PSIRT

Potentiaalisia turvallisuusaukkoja koskevat ilmoitukset ovat nimenomaisesti tervetulleita kaikilta ilmoittajilta. Ilmoittajana voivat olla suorien asiakkaidemme lisäksi esim. turva-asiantuntijat, CERT-tutkijat (Computer Emergency Response Teams), viranomaiset, teollisuusjärjestöt, toimittajat sekä järjestelmäsuunnittelijat tai -käyttäjät.

AUMA PSIRTille lähetetään ilmoituksia sitä varten luotuun sähköpostiosoitteeseen PSIRT@auma.com.

Koska joitain tuotteitamme käytetään kriittisessä infrastruktuurissa, pyydämme sinua sopimaan turvallisuusaukkojen paljastamisesta meidän kanssamme. Siten halutaan välttää järjestelmien turvallisuutta vaarantavat tilanteet siihen asti, kunnes kehitystiimimme ovat ehtineet määrittää vastatoimenpiteet tilanteen korjaamiseksi tai estämiseksi ja luovuttaneet ne käyttöömme.

Luottamuksellisuussopimusta (NDA) tai muuta sopimusta ei tarvita yhteistyöhön kanssamme turvallisuusaukkojen paljastamiseksi. Tavoitteenamme on toimia luottamuksellisessa yhteistyössä turvallisuusaukoista ilmoittavien tahojen kanssa AUMA-tuotteiden ja -palveluiden potentiaalisten turvallisuusaukkojen käsittelyssä.

Ilmoita meille ilmoituksesi yhteydessä seuraavat tiedot sähköpostitse käsittelyn nopeuttamiseksi:

• Ilmoittajan nimi: Kunnioitamme toivettasi pysyä anonyyminä
• Yhteystiedot: Sähköposti ja puhelinnumero, joista voimme tavoittaa sinut, mikäli meillä on kysyttävää tai haluamme palata asiaan
• Yhteenkuuluvuus: Organisaatiosi nimi (esim. yrityksen nimi)
• Turvallisuusaukon tyyppi: Turvallisuusaukon tyypin kuvaus (esim. XSS, puskurin ylittyminen, kiinteästi koodatut pääsytiedot)
• Turvallisuusaukon laukaisija: Kuvaus, kuinka turvallisuusaukon voi laukaista (työkalut, prosessit, vaiheet, todisteet)
• Kyseessä oleva tuote: Missä AUMA-tuotteissa tai -palveluissa turvallisuusaukko on havaittu? Lisää kaikki käytössäsi olevat tiedot, kuten tuotteen kuvaus ja tilaus- tai sarjanumero, laiteohjelmisto- tai ohjelmistoversio, mahdollisesti osallisena olevien komponenttien käyttöjärjestelmä, palveluiden kohdalla myös paikka (esim. URL)
• Turvallisuusaukon vaikutukset: Kuvaile, kuinka hyökkääjä voisi käyttää turvallisuusaukkoja hyödykseen ja mitä vaikutuksia sillä olisi.
• CVSS-arviointi: Turvallisuusaukon arviointi Common Vulnerability Scoring System -järjestelmän (CVSS) mukaisesti - mikäli tiedossa.
• Turvallisuusaukkojen luottamuksellisuus: Onko turvallisuusaukko jo paljastettu tai onko olemassa suunnitelmia sen paljastamiseksi?
•  

Lähetä ilmoituksesi meille joko saksaksi tai englanniksi.

Koska turvallisuusaukkoja koskevat tiedot ovat kriittisiä tietoja, pyydämme sinua lähettämään tiedot meille salattuina. Käytä siihen seuraavaa PGP-avainta salataksesi sähköpostiosoitteeseen PSIRT@auma.com lähettämäsi tiedot.

AUMA PSIRT Public Keys

Voit ladata PGP Key -avaimemme täältä:

Sormenjälki: 64F97ED5674E7BF923018ED87788765AF3FF7089

Analyysi ja ratkaisu

Ilmoituksen vastaanottamisen jälkeen käynnistetään standardisoitu käsittelyprosessi. AUMA PSIRT vahvistaa turvallisuusaukosta tehdyn ilmoituksen vastaanottamisen, tulkitsee ja analysoi lähetetyt tiedot ja sekä koordinoi tarvittavat tutkimukset ja toimenpiteet ratkaisun löytämiseksi. Se tehdään tiiviissä yhteistyössä turvallisuusaukosta ilmoittaneen tahon kanssa.

Paljastaminen

AUMA-tuotteiden ja -palveluiden turvallisuusohjeet julkaistaan It-turvallisuusalustalla CERT@VDE, johon on julkinen pääsy ja joka on luotu erityisesti turvallisuusaukkojen koordinointiin erityisesti teollisuusautomaation alalla toimiville yrityksille.

Turvallisuusmääräykset