o software que permite a execução das funções do equipamento.
5. PRINCÍPIOS
5.1. A ELSYS não medirá esforços para reduzir os danos e diminuir o potencial de danos causados por falhas no software embarcado de seus produtos, publicando informações sobre as vulnerabilidades que existirem e usando tecnologias de mitigação de exploração, de redução dos dias de risco, no lançamento de patches e na automatização da identificação de pontos vulneráveis nos firmwares de seus produtos.
5.2. A ELSYS supõe que qualquer indivíduo que tenha dedicado tempo e esforço para entrar em contato para relatar um problema de um produto ELSYS, é uma pessoa provavelmente benevolente e deseja sinceramente reduzir os danos da vulnerabilidade que percebeu, portanto será ouvida por um canal dedicado e respondida quanto as suas percepções;
5.3. A ELSYS atende e avalia todas as comunicações técnicas sobre falhas, vulnerabilidades, vícios ou defeitos percebidos nos produtos que fabrica, durante todo ciclo de vida desses.
5.4. Toda falha, vício ou defeito dos produtos da ELSYS que forem tecnicamente confirmadas, são corrigidas, tratadas e com as correções disponibilizadas gratuitamente aos usuários, dentro de prazos razoáveis para prevenir e reduzir a chance de que impactos ou incidentes ocorram;
5.5. O processo de gestão coordenada de vulnerabilidades atua como parte do processo de melhoria contínua dos produtos ELSYS e permite fornecer feedback importante para o Ciclo de Vida de Desenvolvimento do Software embarcado dos Produtos.
5.6. A ELSYS adota como padrão de referência na gestão e divulgação coordenada de vulnerabilidades o Guia do CERT produzido em conjunto com a Carnegie Mellon University, publicado em agosto de 2017.
6. DIRETRIZES
6.1. Canal de Comunicação: Todas as vulnerabilidades sobre o firmware dos produtos ELSYS que forem percebidas por usuários, pesquisadores e outros, deverão ser reportadas para ELSYS através de um canal digital exclusivo disponibilizado pela empresa no site institucional que permite a comunicação segura e controlada entre a ELSYS e o comunicador.
6.2. Objetivos da Gestão e Divulgação Coordenada de Vulnerabilidade: A ELSYS espera através da execução do processo de Gestão Coordenada de Vulnerabilidades, evitar surpresas e os riscos de resultados negativos gerados a partir da descoberta de vulnerabilidades nos firmwares, incentivando o bom comportamento dos usuários para que contribuam com suas percepções sobre falhas e vulnerabilidades no firmware dos produtos ELSYS, ampliando desta forma a probabilidade de cooperação entre pesquisadores de segurança e organizações técnicas e promovendo a melhoria continua dos produtos ELSYS.
6.3. Proteção e não exposição: O processo de gestão de vulnerabilidades da ELSYS se utiliza de mecanismos de segurança robustos para que as comunicações e tratamentos das eventuais vulnerabilidades dos firmwares dos produtos ELSYS não sejam alvo dos exploits e que apenas os reais interessados e afetados pelas vulnerabilidades recebam as informações de como contorná-las e/ou corrigi-las em tempo hábil.
6.4. Um único canal: Apenas o canal exclusivo para comunicação de vulnerabilidades deve ser utilizado para que as percepções de vulnerabilidades nos firmwares dos produtos sejam reportadas à ELSYS e para que a devida resposta seja obtida sobre a comprovação da percepção e as orientações para tratar da situação até a correção definitiva. Nenhuma informação sobre esse assunto deverá transitar em outro meio de comunicação.
6.5. Informações completas: Para que uma comunicação de vulnerabilidade de um firmware de um produto ELSYS seja aceita e avaliada, ela precisa atender satisfatoriamente todas as informações e dados obrigatórios presentes no formulário e no canal de comunicação disponibilizado para o assunto. Dados obrigatórios faltantes deverão acarretar a anulação da comunicação por impedirem ou impossibilitarem a identificação do problema, produto ou situação.
6.6. Identificação do Comunicador: Toda pessoa que desejar comunicar ou reportar uma vulnerabilidade no firmware de um produto ELSYS deverá se identificar, prover os meios de contato que deseja e manter o sigilo e a individualidade no uso do canal disponibilizado pela empresa para este assunto.
6.7. Dados Informados: Deverão figurar como dados obrigatórios para que seja aceita a comunicação de uma vulnerabilidade em um firmware de um produto da ELSYS o nome e o tipo de produto, o número de série, a versão, o modelo, a data de aquisição e o local de aquisição do produto, o nome da vulnerabilidade, a descrição e o resumo da vulnerabilidade, a forma como foi descoberta a vulnerabilidade, os efeitos percebidos da exploração dessa vulnerabilidade, a evidência de que essa vulnerabilidade ocorre (Print ou foto), o nome do comunicador, o meio de contato escolhido e a data da comunicação.
6.8. Resposta e Contorno: Toda comunicação de vulnerabilidade em firmware de um produto ELSYS deverá ser respondida pelo canal exclusivo, após ser analisada e validada pela empresa, sendo que o comunicador da vulnerabilidade receberá na resposta a confirmação ou negação da vulnerabilidade com a devida explicação e se aplicável, receberá uma ação de contorno para a vulnerabilidade e a estimativa de prazo para a correção definitiva.
6.9. Informações de Correção: Na página institucional da ELSYS é disponibilizado, gratuitamente, em língua portuguesa, para cada produto ELSYS, os manuais e materiais relativos a configuração, correção e utilização do produto, o histórico de correções de firmwares já realizado por produto e as versões mais recentes de cada firmware a ser utilizado. Também deve ser informado nesta página, um resumo das vulnerabilidades identificadas e corrigidas em cada um dos produtos ELSYS.
6.10. Não Publicidade: A ELSYS adota um princípio de não publicização de informações sobre os firmwares dos produtos ELSYS, portanto nenhuma exposição pública sobre vulnerabilidades e falhas nos firmwares dos produtos ELSYS bem como sobre contribuidores com a melhoria dos firmwares dos produtos deverá ser realizada. Apenas menções e reconhecimentos dentro do canal exclusivo para tratar deste assunto serão admitidos, tanto por parte da ELSYS como pelos comunicadores de vulnerabilidades e demais envolvidos no processo.
6.11. Uso devido do produto: Apenas serão consideradas como válidas e aceitas pela ELSYS, as comunicações de vulnerabilidades que forem referentes aos Produtos ELSYS e que estiverem dentro das finalidades, condições, propósitos e situações consideradas legais e especificadas como normais ou naturais nos manuais dos produtos ELSYS.
6.12. Versão de Firmware: A ELSYS mantém publicado em sua página institucional de forma acessível e gratuita a versão mais recente, atualizada e com todas as correções de vulnerabilidades já identificadas e/ou reportadas dos firmwares de todos os produtos ELSYS, indicando o modelo e a série dos equipamentos onde aquele firmware deve ser aplicado.
6.13. Correção de Vulnerabilidades: Todo produto ELSYS que apresentar vulnerabilidades comprovadas de fabricação será corrigido gratuitamente com soluções de contorno e/ou definitivas, num prazo razoável, suficiente para evitar que oportunidades para ataques ou exploração maliciosa sejam geradas. A percepção e registro das vulnerabilidades deverá ocorrer preferencialmente por testes e validações realizados pelas equipes internas da ELSYS, também será captada pelo canal exclusivo de atendimento desse assunto quando for identificada pelos clientes ou terceiros.
6.14. Resumo da Vulnerabilidade: Quando da informação e publicação da correção de uma vulnerabilidade no firmware de um produto ELSYS, a empresa irá divulgar um breve resumo contendo o código único de identificação da vulnerabilidade, o título da vulnerabilidade, a visão de aplicabilidade para produto, a descrição resumida da vulnerabilidade, os produtos que ela afeta, a classificação (CVSS) de impacto da vulnerabilidade, a solução disponibilizada, os créditos e o histórico de revisão. Todos estes dados estarão disponíveis para serem visualizados pelos interessados no arquivo de correção disponibilizado.
6.15. Classificação das vulnerabilidades: Todas as vulnerabilidades de firmware de produtos ELSYS deverão ser classificadas segundo o Sistema Comum de Pontuação de Vulnerabilidades ou (CVSS em inglês), como uma forma de capturar as principais características de uma vulnerabilidade e produzir uma pontuação numérica que reflita sua gravidade. A pontuação numérica deverá então ser traduzida em uma representação qualitativa (como baixa, média, alta e crítica) para ajudar a avaliar e priorizar adequadamente os processos de gerenciamento de vulnerabilidades. O CVSS é um padrão publicado e usado mundialmente para essa finalidade. Toda resposta provida pela ELSYS para uma vulnerabilidade reconhecida usará essa escala CVSS para determinar a severidade.
7. CÁLCULO E CLASSIFICAÇÃO DAS VULNERABILIDADES
7.1. A ELSYS se utilizará dos seguintes, critérios, pesos e condições para estimar a severidade e classificar as vulnerabilidades que forem confirmadas nos firmwares dos produtos ELSYS:
7.1.1. Vetor de Acesso: O critério Vetor de Acesso (AV) demonstra como a vulnerabilidade pode ser explorada por um agente mal-intencionado e seguirá a tabela:
Critério | Condição | Pontos |
Local (L) | O invasor deve ter acesso físico ao sistema vulnerável, (Grampos de cabos) ou a uma conta local (por exemplo, um ataque de elevação de privilégios). | 0.4 |
Rede Próxima (A) | O invasor deve ter acesso ao domínio de transmissão do sistema vulnerável (por exemplo, falsificação de endereço, ataques Bluetooth). | 0.6 |
Rede (N) | A interface vulnerável está funcionando na camada 3 ou superior do modelo OSI, esses tipos de vulnerabilidades são frequentemente descritos como exploráveis remotamente (por exemplo, um estouro de buffer remoto em um serviço de rede) | 1.0 |
7.1.2. Complexidade de Acesso: O critério complexidade de acesso (AC) descreve o quão fácil ou difícil é explorar a vulnerabilidade descoberta e seguira a tabela:
Critério | Condição | Pontos |
Alto (A) | Existem condições especializadas, como uma condição em uma janela estreita ou a exigência de métodos de engenharia social que seriam prontamente notados por pessoas experientes. | 0.4 |
Médio (M) | Existem alguns requisitos adicionais para o ataque, como um limite na origem do ataque ou um requisito para que o sistema vulnerável esteja sendo executado com uma configuração incomum e não padrão. | 0.6 |
Baixo (B) | Não há condições especiais para explorar a vulnerabilidade, como quando o sistema está disponível para muitos usuários ou a configuração vulnerável é onipresente. | 1.0 |
7.1.3. Autenticação: O critério autenticação (AU) descreve o número de vezes que um invasor deve autenticar-se em um alvo para explorá-lo. Não inclui (por exemplo) autenticação em uma rede para obter acesso. Para vulnerabilidades exploráveis localmente, esse valor só deve ser definido como Único ou Múltiplo se autenticação adicional for necessária após o acesso inicial e seguira a tabela:
Critério | Condição | Pontos |
Múltiplo (M) | A exploração da vulnerabilidade exige que o invasor se autentique duas ou mais vezes, mesmo que as mesmas credenciais sejam usadas todas as vezes. | 0.4 |
Único (U) | O invasor precisa se autenticar uma vez para explorar a vulnerabilidade. | 0.6 |
Nenhum (N) | Não há necessidade de autenticação do invasor. | 1.0 |
7.1.4. Impactos: Os critérios de impactos são estimados na Confidencialidade (IC) na Integridade (II) e na Disponibilidade (ID) dos dados tratados pelo sistema ou recurso atacado, sendo que para cada um desses 3 critérios deve ser considerado o efeito total ou completo, parcial e nenhum sobre o critério e seguira a tabela:
Critério | Condição | Pontos |
Nenhum (N) | Não há impacto na confidencialidade e/ou na integridade e/ou na disponibilidade. | 0.0 |
Parcial (P) | Há uma divulgação considerável de informações, mas o escopo da perda é limitado de tal forma que nem todos os dados estão disponíveis e/ou existe modificação de alguns dados ou arquivos do alvo, mas o escopo da modificação é limitado e/ou há redução de desempenho ou perda de alguma funcionalidade. | 0.3 |
Completo (C) | Há divulgação total de informações, fornecendo acesso a todos os dados, alternativamente, o acesso a apenas algumas informações restritas é obtido, mas as informações divulgadas apresentam um impacto direto e sério e/ou há a perda total de integridade e o invasor pode modificar quaisquer arquivos ou informações no alvo e/ou há perda total de disponibilidade do recurso atacado. | 1.0 |
7.1.5. Classificação da Vulnerabilidade: Todos os critérios devem ser somados e comparados em uma tabela de intervalos que define o quanto maior a quantidade de pontos obtidos no peso maior o risco e a gravidade da vulnerabilidade, a fórmula de cálculo indicada é Severidade = Somatório Pontos (AV+AC+AU+IC+II+ID) e seguira a severidade conforme os níveis da tabela a seguir:
Severidade | Nível mínimo | Nível Máximo |
Baixo (B) | 0.0 | 1.2 |
Médio (M) | 2.7 | 3.6 |
Alto (A) | 3.9 | 4.6 |
Crítico (C) | 5.3 | 6.0 |
Dentro da visão de reduzir o risco de exposição das vulnerabilidades, recomenda-se iniciar pelas de severidade Crítica, seguindo pelas severidades Alto, Médio e Baixo.
8. PENALIDADES
8.1. Qualquer violação às diretrizes dessa Política deve ser registrada e tratada como um incidente, a fim de apurar as responsabilidades dos envolvidos em procedimento disciplinar, visando aplicação de sanções cabíveis previstas em cláusulas contratuais e na legislação vigente.
9. DISPOSIÇÕES FINAIS
9.1. Essa Política deve ser lida e interpretada sob a égide das leis brasileiras, no idioma português, em conjunto com os demais documentos institucionais da ELSYS que forem aplicáveis.
10. REVISÃO E APROVAÇÃO
10.1. Este documento foi revisado e atualizado pela ELSYS em março de 2025 e esta versão passa a vigorar plenamente após sua aprovação e publicação.
Formulário para reporte de vulnerabilidade, falha, vício ou defeito de produto ELSYS
Registro de atualizações de software
NOME DA ATUALIZAÇÃO
Descrição dos itens corrigidos
