Na kratko povedano, še nismo povsem tam, vendar vlagamo veliko sredstev, da bi dosegli skladnost z IEC 62443-4-1. Trenutna prizadevanja so usmerjena v razširitev in dopolnitev postopkov, ki jih že uporabljamo za zagotavljanje kakovosti naših izdelkov, tako da bodo izpolnjevali tudi posebne zahteve standarda IEC 62443-4-1.

Trenutno se osredotočamo na izpolnjevanje zahtev naslednjih zakonov, standardov in normativov:

• CRA (Akt o kibernetski odpornosti)
• IEC 62443
• IEC 29147
• IEC 30111
• IEC 27036
• Kalifornijski zakon o geslih (2020 California Senat Bill SB-327)

Podjetje Murrelektronik je vzpostavilo procese, ki proaktivno pokrivajo vse vidike nalog, ki jih izvajamo. Projekti uporabljajo te standardne postopke in jih po potrebi prilagodijo. To ustreza stopnji 3 ("opredeljeno") po CMMI.

Da. Postopek razvoja izdelkov za vse nove izdelke, razvite leta 2024 ali pozneje, vključuje upoštevanje vidikov kibernetske varnosti z razvojem ustreznih modelov groženj.

Da. Postopek razvoja izdelkov za vse nove izdelke, razvite leta 2024 ali pozneje, vključuje razvoj koncepta globinske obrambe za preprečevanje vseh tveganj, ugotovljenih pri modeliranju groženj.

Da. Varnostno preverjanje in potrjevanja je standardni del obsežnega testiranja in potrjevanja, ki ga izvajamo za naše izdelke, razvite leta 2024 ali pozneje.

Da. Vzpostavili smo standarde kodiranja, ki jih nenehno posodabljamo, da odražajo najnovejše zahteve, vključno s tistimi, ki izhajajo iz vidikov kibernetske varnosti.

Da. Pri razvoju novih izdelkov so varnostne zahteve opredeljene že v fazi zasnove.

Trenutno delamo na realizaciji zahtev IEC 62443-4-1 (SM-9 in SM-10) in zahtev IEC 27036. Pri tem se osredotočamo na opredelitev postopkov in nabavo potrebnih orodij za podporo tej nalogi.

Priporočamo več korakov. Ni mogoče podati kratkega in jedrnatega odgovora, ki bi zajel vse situacije in vse izdelke. Najpomembnejši viri, ki jih je treba preveriti, so:

1. Poglavje o kibernetski varnosti v dokumentaciji izdelka, ki je zdaj standard za novejše izdelke
2. Splošne smernice za kibernetsko varnost iz naslednjih dokumentov:

• Splošne smernice za kibernetsko varnost

Te informacije so na voljo v poglavju o kibernetski varnosti v ustrezni dokumentaciji izdelka, ki je standardni del dokumentacije za nove izdelke, razvite po letu 2024.

Te informacije so na voljo v poglavju o kibernetski varnosti v ustrezni dokumentaciji izdelka, ki je standardni del dokumentacije za nove izdelke, razvite po letu 2024.

Najbolj neposreden način za stik s PSIRT podjetja je po e-pošti: psirt@murrelektronik.de

Naš postopek obravnave ranljivosti se začne, ko je ranljivost prijavljena, bodisi iz zunanjega vira bodisi s stalnim notranjim spremljanjem, ki ga izvajajo notranje zainteresirane strani (oddelek za raziskave in razvoj, testiranje itd.) ali zunanji ponudniki storitev testiranja v imenu podjetja Murrelektronik. 

Prijava se potrdi in opravi se začetna ocena. PSIRT je koordinator tega postopka navzven in navznoter ter vzdržuje komunikacijo z vsemi vpletenimi stranmi. 

Ko je ranljivost preverjena in analizirana, se PSIRT usklajuje z vsemi vpletenimi stranmi, da bi pripravila popravne ukrepe.

Podrobnejši opis najdete v našem dokumentu “Postopek obravnave ranljivosti”.

Tukaj se lahko prijavite na prejemanje posodobitev na portalu CERT@VDE, kjer objavljamo vsa naša obvestila in nasvete.

Nasveti, ki jih objavljamo, običajno vsebujejo večino ali vse naslednje elemente: 

1. ID nasveta
2. Datum in čas prve objave ter zgodovina sprememb, če je bil nasvet posodobljen.
3. Naslov: vsebuje dovolj informacij (npr. o zadevnem izdelku), da se bralec lahko hitro odloči, ali je napotek relevanten.
4. Pregled: kratek splošni opis varnostne vrzeli.
5. Prizadeti izdelki: vključno z imenom(-i) izdelka, različico(-ami) prizadete strojne in vdelane programske opreme ter po potrebi varno metodo za preverjanje prisotnosti ranljivosti.
6. Opis: vsebuje dovolj podrobnosti, da lahko uporabniki ocenijo tveganja, ne da bi olajšali ali povečali verjetnost izkoriščanja ranljivosti. V opis lahko vključite razred in oceno CVSS.
7. Posledica: navedba možnih posledic, če je odkrita ranljivost izkoriščena, in scenarijev napada, ki jih omogoča.
8. Stopnja resnosti: razvrstitev ranljivosti v skladu s sistemom CVSS (skupni sistem točkovanja ranljivosti).
9. Rešitev: koraki, ki jih lahko uporabniki sprejmejo za zmanjšanje ali preprečitev izkoriščanja ranljivosti (obvozi), in koraki, potrebni za odpravo ranljivosti (npr. z namestitvijo popravkov ali posodobitev programske opreme).
10. Sklici na povezane informacije, kot so sorodni nasveti ali CVE (skupne ranljivosti in izpostavljenosti).
11. Po potrebi potrditev oseb, ki so prijavile ranljivost.
12. Podatki za stik PSIRT podjetja Murrelektronik
13. Pogoji za uporabo: pogoji za kopiranje in razširjevanje. 

Do varnostnih nasvetov podjetja Murrelektronik lahko dostopate prek več kanalov: 

• Spletna stran: na naši spletni strani PSIRT najdete seznam najnovejših in najbolj aktivnih nasvetov. Vsebuje tudi povezavo do arhiva vseh objavljenih nasvetov.
• CERT@VDE: svoje nasvete vnašamo v zbirko podatkov CERT@VDE. 

Da. Naši varnostni nasveti so na voljo v formatu CSAF. Pri prenašanju varnostnih nasvetov lahko izbirate med človeku berljivo datoteko PDF in strojno berljivo datoteko CSAF.

Najnovejšo vdelano programsko opremo ali različico programske opreme izdelka, ki ga uporabljate, lahko vedno najdete v razdelku "Prenos" tega izdelka v naši spletni trgovini.

Objavljeni varnostni napotki vsebujejo tudi vse povezave in navodila, ki jih potrebujete za namestitev varnostnih posodobitev ali popravkov.