PSIRT

Hlášení o potenciálních bezpečnostních chybách výslovně vítají všichni – kromě našich přímých zákazníků sem patří například bezpečnostní experti, vědci, týmy CERT (Computer Emergency Response Team), úřady, průmyslové asociace, dodavatelé, projektanti nebo provozovatelé systémů.

Oznámení týmu AUMA PSIRT probíhá prostřednictvím e-mailové adresy PSIRT@auma.com.

Vzhledem k tomu, že některé naše produkty se používají v kritických infrastrukturách, žádáme vás, abyste s námi koordinovali zveřejňování bezpečnostních chyb. To má zabránit ohrožení bezpečnostní situace v zařízeních, dokud naše vývojové týmy nedefinují a nezajistí vhodná protiopatření k nápravě nebo zmírnění situace.

Pro spolupráci s námi při odhalování bezpečnostních chyb není vyžadována žádná dohoda o mlčenlivosti (NDA) ani jiná smlouva. Naším cílem je spolupracovat s příslušnými oznamovateli důvěryhodným a profesionálním způsobem při řešení potenciálních bezpečnostních chyb v souvislosti s produkty a službami společnosti AUMA.

V e-mailovém oznámení nám prosím uveďte následující informace, abychom urychlili zpracování:

• Jméno oznamovatele: Pokud chcete zůstat anonymní, budeme respektovat vaše přání
• Kontaktní informace: E-mail a telefonní číslo, na kterém vás můžeme zastihnout s dalšími otázkami, příp. odpovědí na oznámení
• Příslušnost: Název vaší organizace (např. název firmy)
• Druh bezpečnostní chyby: Popis druhu bezpečnostní chyby (např. XSS, přetečení vyrovnávací paměti, pevně kódované přístupové údaje)
• Spouštěč bezpečnostní chyby: Popis, jak je možné vyvolat bezpečnostní chybu (nástroje, procesy, postupy, doklady)
• Dotčený produkt: V jakých produktech a službách AUMA byla tato bezpečnostní chyba odhalena? Uveďte všechny dostupné informace, jako je název produktu s objednacím a sériovým číslem, verze firmwaru nebo softwaru, případně operační systém příslušných komponent a příslušné umístění (např. URL) pro služby
• Dopad bezpečnostní chyby: Popište, jak by mohl útočník zneužít bezpečnostní chybu a jaký by to mělo dopad.
• Hodnocení CVSS: Posouzení bezpečnostní chyby podle Common Vulnerability Scoring System (CVSS) – pokud je známo.
• Důvěrnost bezpečnostních chyb: Byla bezpečnostní chyba již zveřejněna, nebo se její zveřejnění plánuje?
•  

Pošlete nám prosím zprávu v němčině nebo angličtině.

Vzhledem k tomu, že informace o bezpečnostních chybách jsou velmi důležité, žádáme vás, abyste nám tyto informace zasílali v zašifrované podobě. K zašifrování informací zasílaných na adresu PSIRT@auma.com použijte následující klíč PGP.

AUMA PSIRT Public Keys

Zde si můžete stáhnout náš klíč PGP:

Otisk prstu (fingerprint): 64F97ED5674E7BF923018ED87788765AF3FF7089

Analýza a řešení

Po obdržení zprávy se zahájí standardizovaný postup zpracování. AUMA PSIRT potvrdí přijetí nahlášené bezpečnostní chyby, posoudí a analyzuje poskytnuté informace a koordinuje nezbytná šetření a činnosti k nalezení řešení – to se provádí v úzké koordinaci s oznamovatelem bezpečnostní chyby.

Zveřejnění

Zveřejnění bezpečnostních pokynů pro produkty a služby AUMA probíhá přes veřejně přístupnou IT bezpečnostní platformu CERT@VDE, která byla vytvořena pro koordinaci bezpečnostních chyb speciálně pro podniky v oblasti průmyslové automatizace.

Bezpečnostní směrnice