Pe scurt, nu am ajuns încă acolo, însă investim multe resurse pentru a atinge conformitatea cu IEC 62443-4-1. Eforturile actuale se concentrează pe extinderea și completarea proceselor utilizate deja pentru garantarea calității produselor noastre, pentru ca acestea să se alinieze și cerințelor specifice ale IEC 62443-4-1.

În prezent, ne concentrăm pe îndeplinirea cerințelor următoarelor legi, standarde și norme:

• CRA (Cyber Resilience Act)
• IEC 62443
• IEC 29147
• IEC 30111
• IEC 27036
• Legea californiană privind parolele (2020 California Senat Bill SB-327)

Murrelektronik a definit procese care acoperă în mod proactiv toate aspectele sarcinilor pe care ni le asumăm. Proiectele utilizează acesta procese standard și le adaptează în funcție de nevoie. Acest lucru corespunde nivelului 3 („definit”) conform CMMI.

Da. Procesul de dezvoltare de produs pentru toate produsele noi dezvoltate în anul 2024 sau ulterior, ține cont de respectarea aspectelor de securitate cibernetică, prin dezvoltarea de modele corespunzătoare de amenințări.

Da. Procesul de dezvoltare de produs pentru toate produsele noi dezvoltate în anul 2024 sau ulterior, include dezvoltarea unui concept de apărare în profunzime, pentru a veni în întâmpinarea tuturor riscurilor identificate în modelul de amenințări.

Da. Validarea și verificarea de securitate este o componentă standard a cuprinzătoarelor testări și validări pe care le efectuăm pentru produsele noastre, dezvoltate în anul 2024 sau ulterior.

Da. Am stabilit standarde de codare care sunt actualizate continuu, pentru a ține cont de cele mai noi cerințe, inclusiv de cele rezultate din analize care țin de securitatea cibernetică.

Da. La dezvoltarea de produse noi, cerințele de securitate sunt stabilite încă din faza de concept.

Suntem pe cale să implementăm cerințele IEC 62443-4-1 (SM-9 și SM-10) și cerințele IEC 27036. Ne concentrăm în prezent pe definirea proceselor și procurarea instrumentelor necesare pentru sprijinirea acestei sarcini.

Există mai mulți pași pe care îi recomandăm. Oferirea unui răspuns scurt și pregnant, care să acopere toate situațiile și toate produsele, nu este posibilă. Cele mai importante surse care trebuie verificate sunt:

1. Capitolul aferent securității cibernetice din documentația produsului, care la produsele mai noi face între timp parte din standard
2. Directivele generale privind securitatea cibernetică, incluse în următoarele documente:

• Directive generale privind securitatea cibernetică 

Aceste informații se găsesc în capitolul Securitate cibernetică din documentația de produs corespunzătoare, care este în mod standard o componentă a documentației produselor noi, dezvoltate începând cu 2024.

Aceste informații se găsesc în capitolul Securitate cibernetică din documentația de produs corespunzătoare, care este în mod standard o componentă a documentației produselor noi, dezvoltate începând cu 2024.

Cel mai direct mod de a contacta PSIRT Murrelektronik este prin intermediul acestei adrese de e-mail: psirt@murrelektronik.de

Procesul nostru pentru tratarea vulnerabilităților este demarat când se raportează o vulnerabilitate, fie de către o sursă externă, fie prin monitorizarea internă continuă, efectuată fie de către actori interni (C&D, Test etc.), fie de către prestatori externi de servicii de testare, la solicitarea Murrelektronik. 

Raportul este luat la cunoștință și are loc o primă evaluare. PSIRT este coordonatorul acestui proces înspre exterior și interior, și asigură comunicarea cu toți cei implicați. 

După ce vulnerabilitatea este verificată și analizată, PSIRT se coordonează cu toți cei implicați, pentru a dezvolta măsuri corective.

Găsiți o descriere mai detaliată în documentul nostru „Vulnerability Handling Process”.

Vă puteți înregistra pentru actualizări pe CERT@VDE, unde publicăm toate informările noastre, aici.

Informările publicate de noi includ în mod normal majoritatea sau toate elementele de mai jos: 

1. ID informare
2. Data și ora primei publicări, precum și un istoric al modificărilor, în cazul în care informarea a fost actualizată.
3. Titlu: conține suficiente informații (de ex. despre produsul afectat) încât cititorul să poată decide rapid dacă informarea este relevantă.
4. Sinteză: o scurtă descriere generală a breșei de securitate.
5. Produse afectate: inclusiv numele produsului/produselor, versiunea (versiunile) hardware și firmware afectată (-e) și, dacă este cazul, o metodă sigură de testare a existenței breșei de securitate.
6. Descriere: aceasta conține exact atâtea detalii încât utilizatorii să poată evalua riscurile, fără ca exploatarea vulnerabilității să fie ușurată sau să devină mai probabilă. Clasa și scorul CVSS pot fi incluse în descriere.
7. Efect: indicarea posibilelor urmări, dacă vulnerabilitatea descoperită este exploatată, și scenariile de atac pe care le facilitează.
8. Gravitatea: clasificarea vulnerabilității conform Common Vulnerability Scoring System (CVSS).
9. Măsuri corective: pașii pe care îi pot urma utilizatorii pentru a reduce sau împiedica exploatarea vulnerabilității (soluții de evitare) și pașii necesari pentru eliminarea vulnerabilității )de ex. prin instalarea de patch-uri sau actualizări de software).
10. Trimiteri către informații conexe, precum informări sau CVE (Common Vulnerabilities and Exposures conexe).
11. Dacă este cazul, o confirmare a persoanelor care au raportat vulnerabilitatea.
12. Informații de contact ale PSIRT Murrelektronik
13. Condiții de utilizare: condiții pentru copiere și distribuire. 

Informările de securitate publicate de către Murrelektronik pot fi accesate prin mai multe canale: 

• Site web: pe site-ul nostru web PSIRT găsiți o listă a celor mai actuale și mai active informări. Aceasta include și un link spre arhiva tuturor informărilor publicate
• CERT@VDE: punem la dispoziție informările noastre în baza de date a CERT@VDE database. 

Da. Punem informările noastre de securitate la dispoziție în format CSAF. La descărcarea informărilor de securitate puteți alege între un fișier PDF lizibil de către un utilizator uman și un fișier CSAF care poate fi citit automat.

Găsiți întotdeauna cea mai recentă versiune firmware sau software a produsului utilizat de dumneavoastră la rubrica „Download” a acelui produs, în magazinul nostru online.

Informările de securitate publicate conțin și toate linkurile și instrucțiunile de care aveți nevoie pentru a instala actualizări sau patch-uri relevante pentru securitate.